网络攻击每天都在发生，组织随之而来的成本也在不断上升。但是，您可以使用免费的网站安全工具来缓解网络灾难，该工具将帮助您识别网站漏洞并保持访问者的安全，或更安全些。.  有人会认为大型企业有能力和机会来监视其网站漏洞的应用程序。但是，显然不是。仅举几个例子： 冒名顶替的2013 Yahoo漏洞是由于Cookie伪造攻击而导致的，该攻击使黑客无需密码即可像其他用户一样进行身份验证。分析人士认为，如果雅虎对入侵者采取更快的行动，雅虎本可以避免损害. 引起巴拿马报头攻击的头条新闻是至少两次未能保持软件更新的结果： 他们在WordPress上使用图片滑块插件的过时版本 Drupal的三年版本，其中包含几个已知漏洞 一位17岁的程序员指出了Flickr上的跨站点请求伪造。收到通知后，Flikr仅用了12个小时就修复了该缺陷. 也可以看看： 历史上最大的数据泄露 尽管没有安全系统（甚至您的家庭安全系统）是万无一失的，但是定期进行网站扫描对于防止对您的虚拟资产进行机会攻击有很大帮助。以American Fuzzy Lop（AFL）为例，这是Google的MichałZalewski开发的开源模糊测试工具。它有助于发现各种流行的Web应用程序中的漏洞，包括Firefox，Flash，LibreOffice，Internet Explorer和Apple Safari。.  使用免费网站安全工具的提示  这里介绍的许多免费网站安全工具具有相似的功能。通常是将苹果与梨进行比较的情况。顶级安全厂商Sucuri并没有冒犯，但即使他们也很难将其产品与其他产品区分开： “其他一些安全插件提供了活动监视功能，但效果不佳[…]我们缩小了我们认为与任何网站所有者最相关的关键功能。” 因此，我们对这些工具进行了分类，并指出了每种工具的主要优点和缺点。有些类别确实重叠；最值得注意的是漏洞扫描和渗透测试工具. 您会注意到免费工具列表包括一些专门用于扫描Web应用程序的工具。网站和应用程序有什么区别？ Segue Technologies的Ben Shapiro提供了全面的长答案。如果您想要简短的答案，请使用stackoverflow简洁地说： “ [网站]是文档的集合，可通过Web浏览器通过Internet访问。网站还可以包含Web应用程序，使访问者可以完成在线任务，例如：搜索，查看，购买，结帐和付款。” 重要的是，在测试网站时，您应该采取整体方法。如有疑问，请进行所有测试。免费的网站安全工具使操作变得简单，花费您的时间却一分钱. 制定测试策略： 大多数网站安全工具与其他类型的安全工具配合使用效果最佳。渗透测试领域就是一个很好的例子。管理员通常先使用漏洞扫描程序，然后再针对特定目标使用渗透测试工具，例如网络端口或应用程序。例如，Wireshark既是网络分析仪又是渗透测试工具. 通用漏洞扫描程序可能是最好的起点。但是，如果您主要对扫描开发人员的代码感兴趣，请转到下面的静态源代码分析器部分。是否想检查密码的安全性？我们也为您提供了一些免费的密码破解工具. 一种尺寸不适合所有尺寸： 所有免费的网站安全工具都有其优点和缺点，几乎没有一种万能的解决方案。例如，作为分析器工具，最受好评的网络扫描工具Wireshark与Fiddler工具可以完成相同的工作，并且效率更高。但是，Wireshark无法在Windows上的同一台计算机（本地主机）内嗅探流量。如果您需要在Windows上监听本地流量，则必须使用Fiddler. 分析结果： 不要相信一次扫描的结果！我们在安全和不安全的站点上测试了许多扫描仪，结果明显不同。这使我们误入歧途。这些可能很烦人，但请记住，它们比误报要好。诸如配置更改或软件更新之类的简单操作可能会触发警报，应将其检出. 获得免费支持：  如果您想使用免费工具，则理想情况下应该具有一些安全知识，因为大多数免费工具都没有客户支持。你必须自己做所有肮脏的工作。或者，访问The Joomla！论坛，Ubuntu论坛，ASP.NET，MBSA或Bleeping Computer发布您的问题并搜索解决方案. 保持新鲜： 免费工具的不利之处在于，可能不会使用最新的已知漏洞定期对其进行更新。始终检查发布的最新版本的日期. 您需要了解的有关免费网站安全工具的知识 测试方法 与应用程序漏洞检测相关的工具主要有三种： 黑匣子测试 –一种软件测试方法，用于检查应用程序的功能而不检查其内部结构。测试侧重于该软件应该做什么，而不是该怎么做。此类别中包括漏洞扫描程序，Web应用程序安全扫描程序和渗透测试工具. 白盒测试 –测试软件的方法，该方法侧重于源代码级别的应用程序的内部结构，而不是功能。静态源代码分析器和渗透测试工具属于此类。根据Wikipedia的说法，使用渗透测试时，白盒测试是指一种方法，在这种方法中，白帽黑客可以全面了解所攻击的系统。白盒渗透测试的目标是模拟一个恶意内部人员，该人员具有目标系统的知识，并且可能具有目标系统的基本凭据。. 灰箱测试 –在网络空间中，划分类别的界限变得模糊，催生了这种结合了黑盒和白盒方法的要素的新测试模型.    常见网站漏洞 备受推崇的开放Web应用程序安全项目（OWASP）是一个开放社区，致力于使组织能够开发，购买和维护可信任的应用程序。它是Web应用程序安全性的新兴标准机构，并且每年发布特定年份的十大网站漏洞列表。. 对于每个漏洞，我们都包含一个指向网站的链接，如果您有兴趣，该链接将为您提供更多的技术细节。. SQL注入–代码注入技术，其中将恶意SQL语句插入到输入字段中以执行。该技术用于处理（例如下载）或破坏数据。它针对未正确验证和转义的用户输入。攻击者可以通过用自己的命令替换用户输入来利用此漏洞，这些命令直接发送到数据库. 例： 菲律宾选举委员会违反….

بقيت قاعدة بيانات ضخمة تضم أكثر من 2.7 مليار عنوان بريد إلكتروني معروضة على شبكة الإنترنت ، بحيث يمكن لأي شخص لديه مستعرض ويب الوصول إليها. احتوى أكثر من مليار من هذه السجلات أيضًا على كلمة مرور نصية بسيطة مرتبطة بعنوان البريد الإلكتروني. تعاونت شركة Comparitech مع الباحث الأمني ​​Bob Diachenko للكشف عن قاعدة البيانات…

A Webアプリケーションファイアウォール Webサーバーを保護します。 Webアプリケーションの配信は、クライアント/サーバーモデルに従います。このモデルでは、サーバーは、クライアントからの要求に応じてメッセージを送信するだけです。. 典型的なファイアウォールはクライアントを保護します。 Webアプリケーションファイアウォールは、サーバーを保護します。以下の機能を備えた各ツールについて詳しく説明しますが、要約を読むだけの時間がある場合は、以下のリストをご覧ください。 最高のクラウドベースのWAF： AppTrana Managed Web Application Firewall（無料トライアル） Indusfaceが提供する完全マネージドWAFには、バンドルされたアプリケーションスキャナー、CDN、およびゼロWAFを備えたマネージカスタムルールがあり、SLAと24時間365日のサポートが備わっています。. StackPath Web Application Firewall（無料トライアル） 「エッジ」ソリューションの一部であるクラウドベースのファイアウォール. Sucuri Webサイトファイアウォール（詳細） DDoS保護も含むオフサイト保護サービススイートの一部. Cloudflare WAF DDoS保護と組み合わせることができるクラウドベースのソリューション. アカマイコナサイトディフェンダー オフサイトのWAFとDDoS保護を組み合わせます. アマゾンウェブサービスWAF Application Load BalancerやAmazonコンテンツ配信ネットワークなど、Amazon Webサービスを運用するユーザー向けのフロントエンド. Incapsula Web Application Firewall 世界有数のサイバーセキュリティ企業の1つからのDDoS保護を組み合わせたオフサイトWAF. そして、これが私たちのリストです 最高のハードウェアベースのWAF： Imperva SecureSphere –中小企業向けのサイバーセキュリティ業界リーダーのハードウェアWAF. Barracuda Web Application Firewall –中小企業向けの幅広いハードウェアWAF. Citrix Netscaler Application Firewall –負荷分散を含むハードウェアWAF範囲。クラウドサービスとしても利用可能. フォーティネットFortiWeb –負荷分散とSSLオフローダーを含む一連のハードウェアWAF. F5 BIG-IP…