论下一代在线安全审计软件

2012-07-22 275040人围观 ,发现 17 个不明物体 其他周边

bugscan是近期由国内某大神出品的一款B/S段的扫描平台,只需本地架设python环境,便可以对网站进行全方位的扫描,并且该款设计新颖的扫描器还开放插件API,可以让使用者自己编写插件,与使用者共享插件。小编本地测试了下,扫描速度及结果等都非常给力,尤其是爬虫非常到位。以下为原文:

现在市面上的扫描软件五花八门,可总结为两种

1.  客户端软件(如wvs, nessus., metaspolit..)
2.  B/S方式的 (像360的在线扫描,知道创宇...)

先说客户端式的吧,有开发公司负责插件的更新。收费的占很大一部分

就扫描效果来说,比较全面,不管什么网站,反正扫描完,像wvs这样的,报告导出得好几M,不得不说算是老大级别的, 但针对性呢?国内的安全现状适应吗?,用的人想必比我还清楚,用他来做报告,应付工作算是个神器了,你想自己开发插件呢,怎么办?别说没有这样的人,我就是其中之一。

说说B/S端的,提供的服务可以说是多方面的,网站监控了,挂马提醒了,可以说是站长不错的选择,对专业安全爱好者来说,没有太大实际作用,可定制性差。可控性差,不灵活。

所以,一种结合客户端和B/S端的扫描平台诞生了

如果你是网络安全爱好者,你是疯狂的码农,你是站长??,都可以满足你们其中一个共性的要求,对网站的360度扫描,不是普通意义上的扫描,你可以使用别人共享的插件,也可以自己编码插件共享给别人, 你可以对插件的性能,效果在线做评论或者提点意见, 如果你是几十个站的站长,你可以自架节点,一个或者多个,都可以,集群扫描。任你发挥。如果发现有高危漏洞的网站,为了不必要的法律风险,必须验证后,才可以查看详细漏洞,先扫描,后修复。

如果你懂一点编程,想共享一些安全漏洞,可以通过在线的简单的例子,马上入手写一个扫描插件,有人问,我写这个插件能干啥,别人用了会给我钱吗?如果你这样问,那么这个东西不适合你,他只适合,心里还有那么一丝共享精神的,曾经希望自己变成黑客的,现在从事网络安全行业的屌丝男同胞们, 如果真的要问,我能给提供漏洞的人什么,我只能说rank,你的贡献值,永远的记录在网站上

下面上张图,

是的,像像看到的那样,你不是用我们提供的服务器在扫描,是你自己架设引擎扫描,只需要装一个Python 2.7, 什么都有了,不需要下载任何第三方安装包,只需要一个命令,完全内存执行,绝对绿色,最重要的一点,你可以使用别人无私共享出来的针对最新安全漏洞的扫描插件, 可以学习别人的经验,交流知识。

扫描程序对国内流行CMS做了识别

对于注入漏洞的检测,不管是post cookie, get还是referer user-agent,都样样在行

对于最新的安全漏洞,CMS的0day,也检测到位

下面发一个实例扫描报告:

总有那么一些人,在这里不图回报的更新着,共享着,说再多,不如一试.点击体验: 
http://bugscan.net/

这些评论亮了

  • phper 回复
    对在线扫描器总有担心,隐私啊隐私
    )16( 亮了
发表评论

已有 17 条评论

取消
Loading...
css.php