如何自己进行安全漏洞渗透测试

2020-01-06 13:50:06 +08:00
 HTSdTt3WygdgQQGe

centos 系统,为保证服务安全,如何自己先测试一下? 有没有傻瓜式工具? 那个 kali 太复杂,搞不定

3028 次点击
所在节点    程序员
12 条回复
HTSdTt3WygdgQQGe
2020-01-06 14:59:14 +08:00
up 一下
airbasic
2020-01-06 15:03:40 +08:00
web->XRAY->github.com/chaitin/xray
aoling
2020-01-06 15:15:42 +08:00
专业的事交给专业的人干,自动化扫描器就是个垃圾
realpg
2020-01-06 15:23:14 +08:00
@aoling #3
大量所谓专业的人也就是用一个自动化扫描器……
别问我怎么知道的
nosmile
2020-01-06 15:34:22 +08:00
1、下载一个 nessus 家庭版,在局域网对服务器 IP 进行一下扫描,扫描出的端口该关关,该升级升级;
2、网上搜搜 centos 基线,按照要求加固
3、有中间件、数据库等服务的,升级到最新版,找对应的基线加固
2379920898
2020-01-06 15:38:19 +08:00
kali linux burpsuit nmap sqlmap xss 这些一般扫不出
这个和开发差距还是蛮大的,
XSS SQL 注入 CSRF 越权 密码暴力破解 端口扫描 手工来,才靠谱
HTSdTt3WygdgQQGe
2020-01-06 15:58:58 +08:00
其实就是模拟攻击自己
ym1ng
2020-01-06 16:04:46 +08:00
所以说你到底需要保证测试什么的安全呢?
业务应用?中间件?基础组件?还是系统本身?
不同的角度有不同的办法 是没法一概而论的
想最简单的解决大部分问题 最好的办法是花钱
HTSdTt3WygdgQQGe
2020-01-06 16:10:32 +08:00
@ym1ng 花钱是个好办法, 那大家还讨论个毛线?
ym1ng
2020-01-06 19:41:46 +08:00
@q409640976 所以说前面三行是白说的? block 了
jugelizi
2020-01-06 19:59:36 +08:00
说真的 没有 免费的
市场上的工具都是固定的按照已有的去写的 可以检查出系统层面的问题
服务上尤其是开发的代码 只能人工 君不见好几家提供审计服务的公司
evil4ngl3
2020-01-07 07:00:39 +08:00
要检测是否存在漏洞可以使用 nessus,要加固可以参考安全基线指南。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/635445

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX