punkspider – 全球Web应用程序漏洞扫描引擎

安全问题威胁着所有Web应用程序和网站，其中XSS（跨站脚本攻击）、SQL注入最为常见。开发者一旦忽视了这一方面，有可能会造成严重的后果。
开发者可通过Punkspider来检测自己的Web应用程序（网站）中是否存在安全隐患。Punkspider是一个全球性的Web应用程序漏洞扫描引擎，可以告知开发者某个Web应用或网站中存在的安全漏洞。该引擎的原理是，利用一个可扩展的Hadoop集群，使用许多并行蜘蛛脚本来扫描互联网中数百万的网站，然后根据输入的URL来显示结果。 

研究人员在一个测试中，扫描了50000个域名后缀为“.de”的网站，其中发现XSS漏洞大约50个，SQL注入漏洞16个，SQL盲注（Blind SQL Injection）漏洞大约120个。在对32,290个域名后缀为“.co.uk”的网站扫描中，共检测出30个XSS漏洞，2个SQL注入漏洞，60个SQL盲注漏洞。当然，不排除有些是误报。
Punkspider尽管可以帮助开发者扫描安全漏洞，但其公开结果的方式可能会导致更大的安全威胁——一些居心叵测的人可以找到大量的有用的网站漏洞信息，也引起了Web开发者的强烈不满。Punkspider集中了大量网站的安全漏洞数据，而这些漏洞信息都是未经网站所有者同意的情况下扫描的，是否存在法律问题还不得而知。
在扫描一些网站时，可能会显示“没有结果”，但不排除Punkspider未来会将这些网站加入扫描目标列表中。Web开发者还无法从Punkspider的数据库中删除相关漏洞信息，只有修复这些安全漏洞。
对此，Punkspider项目CTO Alejandro Caceres称，该引擎还是会遵循Web应用程序中robots.txt中的相关说明。他同时表示，该项目还是利大于弊的，项目的目标是提醒企业web应用中存在这样的漏洞，而且这是免费的，企业应该要求自己的开发者来修复它们。 

小编还是喜欢这个网页:http://punkspider.hyperiongray.com/lists/blacklist.list