漏洞掃描_哲想軟件_網(wǎng)站漏洞掃描工具

Acunetix AcuSensor 技術(shù)

Acunetix’s 獨(dú)特的

AcuSensor技術(shù)可以讓你查找出比網(wǎng)絡(luò)應(yīng)用程序掃描更多的漏洞，同時(shí)生成更少的錯(cuò)誤信息。Acunetix AcuSensor可以準(zhǔn)確顯示代碼中的漏洞，以及另外的報(bào)告調(diào)試信息。

屏幕截圖——AcuSensor準(zhǔn)確找出代碼中的漏洞

更高的精的確度，可用于PHP和.NET網(wǎng)絡(luò)應(yīng)用程序，通過(guò)結(jié)合黑盒子掃描技術(shù)和從源代碼中傳感器的反饋信息。黑盒子掃描無(wú)法識(shí)別應(yīng)用程序的反應(yīng)，漏洞掃描器，源代碼分析器又無(wú)法識(shí)別受到襲的擊后應(yīng)用程序的動(dòng)作。

AcuSensor結(jié)合兩種技術(shù)達(dá)到更好的結(jié)果，比源代碼分析器和黑盒子掃描單獨(dú)工作的結(jié)果都要好。

AcuSensor傳感器可以被插入到.NET和PHP代碼。不需要 .NET源代碼，傳感器可以添加到已經(jīng)編譯過(guò)的.NET

應(yīng)用程序！

因此不需要安裝編譯器或者是獲取網(wǎng)絡(luò)應(yīng)用程序的源代碼，這對(duì)于作為第三方使用.NET應(yīng)用程序是非常大的一個(gè)優(yōu)勢(shì)。PHP網(wǎng)絡(luò)應(yīng)用程序的源代碼是可用的。至今，

Acunetix是唯的一可以實(shí)施此技術(shù)的網(wǎng)絡(luò)漏洞掃描器。

10.為所有登錄和wp-admin啟用HTTPS

嚴(yán)格來(lái)說(shuō)，HTTPS本身不是一個(gè)協(xié)議，但它是HTTP封裝在TLS / SSL中。 TLS或SSL，通常被稱為，為網(wǎng)站和Web應(yīng)用程序提供正在傳輸?shù)臄?shù)據(jù)的加密和驗(yàn)證以驗(yàn)證主機(jī)的身份。

HTTPS通常與購(gòu)物車和網(wǎng)上銀行是同義詞，但實(shí)際上，只要用戶將敏感信息傳遞到Web服務(wù)器，反之亦然。

根據(jù)站點(diǎn)的流量，TLS / SSL可能會(huì)大大消耗服務(wù)器資源。因此，對(duì)于大多數(shù)網(wǎng)站，不需要使用HTTPS為整個(gè)網(wǎng)站提供服務(wù)。另一方面，WordPress的登錄表單和管理區(qū)域可能是WordPress網(wǎng)站最敏感的區(qū)域。因此強(qiáng)烈建議TLS / SSL不僅在這些領(lǐng)域得以實(shí)施，而且得到執(zhí)行。

WordPress提供了一種在wp-login和wp-admin頁(yè)面上實(shí)施TLS / SSL的簡(jiǎn)單方法。這通過(guò)在您的站點(diǎn)的wp-config.php文件中定義兩個(gè)常量來(lái)實(shí)現(xiàn)。

注意 - 您必須已經(jīng)在服務(wù)器上配置TLS / SSL并在網(wǎng)站正常工作之前將這些常量設(shè)置為true。

為確保登錄憑據(jù)在傳輸?shù)絎eb服務(wù)器時(shí)被加密，請(qǐng)?jiān)趙p-config.php中定義以下常量。

define（'FORCE_SSL_LOGIN'，true）;

為確保使用WordPress管理面板時(shí)傳輸中的敏感數(shù)據(jù)（如會(huì)話cookie）被加密，請(qǐng)?jiān)趙p-config.php中定義以下常量。

>define('FORCE_SSL_ADMIN'， true);

11.限制直接訪問(wèn)插件和主題PHP文件

允許直接訪問(wèn)PHP文件可能是危險(xiǎn)的，漏洞掃描，原因有很多。一些插件和主題文件可以包含不被直接調(diào)用的PHP文件，因?yàn)樵撐募⒈徽{(diào)用將在其他文件中定義的函數(shù)。這可能會(huì)導(dǎo)致PHP解釋器顯示可能導(dǎo)致信息泄露的錯(cuò)誤或警告。

限制直接訪問(wèn)PHP文件的另一個(gè)原因是為了防止攻擊者在代碼分解成較小的文件時(shí)繞過(guò)或避免安全措施（例如身份驗(yàn)證）（隨后將被包含并與其他代碼一起使用）

一些插件和主題將代碼分解成較小的文件，并將這些文件包含在較大的代碼段中。攻擊者有時(shí)可以直接調(diào)用一個(gè)較小的文件，并且可以避免諸如輸入驗(yàn)證檢查之類的各種安全措施。大多數(shù)時(shí)候，這是因?yàn)轵?yàn)證不會(huì)在其他文件中執(zhí)行，網(wǎng)站漏洞掃描工具，而不是在所提到的較小的模塊中執(zhí)行。

此外，如果在服務(wù)器上啟用了register_globals指令（在PHP版本4.2.0及更高版本中，web漏洞掃描器，默認(rèn)情況下禁用指令），可以直接訪問(wèn)PHP文件，攻擊者可能會(huì)執(zhí)行若干惡意行為，包括從GET / 請(qǐng)求定義PHP變量，并繞過(guò)各種保護(hù)機(jī)制。

絕大多數(shù)插件和主題都不需要用戶直接向PHP文件發(fā)出HTTP請(qǐng)求，但如果有異常，則可以將需要直接訪問(wèn)PHP文件的文件和目錄列入白名單。以下規(guī)則將重定向到PHP文件的任何直接請(qǐng)求到您選擇的頁(yè)面（在下面的示例中，服務(wù)器將使用404頁(yè)面和狀態(tài)代碼進(jìn)行響應(yīng)）。

＃限制從插件和主題目錄訪問(wèn)PHP文件

RewriteCond％{REQUEST_URI}！^ / wp-content / plugins / file / to / exclude ﹨ .php

RewriteCond％{REQUEST_URI}！^ / wp-content / plugins / directory / to / exclude /

RewriteRule wp-content / plugins /（。* ﹨。php）$ - [R = 404，L]

RewriteCond％{REQUEST_URI}！^ / wp-content / themes / file / to / exclude ﹨ .php

RewriteCond％{REQUEST_URI}！^ / wp-content / themes / directory / to / exclude /

RewriteRule wp-content / themes /（。* ﹨。php）$ - [R = 404，L]

12.防止PHP文件執(zhí)行

由于WordPress網(wǎng)站需要允許用戶上傳新內(nèi)容，因此WordPress的上傳目錄需要寫入。 在這樣的程度上，您的wp-content / uploads目錄應(yīng)被視為潛在的入口點(diǎn)。

最的大的潛在威脅是上傳PHP文件。 WordPress不允許用戶在其管理控制臺(tái)中上傳PHP文件，但是，插件或主題可能允許文件上傳而不使用指的定的WordPress API來(lái)執(zhí)行此操作。 這可能會(huì)導(dǎo)致惡意的PHP文件上傳，從而在服務(wù)器上執(zhí)行。

減輕此潛在安全風(fēng)險(xiǎn)的最的佳方法是拒絕Web服務(wù)器使用以下規(guī)則在wp-content / uploads目錄中提供任何PHP文件。

<Directory“/ var / www / wp-content / uploads /”>

<Files“* .php”>

拒絕，拒絕

全部拒絕

</ Files>

</ Directory>

13.保護(hù)您的調(diào)試日志

在開(kāi)發(fā)插件或主題之前，以及在部署WordPress站點(diǎn)期間，開(kāi)發(fā)人員或系統(tǒng)管理員可能會(huì)啟用調(diào)試日志來(lái)記錄發(fā)生的任何PHP錯(cuò)誤。

WordPress使用在wp-config.php中定義的WP_DEBUG常量。該常量用于在WordPress中觸發(fā)調(diào)試模式。該常量默認(rèn)設(shè)置為false。

開(kāi)發(fā)人員和管理員也可以將WP_DEBUG_LOG和WP_DEBUG_DISPLAY伴隨常量啟用WP_DEBUG。 WP_DEBUG_LOG在wp-contents文件夾中創(chuàng)建一個(gè)日志文件，而WP_DEBUG_DISPLAY控制調(diào)試消息是否顯示在頁(yè)面的HTML頁(yè)內(nèi)。

當(dāng)主題，插件或網(wǎng)站正在開(kāi)發(fā)中時(shí)，上述任何內(nèi)容都將是有用的，但是如果在生產(chǎn)網(wǎng)站上啟用，則可能會(huì)導(dǎo)致信息泄露 - 允許惡意用戶查看錯(cuò)誤和其他日志記錄信息。在生產(chǎn)系統(tǒng)上應(yīng)禁用WP_DEBUG常量，方法是從wp-config.php文件中常量，或?qū)⑵湓O(shè)置為false，如下所示。define（'WP_DEBUG'，false）;