前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >分布式web漏洞扫描平台-WDScanner

分布式web漏洞扫描平台-WDScanner

作者头像
C4rpeDime
发布2020-01-20 11:00:50
1.6K0
发布2020-01-20 11:00:50
举报
文章被收录于专栏:黑白安全

随着互联网各种安全漏洞愈演愈烈,OPENSSL心脏滴血漏洞、JAVA反序列化漏洞、STRUTS命令执行漏洞、ImageMagick命令执行漏洞等高危漏洞频繁爆发。在这种情况下,为了能在漏洞爆发后快速形成漏洞检测能力,同时能对网站或主机进行全面快速的安全检测,开发了一套简单易用的分布式web漏洞检测系统WDScanner。

1、登录界面
分布式web漏洞扫描平台-WDScanner
分布式web漏洞扫描平台-WDScanner
2、分布式扫描

WDScanner使用了分布式web漏洞扫描技术,前端服务器和用户进行交互并下发任务,可部署多个扫描节点服务器,能更快速的完成扫描任务。

扫描核心库使用了secscanner+w3af+awvs三款工具(secscanner是在建的另一套web扫描器, w3af是最好的开源扫描器),使用较多的扫描工具可能导致扫描速度有所降低,但误报率也会大大降低,扫描时也可选择最实用的扫描策略以节省时间。

3、客户管理

能对客户和资产进行管理,根据客户需求定制化扫描和监测方案,对网站进行定期扫描和网站爬取,检索敏感字、坏链、暗链、信息泄露等威胁,发现风险能及时提醒并告知客户。

4、网站信息收集

在添加新任务后,后台可主动识别目标banner和操作系统信息、端口开放、敏感文件扫描等。

自动识别开发语言、WAF、CMS和中间件等,并对常见端口进行扫描并判断其服务。

子域名的搜集使用了暴力枚举和互联网检索两种方式,保证了子域名的可用性并缩短了检索时间。

5、网站爬虫

目前政府类网站对暗链、敏感字和坏链等内容比较敏感,而网站爬虫可较好的解决这部分需求。

网站爬虫主要是周期性对目标整站页面进行爬取,爬虫算法主要采用了宽度优先遍历策略,可进行网页链接搜集、动态URL搜集、网站敏感字检索、暗链检索、坏链检测、存储网页快照等。

6、专项检测

WDScanner集成了专项漏洞检测功能,可在发生高危漏洞时快速部署检测POC,对客户网站进行批量安全性检测。

7、检索中心

检索中心可使用关键字对漏洞扫描、信息搜集、网站爬虫等进行检索,如漏洞类型、操作系统类型、开放端口、中间件类型、开发技术等。

网站URL检索,以检索包含.action的URL为例。

8、代理资源池

内置了代理资源池功能,对搜集到的代理地址的可用性进行动态打分排序,可以在扫描探测被封ip时智能切换IP地址。

9、节点管理

对扫描节点进行管理,不在范围内的节点无法请求平台任务。

10、报告输出

报告输出是专业扫描器不可缺少的部分,看起来功能不是很起眼,但的确花了我们很多时间和精力来实现这个功能。现在还只是实现了一个常规报告模板,而且在漏洞分类里还有些重复,后续还会慢慢完善。

在任务管理里每个任务都可以进行报告导出,大家可以看下报告的大体版式和内容,本想加入图表,暂时没能实现。 生成的报告大体这样。

项目地址

GitHub:https://github.com/TideSec/WDScanner

install

1、解压缩wdscanner.sql.zip,在mysql中新建数据库wdscan,将其中的wdscanner.sql导入。

2、访问http://ip:port ,用户名密码为admin/123456,登录即可。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2019-02-159,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1、登录界面
  • 2、分布式扫描
  • 3、客户管理
  • 4、网站信息收集
  • 5、网站爬虫
  • 6、专项检测
  • 7、检索中心
  • 8、代理资源池
  • 9、节点管理
  • 10、报告输出
  • 项目地址
  • install
相关产品与服务
脆弱性检测服务
脆弱性检测服务(Vulnerability detection Service,VDS)在理解客户实际需求的情况下,制定符合企业规模的漏洞扫描方案。通过漏洞扫描器对客户指定的计算机系统、网络组件、应用程序进行全面的漏洞检测服务,由腾讯云安全专家对扫描结果进行解读,为您提供专业的漏洞修复建议和指导服务,有效地降低企业资产安全风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档