盗墓笔记第二季,古风君子以泽,我欲封天耳根小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

利用Nessus進行WEB應用安全掃描

在此前的文章中，游俠談到過 [免費網(wǎng)絡和主機漏洞評估程序Nessus 4.2.0安裝試用]，可能有朋友注意到，Nessus只是掃描主機、網(wǎng)絡設備等的漏洞，而對于目前相當流行的Web應用安全漏洞沒有涉及，其實Nessus是有此項設置的，不過默認沒有打開——理由是會延長掃描時間……游俠感覺還是有必要說一下的?！　?/p>

創(chuàng)新互聯(lián)建站網(wǎng)站建設服務商，為中小企業(yè)提供成都網(wǎng)站設計、做網(wǎng)站、成都外貿(mào)網(wǎng)站建設公司服務，網(wǎng)站設計，綿陽服務器托管等一站式綜合服務型公司，專業(yè)打造企業(yè)形象網(wǎng)站，讓您在眾多競爭對手中脫穎而出創(chuàng)新互聯(lián)建站。

Nessus可以掃描的Web應用安全項目包括：

SQL injection

Cross-Site Scripting (XSS)

HTTP Header Injection

Directory Traversal

Remote File Inclusion

Command Execution

在Google搜了下，居然沒有中文文檔，就自己啃e文吧……　　

上面說了，Nessus因為掃描Web應用時間太長，所以默認沒有開啟這個功能，那么我們首先得開啟這個功能。涉及到如下三個功能項：

Global variable settings

Web Application Tests Settings

Web mirroring

首先必須設置全局變量，開啟Web應用掃描，看圖操作：

選擇：Enable CGI Scanning，允許CGI掃描　　

選擇：Enable experimental scripts，允許實驗性腳本?！　?/p>

其次設置Web應用測試設置：

Enable web applications tests是要選擇的　　

Maximum run time，***運行時間，抄襲Tenable Nessus某文檔設置為120 嘿嘿　　

下面的大家自己參照設置?！　?/p>

***，需要設置Web mirroring，看圖：

說明一個地方，官方文檔的說法：　　

The “Excluded items regex” is a powerful method for establishing granular mirroring

exemptions. For example, if you do not want to crawl (or scan) “/manual”

and do not want to test any Perl-based CGI, set this field to:

(^/manual)|(\.pl(\?.*)?$).

Excluded items regex的中文意思是“排除項正則表達式”，你可以通過設置這里不掃描網(wǎng)站的某些目錄，如：一般是設置images、template等目錄。您可以自己設置?！　?/p>

游俠測試了一個網(wǎng)站，發(fā)現(xiàn)添加了Web應用安全測試后的掃描速度真的是很慢……當然，如果您用其它的Web安全掃描工具進行掃描也是如此，這不是Nessus的問題。

【編輯推薦】

搜索結果研究人員致力于智能化Web應用程序安全掃描工具
搜索結果網(wǎng)絡安全掃描工具Nessus

網(wǎng)頁名稱：利用Nessus進行WEB應用安全掃描
文章網(wǎng)址：http://fisionsoft.com.cn/article/cojccjc.html

新聞中心

其他資訊