PunkSPIDER是一款由PunkSCAN出品的大型WEB漏洞掃描器,我們利用它已經(jīng)建立了一個穩(wěn)定的掃描體系,每日可以實現(xiàn)無人值守式的運行。此外,其中運行了一個Apache Hadoop集群,每天能處理的掃描任務(wù)數(shù)以萬計。
PunkSPIDER的特性
該掃描服務(wù)會在網(wǎng)上隨機爬行,尋找可能存在漏洞的WEB應(yīng)用,發(fā)起一些諸如SQL盲注、傳統(tǒng)SQL注入,以及XSS等攻擊。游客可以通過PunkSPIDER搜索一個URL或者一個關(guān)鍵詞,得到相關(guān)網(wǎng)站的結(jié)果。同時,它采用了如Apache Hadoop等大數(shù)據(jù)級別的高端技術(shù),但幸運的是這些都是開源的。
PunkSPIDER項目的設(shè)計思想是,站長可以通過搜索自己的網(wǎng)站來驗證其是否做好了基本的安全措施,這個結(jié)果可能會激勵用戶優(yōu)化自身的安全措施。當(dāng)然,如果是那些不懷好意的人使用了PunkSPIDER,可能會讓無辜的網(wǎng)站受到的威脅更大。這時候,站長可以選擇通過修改robots.txt,或者優(yōu)化防火墻和路由的IP規(guī)則,退出該掃描器的監(jiān)控。
PunkSPIDER的優(yōu)勢
市面上的工具有不少都能夠執(zhí)行有限數(shù)量的掃描,但卻不是很穩(wěn)定,甚至?xí)萑氡罎⒑蜔o限循環(huán)。而PunkSPIDER建立了一個非常穩(wěn)定且可擴(kuò)展的掃描框架體系,每天能夠無人值守地自動運行,幾乎能夠?qū)呙枞蝿?wù)無限地運行下去。
PunkSPIDER還有不少潛在特質(zhì),其中一個就是幫助需要安全檢測的組織梳理自身的公開資產(chǎn)。畢竟,并不是每個組織都能讓安全團(tuán)隊給自己定期進(jìn)行常規(guī)檢測的。使用了PunkSPIDER之后,組織只需要在搜索框簡單地輸入URL,就能知道自己是否有重要的漏洞需要修復(fù)。
此外,我們認(rèn)為公眾也應(yīng)該去了解使用它。畢竟黑客可以訪問的信息,公眾自己更應(yīng)該了解。同時,公眾通過它還可以知道,是否自己信用卡信息和其他敏感數(shù)據(jù)已經(jīng)處于不安全的境地。
這里給出PunkSPIDER項目的下載地址,猛戳這里。