1. 如何檢測一個網站是否有安全漏洞
掃描網站漏洞是要用專業的掃描工具,下面就是介紹幾種工具
1. Nikto
這是一個開源的Web伺服器掃描程序,它可以對Web伺服器的多種項目進行全面的測試。其掃描項目和插件經常更新並且可以自動更新。Nikto可以在盡可能短的周期內測試你的Web伺服器,這在其日誌文件中相當明顯。不過,如果你想試驗一下,它也可以支持 LibWhisker的反IDS方法。不過,並非每一次檢查都可以找出一個安全問題,雖然多數情況下是這樣的。有一些項目是僅提供信息類型的檢查,這種檢查可以查找一些並不存在安全漏洞的項目,不過Web管理員或安全工程師們並不知道。
2. Paros proxy
這是一個對Web應用程序的漏洞進行評估的代理程序,即一個基於Java的web代理程序,可以評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies和表單欄位等項目。它包括一個Web通信記錄程序,Web圈套程序,hash 計算器,還有一個可以測試常見的Web應用程序攻擊的掃描器。
3. WebScarab:
它可以分析使用HTTP和HTTPS協議進行通信的應用程序,WebScarab可以用最簡單地形式記錄它觀察的會話,並允許操作人員以各種方式觀查會話。如果你需要觀察一個基於HTTP(S)應用程序的運行狀態,那麼WebScarabi就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題,還是允許安全專業人員識別漏洞,它都是一款不錯的工具。
4. WebInspect:
這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助於確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web伺服器是否正確配置,並會嘗試一些常見的 Web攻擊,如參數注入、跨站腳本、目錄遍歷攻擊等等。
5. Whisker/libwhisker :
Libwhisker是一個Perla模塊,適合於HTTP測試。它可以針對許多已知的安全漏洞,測試HTTP伺服器,特別是檢測危險CGI的存在。 Whisker是一個使用libwhisker的掃描程序。
6. Burpsuite:
這是一個可以用於攻擊Web應用程序的集成平台。Burp套件允許一個攻擊者將人工的和自動的技術結合起來,以列舉、分析、攻擊Web應用程序,或利用這些程序的漏洞。各種各樣的burp工具協同工作,共享信息,並允許將一種工具發現的漏洞形成另外一種工具的基礎。
7. Wikto:
可以說這是一個Web伺服器評估工具,它可以檢查Web伺服器中的漏洞,並提供與Nikto一樣的很多功能,但增加了許多有趣的功能部分,如後端 miner和緊密的Google集成。它為MS.NET環境編寫,但用戶需要注冊才能下載其二進制文件和源代碼。
8. Acunetix Web Vulnerability Scanner :
這是一款商業級的Web漏洞掃描程序,它可以檢查Web應用程序中的漏洞,如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面,並且能夠創建專業級的Web站點安全審核報告。
9. Watchfire AppScan:
這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試,從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞,如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式欄位處理、後門/調試選項、緩沖區溢出等等。
10. N-Stealth:
N-Stealth是一款商業級的Web伺服器安全掃描程序。它比一些免費的Web掃描程序,如Whisker/libwhisker、 Nikto等的升級頻率更高。還要注意,實際上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。N-Stealth主要為Windows平台提供掃描,但並不提供源代碼。
2. 對網站進行測試和評估的工作內容~
一個網站的建成,是各個部門分工協作的結果。設計師進行網站頁面的設計,程序進行代碼的編寫。在網站的架構完成之後,還有一項非常重要的工作,那就是網站測試。
主要測試內容:
1、伺服器穩定性、安全性。
望站伺服器的穩定和安全一直都是最頭疼的事情,所以我們應該走到麻煩的前面,首先把預想到的麻煩排除掉。
Web伺服器搭建完成上線在即,其能夠承載多大的訪問量,響應速度、容錯能力等性能指標,所有這些是管理人員最想知道也最為擔心的。如何才能知曉這一切呢?通過工具進行Web壓力測試是個好方法。通過它可以有效地測試Web伺服器的運行狀態和響應時間等性能指標。
2、程序及資料庫測試。
每個程序都有自己相對應的功能,資料庫則是數據集中的地方,尤其重要。
資料庫開發既然在軟體開發的比重逐步提高,隨之而來的問題也突出。我們以前往往重視對代碼的測試工作,隨著流程技術的日益完善,軟體質量得到了大幅度的提高,但資料庫方面的測試仍然處於空白。我們從來沒有真正將資料庫作為一個獨立的系統進行測試,而是通過對代碼的測試工作間接對資料庫進行一定的測試。隨著資料庫開發的日益升溫,資料庫測試也需要獨立出來進行符合自身特點的測試工作。
在進行性能測試的時候,一定要注意環境的一致,包括:操作系統、應用軟體的版本以及硬體的配置等,而且在進行資料庫方面的測試的時候一定要注意資料庫的記錄數、配置等要一致,只有在相同條件下進行測試,才可以對結果進行比較。
3、網頁兼容性測試,如瀏覽器、顯示器。
網頁打開多了 不會出現死頁的情況,當然也有顯示器的解析度和瀏覽器的版本問題存在。
使用不同的瀏覽器訪問同一個網站,或者頁面的時候,在一種瀏覽器下顯示正常,在另一種下就亂了。這是因為不同的瀏覽器對於網站CSS的解釋不同。
常見的瀏覽器兼容性問題,主要表現在如下兩方面;
1.頁面顯示
頁面顯示的美觀性是Web應用程序中重要需求,不同瀏覽器上呈現給用戶的同一個Web頁面可能顯示的不一樣。這些差異性主要表現在對於頁面元素的位置、大小、外觀。如果在某款瀏覽器上顯示不美觀,就會成為一個問題,需要修改。
2)功能問題
Web軟體中的功能性問題主要是不同瀏覽器對腳本的執行不一致,功能性問題極大的限制了用戶對Web界面元素的使用。這類問題通常很難被發現,比如某個按鈕可能顯示正確但實際它是無法使用的,這個則需要用戶真正的去使用它才能被發現。
4、鏈接及表單設計
鏈接測試可分為三個方面:
1.測試所有鏈接是否按指示的那樣確實鏈接到了該鏈接的頁面;
2.測試所鏈接的頁面是否存在;
3.保證Web應用系統上沒有孤立的頁面,所謂孤立頁面是指沒有鏈接指向該頁面,只有知道正確的URL地址才能訪問。
表單測試,如用戶注冊、登陸、信息提交等,我們必須測試提交操作的完整性,以校驗提交給伺服器的信息的正確性。例如:用戶填寫的出生日期與職業是否恰當,填寫的所屬省份與所在城市是否匹配等。如果使用了默認值,還要檢驗默認值的正確性。如果表單只能接受指定的某些值,則也要進行測試。例如:只能接受某些字元,測試時可以跳過這些字元,看系統是否會報錯。
當然,網站測試還有很多方面的內容,諸如連接速度測試、負載測試、壓力測試、介面測試、安全測試等等,相關文章可以在企贏001進行了解。網站測試需要用到各種測試工具,以及寫一份合格的網站測試報告,這都是我們需要了解的。
二、性能測試
(1)連接速度測試。用戶連接到電子商務網的速度與上網方式有關,他們或許是電話撥號,或是寬頻上網
(2)負載測試。負載測試是在某一負載級別下,檢測電子商務系統的實際性能。
也就是能允許多少個用戶同時在線!可以通過相應的軟體在一台客戶機上模擬多個用戶來測試負載。
(3)壓力測試。壓力測試是測試系統的限制和故障恢復能力,也就是測試電子商務系統會不會崩潰
三、安全性測試
它需要對電子商務的客戶伺服器應用程序、數據、伺服器、網路、防火牆等進行測試用相對應的軟體進行測試
上面的測試是針對電子商務的,在電子商務書上找到的,那個測試一般普通的網站就是兩方面。
基本測試
包括色彩的搭配,連接的正確性,導航的方便和正確,CSS應用的統一性
2.技術測試
網站的安全性(伺服器安全,腳本安全),可能有的漏洞測試,攻擊性測試,錯誤性測試。
網站的評估主要對以下方面:網站界面,產品展示,在線支付,在線客服,線下產品配送。更重要的是目標消費者可以很方便快捷的找到該網站,從而進行電子商務活動.讓客戶找到該電子商務網站。是否網站有一個搜索引擎!或是把自己的網站添加到一些大的分類目錄上。再就是讓目標客戶記得你網站的名字(最終效果--品牌效果)並直接進去個好的電子商務網站是看它是否經過搜索引擎優化了。
3. 怎麼查看電腦網路運行狀況
連上網路的前提是你的數據包能夠通過WAN口出去經過DNS解析然後從公網上有返回的數據!
在運行里敲 192.168.0.1 或者1.1 我想你這樣的做法應該是看連通性是否通暢!
首先在運行里敲ARP -A 看解析回來的網關地址是多少 或者在網路連接里本地連接點右鍵-屬性-支持-詳細信息 看網關地址是多少!然後去PING 網關地址
但是這樣的做法也只是你測試你PC 與電腦之間的連通
測試與外網連通 直接在運行里敲PING 公網網址 比如 ping -t
如果能PING 通 那說明你的網路是正常的。
如果不通 那麼檢查你的路由配置 網關設置 DNS的設置
希望採納