当前位置 : 首页 > 软件下载 > 安全杀毒 > 浏览安全 > PhpScanning(PHP网站漏洞扫描工具)正式版下载 v1.0 免费版

PhpScanning(PHP网站漏洞扫描工具)正式版下载 v1.0 免费版

应用平台:Win2003,WinXP,Win2000,Win9X

软件截图

软件介绍

PhpScanning是一款非常直接的PHP漏洞安全扫描工具。我们知道目前的网站有很大一部分的比例是PHP架构的。非常的流行。虽然架构上已经做得十分的安全了。但是依然有很多的使用者不是十分了解PHP的特性,导致了很多的漏洞,给很多木马或其他攻击有了可乘之机。所以,这款PHP漏洞扫描工具绝对值得使用。它不仅可以用来扫描SQL漏洞、注入点以及后台地址扫描。检测网站各方面的安全细节。更重要的是,提供了一个小功能。那就是,还可以用来暴力破解MD5值,以及检测web服务器是否安全。所以说非常的全面。至于SQL安全库,已经非常的完善了。所以对于一个如此全能的PHP扫描工具。

功能介绍

1、扫描注入点;

2、SQL漏洞扫描;

3、注入点暴库;

4、后台扫描;

5、MD5暴力破解;

6、WEB服务器安全检测;

7、密码探测;

8、给初学者提供一些思路;

PhpScanning使用教程

1、进入主界面后,会发现界面非常的简洁。只需要输入网址,然后选择相应的功能项开始即可。

2、首先我们输入一个网址。然后既可以点击【开始】了。

3、我们首先可以进行SQL漏洞扫描,这里既可以选择单个网址或是多个网址。扫描配置的话,可以选择and。最后点击【开始扫描】。输出HTML报告。

4、注入点暴库。我们可以选择一个注入点,然后开始后,就会自动进行暴库。已猜解表名、已猜解列名会不断的刷新。最后可以在右侧看到破解的结果。

5、后台扫描的意思就是扫描后台的程序,这对于后台的安全十分重要。

6、MD5暴力破解。我们知道MD5值是通过特定算法得到的,非常的安全。而且是专门用来检验文件的唯一性的。所以只能通过穷举暴力破解了。但是可能会耗费点时间。

PHP的网站主要攻击方式

1、命令注入(Command Injection)

2、eval注入(Eval Injection)

3、客户端脚本攻击(Script Insertion)

4、跨网站脚本攻击(Cross Site Scripting, XSS)

5、SQL注入攻击(SQL injection)

6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

7、Session 会话劫持(Session Hijacking)

8、Session 固定攻击(Session Fixation)

9、HTTP响应拆分攻击(HTTP Response Splitting)

10、文件上传漏洞(File Upload Attack)

11、目录穿越漏洞(Directory Traversal)

12、远程文件包含攻击(Remote Inclusion)

13、动态函数注入攻击(Dynamic Variable Evaluation)

14、URL攻击(URL attack)

15、表单提交欺骗攻击(Spoofed Form Submissions)

16、HTTP请求欺骗攻击(Spoofed HTTP Requests)

PHP常见漏洞的防范措施

1、对于Session漏洞的防范

从前面的分析可以知道,Session攻击最常见的就是会话劫持,也就是黑客通过各种攻击手段获取用户的Session ID,然后利用被攻击用户的身份来登录相应网站。为此,这里可以用以下几种方法进行防范:一是定期更换Session ID,更换Session ID可以用PHP自带函数来实现;二是更换Session名称,通常情况下Session的默认名称是PHPSESSID,这个变量一般是在cookie中保存的,如果更改了它的名称,就可以阻档黑客的部分攻击;三是对透明化的Session ID进行关闭处理,所谓透明化也就是指在http请求没有使用cookies来制定Session id时,Sessioin id使用链接来传递.关闭透明化Session ID可以通过操作PHP.ini文件来实现;四是通过URL传递隐藏参数,这样可以确保即使黑客获取了session数据,但是由于相关参数是隐藏的,它也很难获得Session ID变量值。

2、对SQL注入漏洞的防范

黑客进行SQL注入手段很多,而且灵活多变,但是SQL注人的共同点就是利用输入过滤漏洞。因此,要想从根本上防止SQL注入,根本解决措施就是加强对请求命令尤其是查询请求命令的过滤。具体来说,包括以下几点:一是把过滤性语句进行参数化处理,也就是通过参数化语句实现用户信息的输入而不是直接把用户输入嵌入到语句中。二是在网站开发的时候尽可能少用解释性程序,黑客经常通过这种手段来执行非法命令;三是在网站开发时尽可能避免网站出现bug,否则黑客可能利用这些信息来攻击网站;仅仅通过防御SQL注入还是不够的,另外还要经常使用专业的漏洞扫描工具对网站进行漏洞扫描。

3、对脚本执行漏洞的防范

黑客利用脚本执行漏洞进行攻击的手段是多种多样的,而且是灵活多变的,对此,必须要采用多种防范方法综合的手段,才能有效防止黑客对脚本执行漏洞进行攻击。这里常用的方法方法有以下四种。一是对可执行文件的路径进行预先设定。可以通过safe_moade_exec_dir来实现;二是对命令参数进行处理,一般用escapeshellarg函数实现;三是用系统自带的函数库来代替外部命令;四是在操作的时候进可能减少使用外部命令。

4、对全局变量漏洞防范

对于PHP全局变量的漏洞问题,以前的PHP版本存在这样的问题,但是随着PHP版本升级到5.5以后,可以通过对php.ini的设置来实现,设置ruquest_order为GPC。另外在php.ini配置文件中,可以通过对magic_quotes_runtime进行布尔值设置是否对外部引人的数据中的溢出字符加反斜线。为了确保网站程序在服务器的任何设置状态下都能运行。可以在整个程序开始的时候用get_magic_quotes_runtime检测设置状态决定是否要手工处理,或者在开始(或不需要自动转义的时候)用set_magic_quotes_runtime(0)关掉。

5、对文件漏洞的防范

对于PHP文件漏桐可以通过对服务器进行设置和配置来达到防范目的。这里具体的操作如下:一是把PHP代码中的错误提示关闭,这样可以避免黑客通过错误提示获取数据库信息和网页文件物理路径;二是对open_basedir尽心设置,也就是对目录外的文件操作进行禁止处理;这样可以对本地文件或者远程文件起到保护作用,防止它们被攻击,这里还要注意防范Session文件和上载文件的攻击;三是把safe-made设置为开启状态,从而对将要执行的命令进行规范,通过禁止文件上传,可以有效的提高PHP网站的安全系数。

查看更多

更新说明

相关推荐

  1. 电脑全能屏幕锁 v1.0 绿色

    电脑全能屏幕锁 是一款能够帮助用户锁定自己的电脑以防止他人复制或窃取电脑里头重要文件资料的软件,软件方便快捷,用户轻松上手,锁屏软件有一点得牢记,那就是锁屏的密码。

    下载
  2. 泰安银行网银控件 v2.3.7

    泰安银行网银控件是在进行网上交易登录时必须要安装的安全保护控件,安装以后才能安全有效的输入密码登录网上银行进行交易,有需要的朋友赶快下载吧!

    下载
  3. ADSafe净网大师2017免费版下

    ADSafe净网大师2017官方版是一款无插件、无界面、免设置的广告过滤软件,可以对各类视频、软件、网站广告进行有效拦截。该软件对广大用户来说最大的优势就是无需设置拦截规则,启动即可使用,还你一个清净安全的上网空间。

    下载
  4. 网上银行控件免费版下载

    网上银行控件官方版是一款非常好用的网银安全助手,使用网上银行控件官方版,能有效的保护您的网上银行安全度,提高网银的账户资金安全,是广大网银用户的必备软件!

    下载