PunkSpider:开源自动化漏洞扫描系统
Posted MottoIN
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PunkSpider:开源自动化漏洞扫描系统相关的知识,希望对你有一定的参考价值。
项目主页
https://bitbucket.org/punkspider/punkscan/src/
简介
PunkSpider是一款由PunkScan出品的大型WEB漏洞扫描器,我们利用它已经建立了一个稳定的扫描体系,每日可以实现无人值守式的运行。此外,其中运行了一个Apache Hadoop集群,每天能处理的扫描任务数以万计。
特点
该扫描服务会在网上随机爬行,寻找可能存在漏洞的WEB应用,发起一些诸如SQL盲注、传统SQL注入,以及XSS等攻击。游客可以通过搜索一个URL或者一个关键词,得到相关网站的结果。它采用了如Apache Hadoop等大数据级别的高端技术,这些都是开源的。
PunkSpider项目的设计思想是:站长可以通过搜索自己的网站来验证其是否做好了基本的安全措施,这个结果可能会激励用户优化自身的安全措施。当然,如果是那些不怀好意的人使用了PunkSpider,可能会让无辜的网站受到的威胁更大。这时候站长可以选择通过修改robots.txt,或者优化防火墙和路由的IP规则,结束扫描器的监控。
演示视频
http://v.youku.com/v_show/id_XMTg0MjQ3NjQ2NA==.html
优势
市面上的工具有不少都能够执行有限数量的扫描,但却不是很稳定,甚至会陷入崩溃和死循环。而PunkSpider建立了一个非常稳定且可扩展的扫描框架体系,每天能够无人值守地自动运行,几乎能够将扫描任务无限地运行下去。
PunkSpider还有不少潜在特质,其中一个就是帮助需要安全检测的组织梳理自身的公开资产。毕竟,并不是每个组织都能让安全团队给自己定期进行常规检测的。使用了PunkSpider之后,组织只需要在搜索框简单地输入URL,就能知道自己是否有重要的漏洞需要修复。
此外,我们认为公众也应该去了解使用它。毕竟黑客可以访问的信息,公众自己更应该了解。同时,公众通过它还可以知道,是否自己信用卡信息和其他敏感数据已经处于不安全的境地。
以上是关于PunkSpider:开源自动化漏洞扫描系统的主要内容,如果未能解决你的问题,请参考以下文章