Dyn DDoS 攻击- 导致许多网站瘫痪,包括 Netflix、SoundCloud、Spotify、Twitter、PayPal、Reddit等。
Dropbox被黑– 数百万用户帐户被黑。
雅虎数据泄露。
勒索软件- 针对勒索软件的许多攻击。
Synopsys报告显示,95% 的测试应用程序存在漏洞,22% 的应用程序至少存在一个严重或高度漏洞。
黑客使用多种技术来攻击Web应用程序,巴哈马电话号码库
因此有必要使用能够检测大量漏洞的扫描器。为了确保持续的安全性,您需要定期扫描您的站点以了解哪里存在薄弱环节。
以下是基于云的 Web 漏洞扫描程序,因此您无需在服务器上安装任何软件。
内容 隐藏
1 入侵者
2 阿斯特拉渗透测试
3 托管扫描安全
4 无敌者
5 检测
6 阿库内提克斯
7 夸利斯
8 黑客目标
9 Tenable.io
10 工业面
11 最后的话
11.1 相关出版物:
入侵者
Intruder 是一款功能强大的漏洞扫描程序,可帮助您发现隐藏在 Web 应用程序和底层基础设施中的许多弱点。
Intruder 受到全球 1,500 多家公司的信赖,通过不断识别出现的漏洞,帮助开发人员和技术团队构建和维护安全产品。这意味着检查公共和私有服务器、云系统和所有端点,以确保没有任何区域被忽视。
动态应用程序安全测试 (DAST)扫描仪涵盖所有关键的 Web 应用程序测试,例如:
远程代码执行
操作系统命令注入
SQL注入
跨站脚本攻击
OWASP 前 10 名
CWE/SANS 前 25 名
为了帮助您根据发现的结果快速采取行动, Intruder 与所有领先工具无缝集成,包括Jira、Slack、Microsoft Teams 和Zapier,确保为您的修复团队提供无缝的信息流。 Intruder 还与所有主要云提供商集成:AWS、Google Cloud 和Azure。
甚至可以选择使用 Intruder Vanguard 进行深入的连续渗透测试。在 Intruder 领先的安全专家的支持下,他们将持续监控您的 Web 应用程序,以识别扫描仪可能无法捕获的更复杂的问题。
您可以免费试用 Intruder 30 天。
阿斯特拉渗透测试
Astra Pentest 是一个全面的渗透测试平台,提供智能漏洞扫描器,可以扫描登录屏幕后面的 Web 应用程序区域,这对于 SaaS 应用程序变得至关重要。
除了模拟黑客行为的漏洞扫描器外,Astra 还提供安全专家进行的深入渗透测试和漏洞管理功能。
该漏洞扫描器扫描隐藏的区域,与 CI/CD 集成,并与 Slack 深度集成,使其成为以自定义仪表板为关键的 SaaS 应用程序的理想选择。
无论是静态、动态、门户、动画、电子商务应用程序 还是内容管理系统,Astra Pentest都为它们提供深度扫描和漏洞管理。
Astra 全面的渗透测试包的主要特点适用于任何规模的企业:
使用模拟黑客行为的智能漏洞扫描器进行 3500 多项安全测试。
OWASP Top 10 和 SANS 25测试
安全专家深度测试
验证扫描以确保没有误报
遵循 NIST 和 OWASP 测试方法
引导式自动和手动渗透测试
具有登录扫描功能的自动漏洞扫描。
一键操作可下载报告、通过电子邮件发送等。
为工程师和开发人员提供的用户友好的仪表板。
开发人员和安全人员之间进行上下文交互以修复错误。
安全测试用例可帮助您遵守 SOC2、GDPR、HIPAA、PCI-DSS 和 ISO 27001 标准。
每次成功的渗透测试后,可公开验证的渗透测试证书都会赢得客户和合作伙伴的信任。
如果您正在寻找一个使渗透测试变得简单且安全的渗透测试平台,那么 Astra 是您的完美解决方案。
托管扫描安全
HostedScan Security 提供了一套全面的 Web 应用程序漏洞扫描程序。扫描是使用行业标准开源漏洞扫描器透明地完成的。
其中包括 OpenVAS、OWASP ZAP、Nmap TCP & UDP、SSYLze 等,它们共同提供了一整套工具来扫描您的网络、服务器和网站是否存在安全风险。虽然许多其他公司销售质量未知的专有扫描仪,但 HostedScan Security 相信开源社区的集体知识来制定标准。
仅当漏洞扫描产生足够清晰且容易让您的团队遵循的可行见解时,漏洞扫描才有用。 HostedScan Security 收集所有扫描结果,为您清理和标准化它们,并提供报告、仪表板、API、Webhooks、图表和电子邮件通知。扫描可以连续运行、按需运行或按照您自己的计划运行。将数据导出为多种格式,包括PDF、HTML、JSON 和XML。
HostedScan Security 入门非常简单。他们提供免费的永久计划或以实惠的价格升级到更高的计划级别。
]
因维克蒂
Invicti 涵盖广泛的安全检查,包括:
源代码/数据库/堆栈跟踪/内部IP地址泄露
SQL注入
XSS、DOM XSS
命令注入/盲命令/框架/远程代码
包括本地文件
打开重定向
网页后门
凭证薄弱
如果您的网站受密码保护,那么您需要提供 URL、凭据,Invicti 将自动进行爬网。
它是为企业构建的,这意味着您可以一次抓取 1,000 个网站。 Invicti 还有Windows桌面版本。
检测
Detectify 会检查您的网站是否存在 500 多个漏洞,其中包括 OWASP Top 10。您可以将 Detectify 集成到非生产环境中,以便在投入生产之前了解并消除风险因素。
Detectify 受到数千家公司的信赖,包括Trello、King、Trust Pilot、Book My Show、Pipedrive 等。
您可以按需运行无限数量的测试或定期安排站点扫描。扫描后,您可以将报告导出为摘要或完整报告,并且您还可以选择集成以下内容。
Slack、Pager Duty、Hip Chat - 获取即时通知。
Trello - 在 Trello 看板上获取结果。
JIRA - 发现问题时创建问题。
API - 与您的 API 集成
Zapier -通过Zapier集成自动化您的工作流程。
所有检测到的问题都列在仪表板上,以便您可以深入了解特定的风险项目并采取必要的措施。
Detectify为WordPress、Joomla、Drupal 和Magento提供CMS保护,并查找常见的 Web 漏洞。这意味着 CMS 特定风险得到承保。因此,请在黑客之前采取行动并发现安全风险。您可以开始 14 天免费试用。
阿库内蒂克斯
Acunetix 提供从 Windows 运行的本地安全扫描器以及基于云的扫描器。 Acunetix 可以检查和扫描您的网站,以查找几乎任何类型网站的 3,000 多个漏洞。
Acunetix 使用多线程快速爬虫和爬虫,因此您的网站在爬行时不会中断。
如果您使用 WordPress,它们具有独特的扫描功能,可以检查 1200 多个插件和错误配置。
Acunetix 在扫描过程中分析站点的代码/配置,并在可操作的报告中指出漏洞。
夸利斯
Qualys 是最传统的安全平台之一,它不仅提供网络扫描,还提供一系列解决方案,例如:
恶意软件检测
威胁防护
持续监控
漏洞管理
cPCI/政策合规性
网络应用防火墙
查看资产
但是,在本文中,我们将仅关注 Web 应用程序扫描 (WAS)。
Qualys WAS 是一种端到端扫描解决方案,用于查找网站漏洞和错误配置。您可以自动扫描并在检测到风险时接收通知。
您可以使用动态深度扫描功能,在其中指定网络 IP 地址范围并让 Qualys 发现 Web 资产。
并非所有漏洞都是严重或高风险的,因此您可以按严重程度对它们进行优先级排序并采取相应的措施。
您可以注册试用来探索 Qualys WAS。
黑客目标
黑客目标与上面列出的目标不同。他们托管一个开源漏洞扫描程序,并邀请您在您的网站上运行扫描。
他们有 12 种不同的扫描仪,您可以通过他们简单的会员计划使用它们。如果您想使用开源扫描仪但不想自己托管它,这听起来很理想。
要查找漏洞,以下建议的工具将很有用。
Nikto 会检查您的网站是否存在 5,000 多个漏洞和错误配置,这些漏洞和错误配置可能会给您带来风险。
SSL注入测试 - 使用 SQL 映射工具针对HTTP GET 请求进行测试。
WhatWeb Scan - 检查 Web 服务器和用于创建 Web 应用程序的其他技术。
