LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 882|回复: 0

Linux系统下的扫描器及防范(4)

[复制链接]
发表于 2003-4-19 00:31:22 | 显示全部楼层 |阅读模式
5. CGI扫描工具Whisker

Whisker是一个很好的Web服务器漏洞扫描软件。它由Rain Forest Puppy开发,能够进行大量的CGI漏洞扫描。另外,whisker采用了很多独特的IDS躲避技术,技术细节请参考A look at whisker's anti-IDS tacticshttp://www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html)。whisker的当前版本是2.0版,但是这个版本目前基本无法使用,因此在2.1版本推出之前,建议还是使用1.4版本的whisker。

whisker-1.4的下载地址是http://www.wiretrip.net/rfp/bins ... 以直接使用:

#./whisker.pl -h 192.168.1.2 -i -v

6. SQL数据库查询植入攻击(SQL injection)扫描工具Wpoison

目前绝大多数电子商务网站都是SQL数据库驱动的系统,能够提供用户上网填写个人资料、进行资料查询或金融交易等功能。如果网页程序设计者忽略了对用户输入内容的检查,就会造成的安全漏洞被攻击者利用,发起SQL数据库查询植入攻击(SQL injection)。攻击者可以在空白栏位上夹带恶意的SQL查询指令(如select、create、delete等),从而实现非法、未授权的资料查询与修改动作。

SQL Injection既不是数据库本身的漏洞,更不是操作系统和Web服务器的漏洞。它是网页程序设计人员在撰写网页程序,如ASP、PHP、CGI等网页程式时,忽略输入值合法性检查的功能,以及未做好数据库权限的控制,进而使攻击者得以夹带恶意指令闯入,甚至越过防火墙与身份认证等层层安全关卡,直接登堂入室,盗走数据库系统内的客户交易资料、信用卡资料,甚至非法进行转帐等。

Wpoison是一个专门用于检查SQL Injection漏洞的工具,可以用来发现PHP、ASP脚本存在的和潜在的SQL injection漏洞。用户可以http://sourceforge.net/projects/ ... 以完成安装:

$tar zxvf wpoison-dev.tgz

$cd wposion

$make

然后,可以使用wposion进行SQL injection测试(不带任何参数执行可以获得使用帮助):

$./wposion 192.168.0.1

7. 网络安全评估工具Nessus

Nessus是一个网络安全评估软件,功能强大且更新极快。该系统被设计为客户机/服务器模式,服务器端负责进行安全检查,客户端用来配置管理服务器端。Nessus的服务端采用了plug-in的体系,为了方便用户编写自己的检测插件,nessus还提供了一种叫做nessus攻击脚本语言(Nessus Attack Script Language)的脚本语言。检查的结果可以使用HTML、纯文本、XML、LaTeX等格式保存。

7.1 安装nessus

Nessus系统由四部分组成:nessus-libraries libnasl nessus-core nessus-plugins。用户可以http://www.nessus.org/download.h ... .2.3版为例):

$tar zxvf nessus-libraries-1.2.3.tar.gz

$tar zxvf libnasl-1.2.3.tar.gz

$tar zxvf nessus-core-1.2.3.tar.gz

$tar zxvf nessus-plugins-1.2.3.tar.gz

$su

#cd nessus-libraries

#./configure&&make&&make install

#cd ../libnasl

#./configure&&make&&make install

#cd ../nessus-core

#./configure&&make&&make install

#cd ../nessus-plugins

#./configure&&make&&make install

#echo /usr/local/lib>>/etc/ld.so.conf

#/sbin/ldconfig -v
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表