隨著網站越來越多元化，內容或資訊都會不定期更新，而每個新增的頁面或連結，都有可能帶來新的漏洞，因此，網站的安全性 檢測不論在上線前或是每次更新時，都是務必檢查的工作。 但是手動的網站檢測，對使用者而言是很大的負擔，尤其以目前網站動輒數百至數千頁，以人工方式對每一頁進行澈底的安全檢 測近乎不可能，此時，方便而自動化的檢測工具就很重要了。以下介紹幾套好用、便利及自動化檢測的免費工具，使用者可以自 行上網下載使用，對網站安全進行基本的檢查，降低網站被入侵的風險。 二、工具介紹iiscan(億思） 億思網站安全檢測平臺能夠提供在線的安全檢測服務，讓用戶可以在線掃描網站的安全隱患，是目前掃描速度最為理想的國內的 掃描工具。針對與網站的SQL注入，跨站攻擊，網頁篡改等存在漏洞進行掃描。目前億思已經將網站掃描功能免費化了。而且操 作簡單，比較適合一般站長使用。由于億思只提供web版，故大家只能上它官網掃描，地址見簽名。。。不過這樣也有個好處， 就是把任務提交就可以，不必占著內存等掃描。。Grendel-Scan Grendel-Scan工具是一套自動化圖形介面的網站安全性檢測工具，可運行在Windows及Macintosh作業系統上， 并提供Source Code下載。 Grendel-Scan可以檢測相當完整的弱點，包含檔案列舉(File Enumeration)、 資訊泄漏(Information Leakage)、連線管理(Session Management)、XSS、惡意攻擊(Miscellaneous Attacks)、 應用程式架構(Application Architecture)、網站設定(Web Server Configuration)及SQL Injection等弱點分項， 使用者可對每一分項再就需要檢測的項目進行細部調整。此外Grendel-Scan亦具備網站爬尋功能， 因此在檢測時只需提供起始頁面，即可取得網站樹狀結構并對每一頁面自動檢測。 Grendel-Scan也具備了許多其他好用的功能，例如：選擇是否使用代理伺服器進行檢測、 選擇不同的報告輸出格式、設定檢測速度、預先設定須登入頁面之帳號密碼，及設定檢測時URL之黑名單與白名單等， 這些都是在從事網頁檢測時非常方便的功能。Nikto Nikto工具是一款能對網站伺服器執行多種安全測試的自動化掃描軟體，與其他工具不同的是，Nikto為文字介面之檢測工具， 在操作上或許沒有其他工具那么直覺，但也不算困難，可在命令提示字元下輸入nikto.pl –Help，即可顯示詳細的操作說明。 Nitko可對伺服器進行全面掃描，包含超過3,500種具有潛在危險的文件或CGI檔案、超過900種伺服器版本問題及逾250種特定伺服器問題。此外，Nikto的掃描項目和外掛程式仍在持續更新，只須在命令提示字元下輸入nikto.pl –update，即可至Nikto官網下載最新套件進行更新。 Nikto具有另一項特色為掃描速度快，可在最短時間內對網站伺服器相關的不安全設定、錯誤的配置及久未更新之過時軟體進行偵測，是網站檢測時一個很方便的利器。Burp Suite Burp Suite 也是一套JAVA語言撰寫成的網頁代理伺服器型檢測工具，使用的方法和Paros類似，但在功能上Burp Suite 卻有其獨特處。使用者將代理伺服器指向Burp Suite，使用爬尋功能取得網站樹狀結構之后， 即可將找到的頁面送至Burp Suite中其他如掃描(Scanner)、入侵(Intruder)或重復注冊檢測(Repeater)等功能， 其中掃描可檢測XSS、SQL Injection等弱點，而重復注冊檢測則能測試網站是否可防范大量注冊或灌票等弱點。 此外，入侵功能可說是Burp Suite最強大的功能之一，可以對特定頁面傳送大量不同的參數，并觀察特定回傳欄位的變化， 對于暴力破解密碼或Blind SQL Injection的檢測都非常好用。唯一美中不足的地方是，免費版的Burp Suite不支援或 只有部分支援某些功能(如免費版的入侵功能測試速度較慢)，但其基本功能足以完成很多的網站弱點測試，因此在從事網站檢 測時，仍是一套非常好用的工具。 本帖最后由 j8i4a2n6 于 前天08:30 編輯 Burp Suite

• Burp Proxy - an intercepting HTTP/S proxy server which operates as a man-in-the-middle between the end browser and the target web application, allowing you to intercept, inspect and modify the raw traffic passing in both directions.
• Burp Spider - an intelligent application-aware web spider which allows complete enumeration of an application's content and functionality.
• Burp Intruder - a highly configurable tool for automating customised attacks against web applications, such as enumerating identifiers, harvesting useful data, and fuzzing for common vulnerabilities.
• Burp Repeater - a tool for manually manipulating and re-issuing individual HTTP requests, and analysing the application's responses.
• Burp Sequencer - a tool for analysing the quality of randomness in an application's session tokens or other important data items which are intended to be unpredictable.
• Burp Decoder - a tool for performing manual or intelligent decoding and encoding of application data.
• Burp Comparer - a utility for performing a visual "diff" between any two items of data, normally pairs of related requests and responses.

基本上上面這些是Burp Suite包含的工具

如果想使用有GUI的工具進行封包編輯和網頁嗅探就用這套吧

官方網頁 http://portswigger.net/

Burp Suite網頁 http://portswigger.net/suite/

Burp Suite下載點 burpsuite_v1.1.zip

Burp Suite是一個免費的網站攻擊工具。它包括proxy、spider、intruder、repeater四項功能。該程序使用Java寫成，需要 JRE 1.4 以上版本。可以在 http://portswigger.net/suite/ 下載，目前最新版本為 1.0.1。

解壓之后執行 suite.bat，片刻之后即可啟動。

proxy spider intruder repeater

proxy

在本地架設代理服務器以截獲并修改瀏覽器發出的請求。默認設置為 127.0.0.1:8080。使用時只要將瀏覽器的代理服務器設置為 127.0.0.1:8080，burp proxy就會截獲到瀏覽器發出的請求，并可方便地進行修改之后再向原網站發出，以達到篡改cookie、URL、form等目的。

將瀏覽器的代理服務器設置為 localhost:8080，然后訪問任意一個網站。burp proxy即可截獲到該請求。你可以方便地編輯該請求的內容，然后按Forward按鈕將編輯之后的請求發到原網站；或者按Drop按鈕丟棄該請求。

spider

intruder

repeater

burp repeater可以將同樣的請求多次發送。你可以不斷地修改請求的各種參數并發送，以尋找最好的攻擊方法。

轉載于:https://www.cnblogs.com/tangge/archive/2011/02/18/1957905.html

總結

以上是生活随笔為你收集整理的web扫描的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。