punkspider – 全球Web应用程序漏洞扫描引擎

  • A+
所属分类:神兵利刃

安全问题威胁着所有Web应用程序和网站,其中XSS(跨站脚本攻击)、SQL注入最为常见。开发者一旦忽视了这一方面,有可能会造成严重的后果。
开发者可通过Punkspider来检测自己的Web应用程序(网站)中是否存在安全隐患。Punkspider是一个全球性的Web应用程序漏洞扫描引擎,可以告知开发者某个Web应用或网站中存在的安全漏洞。该引擎的原理是,利用一个可扩展的Hadoop集群,使用许多并行蜘蛛脚本来扫描互联网中数百万的网站,然后根据输入的URL来显示结果。 

punkspider – 全球Web应用程序漏洞扫描引擎

研究人员在一个测试中,扫描了50000个域名后缀为“.de”的网站,其中发现XSS漏洞大约50个,SQL注入漏洞16个,SQL盲注(Blind SQL Injection)漏洞大约120个。在对32,290个域名后缀为“.co.uk”的网站扫描中,共检测出30个XSS漏洞,2个SQL注入漏洞,60个SQL盲注漏洞。当然,不排除有些是误报。
Punkspider尽管可以帮助开发者扫描安全漏洞,但其公开结果的方式可能会导致更大的安全威胁——一些居心叵测的人可以找到大量的有用的网站漏洞信息,也引起了Web开发者的强烈不满。Punkspider集中了大量网站的安全漏洞数据,而这些漏洞信息都是未经网站所有者同意的情况下扫描的,是否存在法律问题还不得而知
在扫描一些网站时,可能会显示“没有结果”,但不排除Punkspider未来会将这些网站加入扫描目标列表中。Web开发者还无法从Punkspider的数据库中删除相关漏洞信息,只有修复这些安全漏洞。
对此,Punkspider项目CTO Alejandro Caceres称,该引擎还是会遵循Web应用程序中robots.txt中的相关说明。他同时表示,该项目还是利大于弊的,项目的目标是提醒企业web应用中存在这样的漏洞,而且这是免费的,企业应该要求自己的开发者来修复它们。 

小编还是喜欢这个网页:http://punkspider.hyperiongray.com/lists/blacklist.list

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: