你的网站有多安全?
安全问题威胁着所有 Web 应用程序和网站,其中 XSS(跨站脚本攻击)、SQL 注入最为常见。开发者一旦忽视了这一方面,有可能会造成严重的后果。
开发者可通过 Punkspider 来检测自己的 Web 应用程序(网站)中是否存在安全隐患。Punkspider 是一个全球性的 Web 应用程序漏洞扫描引擎,可以告知开发者某个 Web 应用或网站中存在的安全漏洞。该引擎的原理是,利用一个可扩展的 Hadoop 集群,使用许多并行蜘蛛脚本来扫描互联网中数百万的网站,然后根据输入的 URL 来显示结果。
研究人员在一个测试中,扫描了 50000 个域名后缀为“.de”的网站,其中发现 XSS 漏洞大约 50 个,SQL 注入漏洞 16 个,SQL 盲注(Blind SQL Injection)漏洞大约 120 个。在对 32,290 个域名后缀为“.co.uk”的网站扫描中,共检测出 30 个 XSS 漏洞,2 个 SQL 注入漏洞,60 个 SQL 盲注漏洞。当然,不排除有些是误报。
Punkspider 尽管可以帮助开发者扫描安全漏洞,但其公开结果的方式可能会导致更大的安全威胁——一些居心叵测的人可以找到大量的有用的网站漏洞信息,也引起了 Web 开发者的强烈不满。Punkspider 集中了大量网站的安全漏洞数据,而这些漏洞信息都是未经网站所有者同意的情况下扫描的,是否存在法律问题还不得而知。
在扫描一些网站时,可能会显示“没有结果”,但不排除 Punkspider 未来会将这些网站加入扫描目标列表中。Web 开发者还无法从 Punkspider 的数据库中删除相关漏洞信息,只有修复这些安全漏洞。
对此,Punkspider 项目 CTO Alejandro Caceres 称,该引擎还是会遵循 Web 应用程序中 robots.txt 中的相关说明。他同时表示,该项目还是利大于弊的,项目的目标是提醒企业 web 应用中存在这样的漏洞,而且这是免费的,企业应该要求自己的开发者来修复它们。
Punkspider 地址:http://punkspider.hyperiongray.com/