30多种免费工具,可提高您的网站和访问者的安全性

免费的网站安全工具

网络攻击每天都在发生,组织随之而来的成本也在不断上升。但是,您可以使用免费的网站安全工具来缓解网络灾难,该工具将帮助您识别网站漏洞并保持访问者的安全,或更安全些。

有人会认为大型企业有能力和机会来监视其网站漏洞的应用程序。但是,显然不是。仅举几个例子:

  • 冒名顶替的2013 Yahoo漏洞是由于Cookie伪造攻击而导致的,该攻击使黑客无需密码即可像其他用户一样进行身份验证。分析人士认为,如果雅虎对入侵者采取更快的行动,雅虎本可以避免损害.
  • 引起巴拿马报头攻击的头条新闻是至少两次未能保持软件更新的结果:
    • 他们在WordPress上使用图片滑块插件的过时版本
    • Drupal的三年版本,其中包含几个已知漏洞
  • 一位17岁的程序员指出了Flickr上的跨站点请求伪造。收到通知后,Flikr仅用了12个小时就修复了该缺陷.

也可以看看: 历史上最大的数据泄露

尽管没有安全系统(甚至您的家庭安全系统)是万无一失的,但是定期进行网站扫描对于防止对您的虚拟资产进行机会攻击有很大帮助。以American Fuzzy Lop(AFL)为例,这是Google的MichałZalewski开发的开源模糊测试工具。它有助于发现各种流行的Web应用程序中的漏洞,包括Firefox,Flash,LibreOffice,Internet Explorer和Apple Safari。. 

使用免费网站安全工具的提示 

这里介绍的许多免费网站安全工具具有相似的功能。通常是将苹果与梨进行比较的情况。顶级安全厂商Sucuri并没有冒犯,但即使他们也很难将其产品与其他产品区分开:

“其他一些安全插件提供了活动监视功能,但效果不佳[…]我们缩小了我们认为与任何网站所有者最相关的关键功能。”

因此,我们对这些工具进行了分类,并指出了每种工具的主要优点和缺点。有些类别确实重叠;最值得注意的是漏洞扫描和渗透测试工具.

您会注意到免费工具列表包括一些专门用于扫描Web应用程序的工具。网站和应用程序有什么区别? Segue Technologies的Ben Shapiro提供了全面的长答案。如果您想要简短的答案,请使用stackoverflow简洁地说:

“ [网站]是文档的集合,可通过Web浏览器通过Internet访问。网站还可以包含Web应用程序,使访问者可以完成在线任务,例如:搜索,查看,购买,结帐和付款。”

重要的是,在测试网站时,您应该采取整体方法。如有疑问,请进行所有测试。免费的网站安全工具使操作变得简单,花费您的时间却一分钱.

  • 制定测试策略: 大多数网站安全工具与其他类型的安全工具配合使用效果最佳。渗透测试领域就是一个很好的例子。管理员通常先使用漏洞扫描程序,然后再针对特定目标使用渗透测试工具,例如网络端口或应用程序。例如,Wireshark既是网络分析仪又是渗透测试工具.

    通用漏洞扫描程序可能是最好的起点。但是,如果您主要对扫描开发人员的代码感兴趣,请转到下面的静态源代码分析器部分。是否想检查密码的安全性?我们也为您提供了一些免费的密码破解工具.

  • 一种尺寸不适合所有尺寸: 所有免费的网站安全工具都有其优点和缺点,几乎没有一种万能的解决方案。例如,作为分析器工具,最受好评的网络扫描工具Wireshark与Fiddler工具可以完成相同的工作,并且效率更高。但是,Wireshark无法在Windows上的同一台计算机(本地主机)内嗅探流量。如果您需要在Windows上监听本地流量,则必须使用Fiddler.
  • 分析结果: 不要相信一次扫描的结果!我们在安全和不安全的站点上测试了许多扫描仪,结果明显不同。这使我们误入歧途。这些可能很烦人,但请记住,它们比误报要好。诸如配置更改或软件更新之类的简单操作可能会触发警报,应将其检出.
  • 获得免费支持:  如果您想使用免费工具,则理想情况下应该具有一些安全知识,因为大多数免费工具都没有客户支持。你必须自己做所有肮脏的工作。或者,访问The Joomla!论坛,Ubuntu论坛,ASP.NET,MBSA或Bleeping Computer发布您的问题并搜索解决方案.
  • 保持新鲜: 免费工具的不利之处在于,可能不会使用最新的已知漏洞定期对其进行更新。始终检查发布的最新版本的日期.

您需要了解的有关免费网站安全工具的知识

测试方法

与应用程序漏洞检测相关的工具主要有三种:

  • 黑匣子测试 –一种软件测试方法,用于检查应用程序的功能而不检查其内部结构。测试侧重于该软件应该做什么,而不是该怎么做。此类别中包括漏洞扫描程序,Web应用程序安全扫描程序和渗透测试工具.
  • 白盒测试 –测试软件的方法,该方法侧重于源代码级别的应用程序的内部结构,而不是功能。静态源代码分析器和渗透测试工具属于此类。根据Wikipedia的说法,使用渗透测试时,白盒测试是指一种方法,在这种方法中,白帽黑客可以全面了解所攻击的系统。白盒渗透测试的目标是模拟一个恶意内部人员,该人员具有目标系统的知识,并且可能具有目标系统的基本凭据。.
  • 灰箱测试 –在网络空间中,划分类别的界限变得模糊,催生了这种结合了黑盒和白盒方法的要素的新测试模型.   

常见网站漏洞

备受推崇的开放Web应用程序安全项目(OWASP)是一个开放社区,致力于使组织能够开发,购买和维护可信任的应用程序。它是Web应用程序安全性的新兴标准机构,并且每年发布特定年份的十大网站漏洞列表。.

对于每个漏洞,我们都包含一个指向网站的链接,如果您有兴趣,该链接将为您提供更多的技术细节。.

  1. SQL注入–代码注入技术,其中将恶意SQL语句插入到输入字段中以执行。该技术用于处理(例如下载)或破坏数据。它针对未正确验证和转义的用户输入。攻击者可以通过用自己的命令替换用户输入来利用此漏洞,这些命令直接发送到数据库. 例: 菲律宾选举委员会违反.
  2. 失效的身份验证和会话管理–与身份验证和会话管理相关的应用程序功能通常会错误地实现,从而使攻击者能够破坏密码,密钥或会话令牌,或利用其他实现缺陷来假定其他用户的身份(临时或永久)。 例: 17媒体违规.  
  3. 跨站点脚本(XSS)–这种攻击有多种形式。从最基本的角度来看,它使攻击者能够将客户端脚本注入其他用户查看的网页中。它依赖于称为“同源策略”的基本信任概念,该信任策略表示如果授予一个站点的内容访问系统资源的权限,则该站点的任何内容都将共享这些权限。破坏了受信任的站点之后,攻击者可以将其恶意内容包含在交付给客户端站点的内容中,并获得对其信息宝藏的访问权限. 例: 易趣存储的XSS.
  4. 访问控制中断–攻击者可以利用身份验证或会话管理功能中的漏洞或漏洞(例如,公开的帐户,密码,会话ID)来冒充用户. 例: 成人朋友查找器违规.
  5. 安全配置缺陷–这是“不正确地组装Web应用程序的安全措施”的结果,在服务器,数据库,框架或代码中留下了易破解的安全漏洞. 例: 墨西哥选民违反.
  6. 敏感数据暴露–许多Web应用程序和API无法正确保护敏感信息,例如财务或医疗保健数据。攻击者可能会窃取或修改受保护程度不高的数据,以进行信用卡欺诈,身份盗窃或其他犯罪。敏感数据应得到额外的保护,例如静态或传输中的加密,以及与浏览器交换时的特殊预防措施. 例: 印度管理学院漏洞.
  7. 攻击防护不足–大多数应用程序和API缺乏检测,阻止和响应手动和自动攻击的基本能力。攻击防护远不止基本输入验证,还包括自动检测,记录,响应甚至阻止攻击企图。应用程序所有者还需要能够快速部署补丁程序以防御攻击. 例: 三大突破.
  8. 跨站点伪造请求(CSRF)–强制最终用户在不知情的情况下在当前通过身份验证的Web应用程序上执行不需要的操作。通过诱使用户访问由攻击者控制的网站,黑客可以修改用户对服务器的请求. 例: Facebook攻击.
  9. 使用具有已知漏洞的组件–库,框架和其他软件模块等组件以与应用程序相同的特权运行。如果利用了易受攻击的组件,则此类攻击可能会导致严重的数据丢失或服务器接管。使用具有已知漏洞的组件的应用程序和API可能破坏应用程序防御,并造成各种攻击和影响. 例: Mossack Fonesca(巴拿马文件)违规.
  10. 受保护不足的API –现代应用程序通常涉及富客户端应用程序和API,例如浏览器中的JavaScript和连接到某种API(SOAP / XML,REST / JSON,RPC,GWT等)的移动应用程序。这些API通常不受保护,并且可能包含许多漏洞. 例: 麦当劳漏.

漏洞扫描器

漏洞扫描器是专用软件,可扫描您的网络,系统或服务器以识别错误,安全漏洞和缺陷。它会自动测试系统的 已知的 漏洞。它首先识别开放端口;活动的Internet协议(IP)地址和登录;以及操作系统,软件和活动服务。然后,它将找到的信息与数据库或第三方数据库中的已知漏洞进行比较。对于街上的人来说,它的工作方式与花园中的各种防病毒软件一样,但更为复杂。例如,最好的漏洞扫描程序足够聪明,可以包含补丁程序管理和渗透测试组件。漏洞扫描程序和渗透测试工具之间存在一些重叠。后者使用扫描程序发现的漏洞来执行违规行为,并证明可以破坏该漏洞。以下是完全免费的工具.   

开放式漏洞评估系统(OpenVAS)

OpenVAS是一种扫描安全套件,包含各种服务和工具。扫描仪本身无法在Windows计算机上运行,​​但是有Windows客户端。它每天都会收到30000多个网络漏洞测试(NVT)的供稿。该工具是2005年专有的另一个漏洞扫描程序Nessus的最后一个免费版本提供的分叉工具。德国联邦信息安全局(BSI)使用OpenVAS作为其IT安全框架的一部分.

优点:

  • 大规模漏洞数据库
  • 并发扫描任务功能
  • 计划扫描
  • 误报管理
  • 免费提供无限IP
  • 优秀的多面手

缺点:

  • 不是为新手安装的最简单工具
  • 主要组件–扫描引擎–需要Linux

Microsoft基准安全分析器(MBSA)

MBSA扫描Microsoft台式机和服务器以查找缺少的安全更新,安全补丁和常见的安全错误配置.

优点:

  • 友好的用户界面允许您扫描本地或远程计算机;选择要扫描的单台计算机,或选择整个域或指定IP地址范围;并准确选择要扫描的内容,例如弱密码或Windows更新
  • 发现漏洞时提供具体的补救建议
  • 活跃的论坛提供优质的支持

缺点:

  • 不扫描非Microsoft软件
  • 不扫描特定于网络的漏洞

Nexpose社区版

Nexpose针对小型企业以及使用连接到局域网的多台计算机的个人,可以扫描网络,操作系统,Web应用程序,数据库和虚拟环境。它与流行的Metasploit框架集成,该工具可用于针对远程目标计算机开发和执行漏洞利用代码。所涉及的是一个非常活跃的渗透测试人员和安全研究人员社区,他们正在推动这些漏洞的开发,然后将这些漏洞转化为漏洞定义.

优点:

  • 包括一个不错的选项,用于设置策略以定义和跟踪所需的合规性标准
  • 实现扫描数据的详细可视化
  • 可以安装在Windows,Linux或虚拟机上

缺点:

  • 免费版本一次限制为32个IP

SecureCheq

TripWire将其SecureCheq称为配置评估程序实用程序。它测试与操作系统强化,数据保护,通信安全,用户帐户活动和审核日志记录有关的大约十二种关键但常见的配置错误。此免费工具与更强大的扫描仪(如Microsoft Baseline Security Analyzer(MBSA))配合使用时效果最佳。.

优点:  

  • 易于初学者使用
  • 提供详细的修复和维修建议

缺点:

  • 仅在Microsoft计算机上进行本地扫描
  • 此工具的免费版本仅提供付费版本设置的四分之一  

Qualys FreeScan

轻型扫描仪,可用于评估您网站漏洞的状态,并帮助您决定下一步需要的保护级别。 Qualys是一个受信任的名称,它是第一家使用“软件即服务”(SaaS)模型通过网络将漏洞管理解决方案作为应用程序提供的公司。.

优点:

  • 周边扫描Web应用程序扫描
  • 恶意软件检测

缺点:

  • 仅限十项独特的互联网访问资产安全扫描

劫掠者

简单,轻巧的工具,可扫描基本的Web应用程序漏洞。它针对希望在编码过程中自定义小型扫描的开发人员.

优点:

  • 对小型网站有用

缺点:

  • 没有GUI
  • 仅以XML报告
  • 倾向于有点慢

麋鹿

对Web应用程序执行黑盒测试。它不会检查应用程序的源代码,但会扫描已部署应用程序的网页,查找可在其中插入数据的脚本和表单。有了这些数据,它就像一个模糊器,注入有效载荷以查看脚本是否易受攻击。.

优点:

  • 生成各种格式的漏洞报告(例如HTML,XML,JSON,TXT)
  • 可以暂停并恢复扫描或攻击
  • 可以在终端中用颜色突出显示漏洞

缺点:

  • 命令行界面
  • 会产生多种误报

w3af

这是一个Web应用程序攻击和审核框架,可以与渗透测试工具结合使用。赞助商包括Openware(现为Globant),Cybsec,Bonsai和Rapid7。该公司是T2 Infosec会议上的热情贡献者,致力于那些对信息安全技术方面感兴趣的人.

优点:

  • 受欢迎的,受支持的开源应用程序
  • 易于使用的GUI
  • 易于扩展
  • 识别200多个漏洞
  • 使用w3af插件,这是Python代码的一部分,通过提供提取URL或查找漏洞的新方法来扩展框架功能
  • 与所有Python支持的平台兼容

缺点:

  • 支持Windows,但不正式支持

渗透测试软件

渗透测试(笔测试)是对计算机系统的授权模拟攻击,旨在寻找未知的安全漏洞。笔测试工具实质上是模仿黑客,最终目的是测试组织针对模拟攻击的防御能力。在笔测试期间,将自动扫描和手动利用技术混合使用。例如,可以在开发框架(例如Metasploit)中使用提供基本网络发现的自动化工具(如Nmap).

笔测试需要高度专业的技能。首先,PentesterLabs提供免费的培训练习,下面您将找到一系列开源和免费工具来帮助您入门.

Zed攻击代理(ZAP)

集成的笔测试工具,用于查找Web应用程序中的漏洞。它充当用户的网络浏览器和应用程序之间的代理,以启用Web应用程序的自动和手动安全测试。可以帮助开发人员在开发过程中自动发现Web应用程序中的安全漏洞。笔测试人员还通过输入URL进行扫描或将该工具用作拦截代理,将其用于手动安全性测试。在2013年至2016年期间,Zap每年在ToolsWatch年度最佳免费/开源安全工具调查中被评为第一或第二。.

优点:

  • 完全免费
  • 易于安装
  • 通常作为交互式UI运行并充当拦截代理,因此您可以动态更改请求

缺点:

  • 主要旨在帮助您手动查找安全漏洞
  • 并非真正打算作为纯自动化扫描仪运行

提琴手

该工具被归类为代理服务器应用程序。它主要用于拦截和解密HTTPS流量。用户可以摆弄和检查该流量,以识别应用程序中的漏洞。 Watcher是Fiddler插件,旨在帮助渗透测试人员被动地发现Web应用程序漏洞.

专业版

  • 调试来自PC,Mac或Linux系统以及移动(iOS和Android)设备的流量
  • 可以使用计算机名称作为主机名而不是“ localhost”来捕获本地流量

缺点:

  • 仅在Windows上受支持

Metasploit

允许笔测试人员访问和执行经过证明的漏洞利用的框架,该漏洞利用存储在Metasploit的数据库中。该框架拥有世界上最大的经过测试的公开利用数据。自成立以来,它一直名列十大安全应用程序工具之列。漏洞发生后,Meterpreter将显示结果.

优点:

  • 大型漏洞利用数据库
  • 广泛的工具来执行测试

缺点:

  • 命令行界面

卡利Linux

Kali Linux是进攻性笔测试的终极工具,并且是业界最受欢迎的安全框架之一。但是,根据开发人员的说法,“如果您不熟悉Linux,或者正在寻找用于开发,网页设计,游戏等的通用Linux桌面发行版,则不是推荐的发行版。”

优点:

  • 包含300多个渗透测试和安全审核程序

缺点:

  • 除非您使用外部USB无线加密狗,否则将无法在VM中工作

网络扫描仪

网络扫描仪会映射您的整个网络并确定与之连接的网络。他们可以查找主机和开放端口,并标识正在使用的所有软件和硬件版本。查看以下免费工具.

网络映射器(NMap)

用于网络发现和安全审核。以新颖的方式使用原始IP数据包来确定网络上可用的主机,它们提供的服务,正在运行的操作系统以及正在使用的数据包过滤器/防火墙的类型。它可用于提供信息以计划笔测试攻击。有趣的事实:(显然)Nmap在12部电影中出现过,包括《黑客帝国》,《虎胆龙威4》,《龙纹身的女孩》和《谍影重重》.

优点:

  • 包括命令行和GUI版本
  • 在所有主要操作系统上运行,例如Windows,Linux和Mac OS X
  • Zenmap是官方的Nmap GUI,使初学者更容易上手

缺点:

  • 没有代理扫描
  • 作为端口扫描程序,它可以是“响亮的”。端口扫描程序需要生成大量的网络流量。隐身性和速度之间存在反比关系,因此端口扫描程序可以减慢网络速度和/或像在房间里成名的大象一样在网络上脱颖而出,即“大声”。

Wireshark

网络协议和数据包分析仪以及带有强大过滤系统的笔测试工具。 Wireshark在全球拥有一支庞大的志愿网络专家队伍.

优点:

  • 允许用户指定他们想要查看的流量类型,例如仅TCP数据包
  • 可以捕获来自VLAN,蓝牙,USB和其他类型网络流量的数据包适用于几乎所有平台,包括Linux,Windows,Mac,Solaris和OpenBSD
  • 易于使用的GUI中强大的过滤器选项

缺点:

  • 除非您对TCP / IP网络有一定了解,否则学习曲线会很陡峭

静态源代码分析器

静态代码分析器可快速自动执行代码检查,而无需实际执行代码。因为它们仅查看应用程序的源代码,所以您不必设置整个应用程序堆栈即可使用它们。这些工具通常是特定于语言的,可以帮助开发人员识别安全问题。单元测试和代码审查补充了静态代码分析。这些免费工具的最大缺点是,它们通常会产生许多误报.

VisualCodeGrepper

适用于 C++, C#, VB, 的PHP, PL / SQL, 和 爪哇.

优点:

  • 搜索特定违反OWASP建议的行为
  • 允许自定义查询配置,因此您可以添加其他功能

缺点:

  • 具有一组无法修改的漏洞列表

Eclipse中用于程序安全性的轻量级分析(LAPSE +)

Eclipse插件,用于检测不可信数据注入的漏洞 爪哇 EE应用程序。它通过从漏洞源中寻找“​​漏洞库”来工作。漏洞的来源是指注入不受信任的数据,例如在HTTP请求或Cookie的参数中。术语“接收器”是指数据修改的过程,以操纵应用程序的行为,例如: HTML页面.

优点:

  • 测试验证逻辑而无需编译代码

缺点:

  • 无法识别编译错误
  • 限于Eclipse IDE

煞车人

审讯 Ruby on Rails 码。 Twitter,GitHub和Groupon使用它.

优点:

  • 易于设置和配置
  • 快速扫描

缺点:

  • 可能显示出较高的误报率

入侵防御系统

根据RIPS的说法,“通过标记和解析所有源代码文件,RIPS能够转换 的PHP 将源代码放入程序模型中,并检测程序流程期间可能受到用户输入(受恶意用户影响)污染的敏感接收器(潜在易受攻击的功能)。除了发现的漏洞的结构化输出之外,RIPS还提供了一个集成的代码审核框架。” 2016年,RIPS Technologies的重写版本作为商业产品发布,RIPS Technologies是总部位于德国的高科技公司。.

优点:

  • 易于设置和配置
  • 快速扫描

缺点:

  • 免费版受到限制,仅支持15种漏洞类型

FXCOP

分析托管代码程序集(针对 .净 框架公共语言运行时。)这是一个很好的示例,说明了如何在工具箱中使用互补工具。据excella称,FxCOP与诸如StyleCop之类的静态代码分析器工具一起使用时效果最佳,因为这两种工具具有不同的代码分析方法。 “ StyleCop针对C#源代码运行,但无法分析VB.NET或其他.NET语言源代码。 FxCop针对.NET编译的二进制文件运行,但无法分析源代码和方括号,空格或注释的正确使用等方面。”

优点:

  • 程序集元数据可与以任何.NET语言创建的代码一起使用
  • 开箱即用的广泛规则集

缺点:

  • 仅限于程序集元数据
  • 仅产生一种类型的报告

土匪

Bandit是利用Python标准库中的ast模块为Python源代码提供安全性的林特(扫描源代码并标记任何可能是bug的结构的程序)。 ast模块用于将源代码转换为Python语法节点的已解析树。 Bandit允许用户定义针对那些节点执行的自定义测试.

优点:

  • 高度可定制的,例如可以关闭各种插件,或者可以从扫描中排除某些目录
  • 用户还可以编写自己的自定义插件

缺点:

  • 没有GUI

模糊测试工具

模糊测试(fuzzing)用于识别编码错误和安全漏洞。它涉及输入大量随机数据,以使应用程序或网络崩溃.

美国模糊圈(AFL)

由Google的MichałZalewski开发的一种开源的,覆盖率辅助的模糊测试工具。他将自己的工具描述为“蛮力的模糊器,加上极其简单但坚如磐石的仪器指导遗传算法。” AFL在各种流行的Web应用程序中都发现了漏洞,包括Firefox,Flash,LibreOffice,Internet Explorer和Apple Safari。.

优点:  

  • Zalewski所谓的“时尚复古风格UI”
  • 经验证的功效

缺点:  

  • 您必须有点复古才能真正欣赏(老式)GUI

Sulley模糊测试框架

一种流行的模糊引擎和模糊测试框架,包含多个可扩展的组件。它与其他模糊测试工具的不同之处在于,它并不是纯粹的数据生成工具。它可以检测,跟踪和分类检测到的故障;可以并行起毛,显着提高测试速度;并可以自动确定哪些独特的测试用例序列会触发故障。 Boofuzz是Sulley模糊框架的分支.  

优点:  

  • 全自动–造成故障后,它可以自动将系统重置为正常状态,然后继续模糊新的测试用例

缺点:

  • 没有最新版本更新

密码破解工具

安全管理员使用这些免费工具来查找易受黑客攻击的弱密码和易受攻击的密码。三种最常见的密码攻击是:

  • 字典:使用提供的文件包含词典单词的列表.  
  • 蛮力:使用字典列表,系统地尝试所有可能的密码组合。除非攻击者幸运,否则此过程可能需要一段时间,尤其是对于使用字母,数字和符号的组合的长密码.
  • 彩虹桌:大多数数据库在数据库中存储用户密码的加密哈希。没有人可以仅通过查看存储在数据库中的值来确定用户的密码。当用户输入他或她的密码时,将对其进行哈希处理并将输出与该用户的存储条目进行比较。如果两个哈希匹配,则授予访问权限。哈希表是黑客使用的一种参考表。这些预先计算的密码哈希存储在表中,以减少破解密码所需的时间。彩虹表通过减小哈希表的大小而变得更进一步,从而使其效率更高。”  

THC九头蛇

THC Hydra是一种网络登录黑客工具,使用字典或蛮力攻击来针对登录页面尝试各种密码和登录组合.  

优点:

  • 支持多种协议,包括邮件(POP3,IMAP等),LDAP,SMB,VNC和SSH
  • 支持大多数主要平台

撬棍

可以在渗透测试期间使用的蛮力攻击工具.

优点:

  • Crowbar可以使用SSH密钥而不是典型的用户名和密码组合

缺点:

  • 仅命令行

开膛手约翰

使用字典攻击技术。它是一个很好的多面手,包括各种密码破解组合套件.

优点:

  • 能够自动检测密码哈希类型
  • 支持大多数主要平台

OphCrack

基于Rainbow表的Windows密码破解程序.

优点:

  • 包含用于简单密码的暴力破解模块
  • 支持大多数主要平台

WordPress安全工具

WordPress网站的专用安全工具可以在wordpress.org上获得。 WordPress非常流行,以至于插件有很多评论,提供了一个相当客观的工具功能概述。让我们看一些最受欢迎的产品.

围栏

包括登录安全性; IP阻止功能;对恶意软件和“后门”进行安全扫描;防火墙保护;和广泛的监控选项.

iThemes安全性

开发人员将其描述为#1 WordPress安全插件。但是,在下载此插件之前,请先阅读负面评论。一位老鹰眼的评论者指出,当iThemes发现自己受到攻击并随后在2016年受到攻击时,他们部署了竞争对手Sucuri的新网站防火墙。有关系吗你是法官.

苏库里安全

Sucuri Security最好的事情是所有功能都是免费的。 Premium插件早在2014年就已弃用,所有主要功能均已合并到免费插件中.

在线网站扫描工具

在线免费工具快速且易于使用。虽然不能保证他们最终确定您的网站漏洞,但可以帮助您确定需要进一步调查的区域.

苏库里

输入您的网站地址,以免费摘要潜在的网站漏洞。检查已知的恶意软件,黑名单状态,网站错误和过时的软件.

优点:

  • 无需输入您的电子邮件地址即可接收结果

WP检查

包括网站问题的完整列表,包括性能,SEO和安全性.

优点:

  • 提供比其他工具更多的信息。扫描时间更长(但这很好,对吧?)
  • 无需输入您的电子邮件地址,但您可以要求将结果通过电子邮件发送给您

缺点:

  • 您需要注册30天免费试用,以了解如何解决严重问题
  • 仅限一天一次扫描

Qualys SSL服务器测试

对SSL Web服务器的配置进行深入分析.

优点:

  • 无需注册
  • 提供SSL淘汰和兼容性问题的完整列表

网页检查器

扫描网页以查看其是否为恶意软件.

缺点:

  • 一次仅扫描一页

亚洲网

不要尝试任何攻击序列或其他恶意活动;它只是发出一些良性请求,以查看网站的响应方式.

优点:

  • ASafaWeb在notasafaweb.apphb.com上有一个专门的非安全站点,纯粹用于演示目的,您可以扫描和查看结果

SecurityHeaders.io

这个免费的工具测试网站标题。根据开发人员的说法,此站点分析的HTTP响应标头提供了巨大的保护级别。例如,内容安全策略(CSP)是保护您的站点免受XSS攻击的有效措施。通过将批准内容的来源列入白名单,可以防止浏览器加载恶意资产.

优点:

  • 快速并提供缺少标题的完整描述以及如何解决任何问题

下一个?

访问Web应用程序漏洞扫描程序评估项目(wavsep)网站。 Wavsep是一个评估平台,其中包含一组独特的易受攻击的网页,可用于测试Web应用程序扫描程序的各种属性。您可以在此处查看有关各种扫描仪如何针对wavsep进行测试的分析。结果表明,这些扫描程序在识别常见网站漏洞方面的准确性以及在基准测试中引发了多少误报。您可以在Wavsep网站上找到本文中提到的许多免费工具.

测试愉快!

CC BY 2.0许可的Elhombredenegro的“ crackers”