今晚把家里的设备IP简单扫描了下,大概看看有没有什么特别明显的漏洞。一般都是扫机房里的服务器,其实家里的设备何尝不是需要扫一扫,于是用nessus来扫描一下,总体下来还是比较顺畅,写个docker-compose然后拉取镜像运行容器,登录系统后扫描,看看结果,不过一个license最多扫描16个IP,够用了,有空再玩玩。
1、动态漏洞扫描工具的缺点动态漏洞扫描工具的缺点要分一下几种类型讨论:AWVS:漏洞扫描速度较快,准确率较高,漏洞规则库较为全面。漏洞验证可查看请求响应代码,但无中文界面。报表功能完整。有多重漏洞的验证工具。Appscan:漏洞扫描速度一般,准确率最高,漏洞规则库最全面。漏洞验证可查看请求相应代码,拥有较完整的漏洞修复建议。报表功能完整。全中文界面HPWebInspect:漏洞扫描速度一般,准确率较高,扫描类型较多。
可查看请求响应代码。无中文界面。WebCruiser:此工具偏向渗透利用工具,扫描功能较弱。仅有轻量级SQL注入和XSS漏洞的扫描功能。具有SQL注入漏洞利用功能。Nexpose:扫描速度快,能扫描系统层和web层2类漏洞,但web漏洞发现能力不如appscan,系统扫描能力不如Nessus。
2、如何扫描网站的漏洞?7款好用的网站漏洞扫描工具:1、NiktoNikto,这是一个开源的Web服务器扫描程序,它可以对Web服务器的多重项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下,它也可以支持LibWhisker的反IDS方法。
它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序,hash计算器,还有一个可以测试常见的Web应用程序攻击的扫描器,3、WebScarab它可以分析使用HTTP和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。