网站漏洞扫描,哲想软件,漏洞扫描

这是一款商业的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。

WVS自动地检查下面的漏洞和内容：

·版本检查，包括易受攻击的Web服务器，易受攻击的Web服务器技术

·CGI测试，网站漏洞扫描，包括检查Web服务器的问题，主要是决定在服务器上是否启用了危险的HTTP方法，例如PUT，TRACE，DELETE等等。

·参数操纵：主要包括跨站脚本攻击（XSS）、SQL注入攻击、代码执行、目录遍历攻击、文件入侵、脚本源代码泄漏、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操纵、URL重定向、应用程序错误消息等。

·多请求参数操纵：主要是Blind SQL / XPath注入攻击

·文件检查：检查备份文件或目录，查找常见的文件（如日志文件、应用程序踪迹等），以及URL中的跨站脚本攻击，还要检查脚本错误等。

·目录检查，主要查看常见的文件，发现敏感的文件和目录，发现路径中的跨站脚本攻击等。

·Web应用程序：检查特定Web应用程序的已知漏洞的大型数据库，例如论坛、Web入口、CMS系统、电子商务应用程序和PHP库等。

·文本搜索：目录列表、源代码揭示、检查电子邮件地址、微软Office中可能的敏感信息、错误消息等。

·GHDB Google攻击数据库：可以检查数据库中1400多条GHDB搜索项目。

·Web服务：主要是参数处理，其中包括SQL注入/Blind SQL注入（即盲注攻击）、代码执行、XPath注入、应用程序错误消息等。

使用该软件所提供的手动工具，还可以执行其它的漏洞测试，包括输入合法检查、验证攻击、缓冲区溢出等。

找台机器安装Acunetix Web Vulnerability Scanner

选择file->new->web site scan

输入url，接着对登录操作选项，可以进行登录操作录制并保存，其它默认就可以开始扫描了。

7.限制访问wp-admin目录

通过一层HTTP认证来保护您的WordPress管理区域的密码是阻止攻击者尝试猜测用户密码的有效措施。 此外，如果攻击者设法窃取用户的密码，他们将需要通过HTTP身份验证才能访问WordPress登录表单。

基本的HTTP认证

警告 - 基本的HTTP验证要求密码通过网络以明文形式发送。在这样的程度上，强烈建议您使用HTTPS加密数据传输。

在Apache HTTP Server中，您可以通过创建.htpasswd文件并添加下面描述的一些配置指令来实现此目的。

.htpasswd文件存储Web服务器将用于验证用户的用户名和密码哈希的组合。您可以使用htpasswd命令行或使用在线密码文件生成器创建.htpasswd文件。

几个Linux发行版与Apache本身一起安装htpasswd工具，但是大多数Debian和Ubuntu用户都需要安装apache2-utils软件包，如下所示。

apt-get更新

apt-get升级

apt-get install apache2-utils

一旦安装了htpasswd，运行以下命令创建一个新的.htpasswd文件与一个用户。以下命令将创建一个位于/srv/auth/.htpasswd的新的.htpasswd文件，其用户名为myuser。然后，漏洞扫描系统，htpasswd将提示您输入，然后确认您选择的密码。

htpasswd -c /srv/auth/.htpasswd myuser

注意 - 强烈建议不要将.htpasswd文件存储在Web访问目录中。默认情况下，具有.ht前缀的所有文件不由Apache提供，但不应该假定。

要在WordPress管理区域上启用基本的HTTP身份验证，您需要在wp-admin目录下激的活以下描述的指令，并引用之前创建的.htpasswd文件。将以下行插入服务器的Apache配置文件的相应部分或wp-admin目录中的.htaccess文件中。

AuthType Basic

AuthUserFile /srv/auth/.htpasswd

AuthName“WordPress认证区”。

需要有效用户

AuthType指令指的定认证类型。在这种情况下，正在配置基本身份验证。

AuthUserFile指令指的定.htpasswd文件的完整路径。该文件是用于存储密码散列的文件，服务器稍后将使用它来对用户进行身份验证。

AuthName指令包含一个任意消息，浏览器将在验证时向用户显示。要求有效用户设置只是指示Apache允许任何有效的用户进行身份验证。

注意 - 虽然该文件可以位于文件系统的任何位置，但我们强烈建议您不要将它们放置在可访问Web的目录中。默认情况下，以.ht开头的所有文件在Apache的大多数默认配置中都不能进行网络访问，漏洞扫描器，但这不应该被假定。

8.禁用文件编辑

默认情况下，WordPress允许管理用户编辑WordPress管理界面内的插件和主题的PHP文件。

如果攻击者设法访问管理帐户，这通常是攻击者首先要查找的，因为该功能允许在服务器上执行代码。

在wp-config.php中输入以下常量，禁止在管理界面中进行编辑。

define（'DISALLOW_FILE_EDIT'，true）;

9.防止WordPress用户名枚举

在许多WordPress博客中，漏洞扫描，可以使用作者的归档页面来枚举WordPress用户。如果WordPress固定链接被启用，并且用户已经发布了一个或多个帖子，这是有效的。

您可以在文章WordPress用户名枚举中使用HTTP Fuzzer更详细地阅读WordPress用户名枚举

为了防止WordPress用户名枚举，您可以将以下规则添加到WordPress网站的.htaccess文件（这通常位于您的网站的根目录中）。

RewriteCond％{QUERY_STRING} author = d

RewriteRule ^ /？ [L，R = 301]