系统上线后,对于系统的安全如何评测,此处说明几个开源的工具,一些渗透测试工具,可以检测系统,WEB站点等。
使用这些工具检查并修复,都一般的小站点的安全性提高不少
系统漏洞扫描OpenVAS
可以直接下载虚拟机版本 http://www.openvas.org/vm.html
默认用户 linux系统 root/openvas,
WEB系统 https://### admin/admin
g
通过这个工具可以扫描到很多的系统漏洞并根据报告的建议可以找到修改的办法
如BASH漏洞就可以扫描,更新bash的版本即可
bash remote code execution 漏洞说明:shell上执行 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 输出2行表示有漏洞
WEB扫描 Zed attack proxy
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
商业软件Nessus
可以使用试用版本
http://www.tenable.com/products/nessus-vulnerability-scanner
http://www.nessus.org/register 获取激活码,必须联网才能下载扫描包,然后才能操作
深入测试 Kali
这个是渗透测试Backtrack5的更新换代
如上的OpenVas ZAP这些工具这个系统都有,并按照类别分了个更多。
https://www.kali.org/downloads/ 这里可以下载安装好的虚拟机
http://tools.kali.org/tools-listing 这里可以看到这个系统整合的各种工具
