哲想軟件(圖)_漏洞掃描系統(tǒng)_漏洞掃描

7.限制訪問(wèn)wp-admin目錄

通過(guò)一層HTTP認(rèn)證來(lái)保護(hù)您的WordPress管理區(qū)域的密碼是阻止攻擊者嘗試猜測(cè)用戶密碼的有效措施。 此外，如果攻擊者設(shè)法竊取用戶的密碼，他們將需要通過(guò)HTTP身份驗(yàn)證才能訪問(wèn)WordPress登錄表單。

基本的HTTP認(rèn)證

警告 - 基本的HTTP驗(yàn)證要求密碼通過(guò)網(wǎng)絡(luò)以明文形式發(fā)送。在這樣的程度上，強(qiáng)烈建議您使用HTTPS加密數(shù)據(jù)傳輸。

在Apache HTTP Server中，您可以通過(guò)創(chuàng)建.htpasswd文件并添加下面描述的一些配置指令來(lái)實(shí)現(xiàn)此目的。

.htpasswd文件存儲(chǔ)Web服務(wù)器將用于驗(yàn)證用戶的用戶名和密碼哈希的組合。您可以使用htpasswd命令行或使用在線密碼文件生成器創(chuàng)建.htpasswd文件。

幾個(gè)Linux發(fā)行版與Apache本身一起安裝htpasswd工具，但是大多數(shù)Debian和Ubuntu用戶都需要安裝apache2-utils軟件包，網(wǎng)站漏洞掃描，如下所示。

apt-get更新

apt-get升級(jí)

apt-get install apache2-utils

一旦安裝了htpasswd，運(yùn)行以下命令創(chuàng)建一個(gè)新的.htpasswd文件與一個(gè)用戶。以下命令將創(chuàng)建一個(gè)位于/srv/auth/.htpasswd的新的.htpasswd文件，其用戶名為myuser。然后，htpasswd將提示您輸入，然后確認(rèn)您選擇的密碼。

htpasswd -c /srv/auth/.htpasswd myuser

注意 - 強(qiáng)烈建議不要將.htpasswd文件存儲(chǔ)在Web訪問(wèn)目錄中。默認(rèn)情況下，漏洞掃描系統(tǒng)，具有.ht前綴的所有文件不由Apache提供，但不應(yīng)該假定。

要在WordPress管理區(qū)域上啟用基本的HTTP身份驗(yàn)證，您需要在wp-admin目錄下激的活以下描述的指令，并引用之前創(chuàng)建的.htpasswd文件。將以下行插入服務(wù)器的Apache配置文件的相應(yīng)<Directory>部分或wp-admin目錄中的.htaccess文件中。

AuthType Basic

AuthUserFile /srv/auth/.htpasswd

AuthName“WordPress認(rèn)證區(qū)”。

需要有效用戶

AuthType指令指的定認(rèn)證類型。在這種情況下，正在配置基本身份驗(yàn)證。

AuthUserFile指令指的定.htpasswd文件的完整路徑。該文件是用于存儲(chǔ)密碼散列的文件，服務(wù)器稍后將使用它來(lái)對(duì)用戶進(jìn)行身份驗(yàn)證。

AuthName指令包含一個(gè)任意消息，瀏覽器將在驗(yàn)證時(shí)向用戶顯示。要求有效用戶設(shè)置只是指示Apache允許任何有效的用戶進(jìn)行身份驗(yàn)證。

注意 - 雖然該文件可以位于文件系統(tǒng)的任何位置，但我們強(qiáng)烈建議您不要將它們放置在可訪問(wèn)Web的目錄中。默認(rèn)情況下，以.ht開(kāi)頭的所有文件在Apache的大多數(shù)默認(rèn)配置中都不能進(jìn)行網(wǎng)絡(luò)訪問(wèn)，但這不應(yīng)該被假定。

8.禁用文件編輯

默認(rèn)情況下，WordPress允許管理用戶編輯WordPress管理界面內(nèi)的插件和主題的PHP文件。

如果攻擊者設(shè)法訪問(wèn)管理帳戶，這通常是攻擊者首先要查找的，因?yàn)樵摴δ茉试S在服務(wù)器上執(zhí)行代碼。

在wp-config.php中輸入以下常量，禁止在管理界面中進(jìn)行編輯。

define（'DISALLOW_FILE_EDIT'，true）;

9.防止WordPress用戶名枚舉

在許多WordPress博客中，可以使用作者的歸檔頁(yè)面來(lái)枚舉WordPress用戶。如果WordPress固定鏈接被啟用，并且用戶已經(jīng)發(fā)布了一個(gè)或多個(gè)帖子，這是有效的。

您可以在文章WordPress用戶名枚舉中使用HTTP Fuzzer更詳細(xì)地閱讀WordPress用戶名枚舉

為了防止WordPress用戶名枚舉，您可以將以下規(guī)則添加到WordPress網(wǎng)站的.htaccess文件（這通常位于您的網(wǎng)站的根目錄中）。

RewriteCond％{QUERY_STRING} author = d

RewriteRule ^ /？ [L，R = 301]

Acunetix 漏洞掃描軟件V11最的新版本發(fā)布，早期識(shí)別和跟的蹤Web應(yīng)用程序

Acunetix Jenkins Plugin

我們很高興地宣布發(fā)布Acunetix Jenkins插件。 Jenkins的這個(gè)插件是流行的開(kāi)源連續(xù)集成（CI）自動(dòng)化平臺(tái)，web漏洞掃描器，允許DevOps在軟件開(kāi)發(fā)生命周期（SDLC）早期識(shí)別和跟蹤Web應(yīng)用程序漏洞，在制作之前至關(guān)重要。

Acunetix Jenkins插件與Jenkins的構(gòu)建過(guò)程無(wú)縫集成，可觸發(fā)自動(dòng)化Acunetix掃描，作為Jenkins CI平臺(tái)內(nèi)Web應(yīng)用程序構(gòu)建過(guò)程的一部分！

Acunetix v11 更新

Acunetix v11（build 11.0.170461052）已發(fā)布。 基于客戶反饋，新版本重新實(shí)現(xiàn)了先前版本的Acunetix中的功能，如自定義掃描配置文件，手動(dòng)干預(yù)和重新測(cè)試警報(bào)等。
?創(chuàng)建和定制掃描配置文件 - 現(xiàn)在可以在Acunetix UI里
?手動(dòng)干預(yù)事件 - 配置為Captchas登錄序列和一次性密碼的一部分
?重新測(cè)試Acunetix發(fā)現(xiàn)的漏洞

Acunetix測(cè)試工具

以前并入產(chǎn)品的手動(dòng)筆測(cè)試工具現(xiàn)在可以提供下載。滲透測(cè)試人員可以使用HTTP編輯器修改或制作HTTP請(qǐng)求并分析響應(yīng); 使用集成的HTTP Sniffer即時(shí)攔截和修改HTTP流量; 使用HTTP Fuzzer進(jìn)行模糊測(cè)試HTTP請(qǐng)求，并進(jìn)一步使用Blind SQL Injector進(jìn)行測(cè)試Blind SQL Injection漏洞。

事件

Acunetix再次在2017年2月13日至17日在舊金山舉行的RSA會(huì)議上展出。這是事件的亮點(diǎn)。

熱門提示

開(kāi)始使用HTTP編輯器（Editor），嗅探器（Sniffer）和Fuzzer

他的HTTP Sniffer，F(xiàn)uzzer和Editor是Acunetix手冊(cè)工具套件中可以下載的一組工具的一部分。 HTTP Sniffer是一種代理，可讓您分析HTTP請(qǐng)求和響應(yīng)，并手動(dòng)抓取站點(diǎn)結(jié)構(gòu)。 HTTP Fuzzer是一個(gè)工具，允許您自動(dòng)發(fā)送大量HTTP請(qǐng)求，包括無(wú)效，意外和隨機(jī)數(shù)據(jù)到網(wǎng)站，以測(cè)試輸入驗(yàn)證和速率限制。 HTTP編輯器允許您創(chuàng)建，分析和編輯客戶端HTTP請(qǐng)求; 以及檢查服務(wù)器響應(yīng)。

Acunetix支持的發(fā)布跟的蹤器（Tracker）和WAF

Acunetix可以將問(wèn)題發(fā)送到問(wèn)題跟蹤程序 - Microsoft TFS，JIRA和GitHub。 Acunetix v11可以將掃描數(shù)據(jù)導(dǎo)出到以下Web應(yīng)用程序防火墻（WAF）：F5 BIG-IP ASM，F(xiàn)ortinet FortiWeb，Imperva SecureSphere WAF。

如何在本地主機(jī)以外的主機(jī)上使用Acunetix

默認(rèn)情況下，Acunetix（在內(nèi)部）將安裝并配置為在本地主機(jī)端口3443上運(yùn)行。如果您自己使用Acunetix，則此配置是合適的，但是如果您打算擴(kuò)展到組織中使用Acunetix，則需要調(diào)整此默認(rèn)配置。

必讀

TLS / SSL說(shuō)明

在這6部分系列中，我們專注于計(jì)算機(jī)安全，漏洞掃描，SSL和TLS中的兩種廣為人知且已經(jīng)使用的協(xié)議。 我們描述什么是TLS / SSL，簡(jiǎn)要介紹TLS和SSL的歷史，描述一些TLS / SSL術(shù)語(yǔ)，解釋TLS / SSL及其使用，建立TLS / SSL連接，并查看可能的TLS / SSL漏洞和攻擊。

如何啟用掃描日志記錄？

如果您需要對(duì)特定目標(biāo)上的掃描進(jìn)行故障排除，則可以為Target啟用調(diào)試日志記錄。 Acunetix scanner將記錄掃描的進(jìn)度和掃描過(guò)程中遇到的任何問(wèn)題。

如何在Acunetix中配置掃描速度？

能夠快速掃描網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序當(dāng)然很重要，但是快速掃描并不總是所理想的結(jié)果。 在某些情況下，您可能會(huì)以非常有限的資源（特別是在嵌入式設(shè)備上掃描Web應(yīng)用程序）掃描Web服務(wù)器上的Web應(yīng)用程序時(shí)，或者您正在以極大的速率限制掃描Web應(yīng)用程序。

隨時(shí)獲取我們網(wǎng)絡(luò)安全博客資訊

訂閱我們的網(wǎng)絡(luò)安全博客，隨時(shí)了解網(wǎng)絡(luò)安全，新威脅和新聞的最的新趨勢(shì)。我們的博客每周更新數(shù)次，并提供各種各樣的主題和教程，了解如何盡可能保持安全。