首先,安全认证服务的漏洞扫描不靠谱。科学家们实测发现安全认证服务的扫描器无法发现很多严重的安全漏洞。
在另外一组试验中,研究者架设了一个包含12个已知漏洞(例如SQL注入、CSRF、XSS等),然后购买了8家安全网站认证厂商的服务,其中表现 最佳的安全认证服务也会漏掉超过一半的已知网站安全漏洞,很多安全认证服务的漏洞扫描甚至连Virus Total这样的公开库中的恶意软件都无法识别。
其次,安全认证网站更容易遭黑。科学家们发现获得安全网站认证标志的网站,黑客只需不到一天时间就可找到漏洞,更加让人震惊的是,研究者发现由于有了安全网站认证标志的存在,攻击者反而更容易锁定安全漏洞,换而言之,“安全网站”更容易遭受黑。这要“感谢”安全认证厂商给黑客的提示。
通过QQ来检测
1、运行QQ软件,然后输入“QQ账号”、“密码”再点击安全登录。
2、安全登录QQ后,点击QQ左侧右下角的“主菜单”按钮。
3、弹出的主菜单中点击“安全”--“安全中心首页”
4、跳转到QQ安全中心首页后,点击QQ安全中心导航栏中的“安全学堂”。
5、然后点击常用功能栏下的“网址安全检查”按钮
6、进入了网站安全检测首页,请输入您要检测的网站再点击“立即检测”
7、检测结果显示:该网站系“安全网站”,还有相应的“网站主办方称”“ICP备案”等详细信息。
通过浏览器来检测
1、打开浏览器,百度搜索“360网站安全检测”,如下图。点击第一个带有官网字样的结果进入360网站安全检测 - 在线安全检测,网站漏洞修复官方网站。
一、进行网站安全漏洞扫描
由于现在很多网站都存在sql注入漏洞,上传漏洞等等漏洞,而黑客通过就可以通过网站这些漏洞,进行SQL注入进行攻击,通过上传漏洞进行木马上传等等。所以网站安全检测很重要一步就是网站的漏洞检测,在这就借用工具“亿思”来说明一下。
亿思网站安全检测平台,是在线的网站漏洞检测工具,之前都是需要邀请码才可以注册使用的,不过目前已经开放免费使用了,有需要可以到http://www.iiscan.com/index/register注册。
将已经认证好的网站的URL填入扫描栏,根据实际情况将输出报表和扫描的选项选好,安添加任务运行就可以。一般选择“All选项”就可以。
等扫描完后就可以查看网站所存在的漏洞和存在的网页,可以根据报告里面的建议进行漏洞修补,但请注意,在修改网页代码之前要先做好备份工作。
对于手动安全测试来说,一般常用的有三点:
1、URL有参数的,手动修改参数,看是否得到其他用户的信息和相关页面;如果得到其他页面,那就应该采取其他的措施来检测。
2、在登录输入框的地方输入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;注意区分大小写,否则检测会显示失败。
3、在注重SQL注入的同时,一般在有输入框的地方输入,点击回车自动检测安全性。
对于自动化安全测试来说:
测试组目前使用的安全测试工具为 IBM 的AppScan(当然,是破解版,34上已经放过该工具的安装包)
1、在使用之前务必确认自己绑定的Host;如果没有绑定,检测结果是无法发送的。
2、配置URL、开发环境、错误显示类型;
