如何查看我网站的安全性？

Question

如何查看我网站的安全性？

避免安全漏洞的最佳方法是什么？

Answer 1

如果您使用任何第三方图书馆，请务必成为其新闻列表的订阅者，并尝试通知他们的安全通知。

我看到整个服务器被第三方PHP库中的漏洞取出一次真的不愉快。这似乎是显而易见的，但你会惊讶于大多数人不这样做，这就是为什么入侵是如此有效。 :)

Answer 2

• http://php-ids.org/
• http://pixybox.seclab.tuwien.ac.at/pixy/othertools.php
• 关于证券文件的大量阅读

Answer 3

Javascript / SQL注入将是我要防范的第一件事。另请注意，如果您允许用户将文件上传到网站，则可能存在漏洞。还要警惕管理员控制面板（CPanel等），因为它们可能会成为暴力强制行为的对象。

Answer 4

如果您没有技能/资源来进行自己的安全测试，我建议您WebInspect。我不确定价格，但这是我测试过网络安全测试的最佳工具。许多工具（如Nessus）在您的情况下无法提供帮助，因为它们主要关注Web服务器或已知软件包中的已知流程。

Answer 5

Ratproxy ：

  

半自动化，基本上是被动的网络   应用安全审计工具，   优化准确和   敏感检测，自动   注释，潜在问题和   安全相关的设计模式   根据对现有的观察，   用户启动的复杂Web流量   2.0环境。

     

检测广泛的类并确定其优先级   安全问题，如动态   跨站点信任模型考虑因素，   脚本包含问题，内容   服务问题，XSRF不足   和XSS防御等等。

在正常使用应用程序时使用ratproxy，它突出了潜在的安全漏洞。

Answer 6

我将从第二个问题开始。要取消网站上的安全漏洞，您必须执行以下几个步骤：

1. 如果您使用开源CMS（如Joomla，Drupal或其他人），请及时更新。还要定期更新第三方组件，模块等（尽快）。这可能是最重要的一步。
2. 安装安全的FTP客户端（如WinSCP）并使用最安全的连接
3. 更改所有FTP密码。使用强密码。
4. 更改登录您站点的管理后端
5. 检查.htaccess文件的权限和内容。如果您以前没有使用过，请获取此文件。
6. 确保您的网络文件夹中没有任何遗忘的php文件浏览器。

现在，如果您想测试网站安全性，那么有许多免费和开源工具。我建议从w3af开始 - 这是一个全面的网站审计框架。但是，你必须稍微玩一下。 websecurify更简单。如果您只想快速获得结果，请使用websecurify。我发现了一篇描述最流行的免费网站安全测试工具的博客文章。

但是，如果您是一个完整的新手，我建议您从专业人士那里订购网站安全测试。检查例如webyfly.com。

Answer 7

1. 响应Robert Mirek answer - 我不建议将CMS更新作为默认设置。更新并不总是有效的，因为新版本往往带有新的，但尚未修补的漏洞利用。这里的主要问题不是偶数版本本身，而是所有需要更新的插件（或扩展或模块），并且每次更新都会增加漏洞的可能性。等待几天，在更新之前阅读一轮，你将为自己省去很多问题。

2. 关于网站安全检查。问题应该更具体。您有什么担心（SQL注入，非法访问，XSS，抓取？）某些攻击无法避免（即僵尸网络DDoS），必须通过第三方解决方案吸收，其他攻击可以通过WAF进行缓解。

   < / LI>

   我在一家安全公司（Incapsula）工作，在看到和阅读很多关于这个主题后我可以告诉你一件事 - 检查几乎无关紧要，如果你不是一个强大的基于WAF和云的DDoS缓解平台，你是不安全。