什么工具有助于驗(yàn)證網(wǎng)站上的表單輸入？

問：有什么工具可以幫助我找到我們企業(yè)網(wǎng)站中那些容易受到輸入驗(yàn)證攻擊的網(wǎng)頁(yè)呢？

答：你可能知道，輸入驗(yàn)證能確保程序在干凈和可用的數(shù)據(jù)上操作。有一些常用的工具能定位容易受輸入驗(yàn)證攻擊的網(wǎng)頁(yè)。首先，您可能需要查看OWASP網(wǎng)絡(luò)安全指南，它可以幫助修復(fù)確認(rèn)感染的網(wǎng)頁(yè)。

有兩種基本工具可以用來查找應(yīng)用程序威脅：漏洞掃描器和Web應(yīng)用程序安全掃描儀。

在過去幾年，漏洞掃描器都增加了Web應(yīng)用安全掃描功能。這些工具除了能進(jìn)行比較傳統(tǒng)的操作系統(tǒng)或應(yīng)用程序掃描之外，還能識(shí)別容易受到SQL注入或其他網(wǎng)絡(luò)安全攻擊的網(wǎng)頁(yè)。作為全面漏洞管理程序的一部分，這些掃描儀很有用，但它們可能沒有專用Web應(yīng)用程序安全掃描儀那樣有效。

在確定你網(wǎng)站上所有容易受感染的網(wǎng)頁(yè)方面，Web應(yīng)用程序安全掃描儀或?qū)Ｓ肧QL注入工具會(huì)更有效。Web應(yīng)用程序安全掃描儀將在識(shí)別輸入驗(yàn)證漏洞方面，加入更多的功能，您還有可能為您的網(wǎng)站自定義應(yīng)用程序安全掃描。三種可以使用的工具是：基于Web的服務(wù)（如WhiteHat安全公司提供的基于云的服務(wù)）、開源工具（如基于Windows GUI的FG-Injector框架）和閉源商業(yè)產(chǎn)品（如基于Windows的IBM Rational AppScan）。

所有這些工具都需要不同層次的功能，才能有效地運(yùn)行Web應(yīng)用程序安全掃描，還有您需要確定最適合您環(huán)境的工具。

根據(jù)您網(wǎng)站的復(fù)雜性，您可能會(huì)找到大量受感染的頁(yè)面；要修復(fù)它們，可能還要進(jìn)行優(yōu)先排序。如果您有大量受感染的頁(yè)面，可以考慮為附加保護(hù)層添加一個(gè)Web應(yīng)用防火墻。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]