http://www.mail-archive.com/php-general@lists.php.net/msg160883.html
PHP read /write
you can even bury it *inside* a directory that the PHP user can *NOT* read, so the Bad Guy has to "guess" at the name of the directory that they can read, because it's inside a directory that they can't read: mkdir access chmod 600 access mkdir access/images chmod 700 access/images chown apache access/images So now the 'apache' user (may be 'nobody' or 'www' or ... on your system) can do what it wants with the images directory, but somebody poking around in your system won't *KNOW* there is an images directory, cuz they can't read 'access' directory to find out it's there.
http://myblog-johnnyit.blogspot.com/2008/07/website-security.html
WebSite Security網站安全性測試軟體
使用下面軟體測試網站時,請先以備援網站測試,以策安全
RatProxy為Google提供之網站安全性檢測工具
WebSecurity,提供Web安全性檢查評估報告(如:XSS ,CSRF等)工具,
安裝新版本後,執行出現"無法找到程序輸入點",Couldn't load XPCOM,原因是舊的版本並未移除,故移除重裝後即可正常執行
(開放源碼)Web application vulnerability scanner(Wapiti)
使用方式需搭配Python指令一起使用,即 python wapiti.py http://www.example.com.tw/base/url/
(開放源碼)WebScarab是OWASP提供分析http與https協定之安全性檢查軟體,支援Linux,Windows,Mac等作業系統
Acunetix Cross Site Scripting(XSS) Vulnerabilities Scanner (偵測XSS漏洞工具),
XSS相關參考工具:
微軟Anti-Cross Site Scripting Library
微軟XSS Detect Beta Code Analysis Tool,需搭配Visual Studio 2005一起才能使用
x5s,搭配Fiddler Add-on使用
(開放源碼)Pantera是OWASP提供之滲透測試軟體,使用需求Python、MySql、Python MySql Wrapper、OpenSSL,安裝說明請參考下載解壓縮檔後之INSTALL.txt說明
Sprajax是供AJAX frameworks網站安全性測試軟體
GroundSpeed,Firefox外掛網頁安全性檢測工具
(GPL)ProxMon
(開放源碼)Paros
Burp Proxy,透過Proxy,以man-in-the-middle手法進行安全性測試
SPIKE Proxy,解壓縮檔案需存放於C槽之SPIKEProxy資料夾,搭配runme.bat批次檔設定Path參數後執行
相關參考資訊
Http Sniffer ,可檢視http或https網路封包資訊,查詢Port連線狀態及相關鏈結
http-ping,命令提示列方式,查詢網站是否正常回應及偵測執行時間 (http-ping -q -c http://www.example.com.tw)
IE瀏覽器相關工具:
Internet Explorer Collection,提供IE相關版本供測試使用
Microsoft Internet Explorer Application Compatibility VPC Image,搭配微軟VPC軟體,可進行不同IE版本測試
網站應用程式測試參考日文書籍
RatProxy為Google提供之網站安全性檢測工具
WebSecurity,提供Web安全性檢查評估報告(如:XSS ,CSRF等)工具,
安裝新版本後,執行出現"無法找到程序輸入點",Couldn't load XPCOM,原因是舊的版本並未移除,故移除重裝後即可正常執行
(開放源碼)Web application vulnerability scanner(Wapiti)
使用方式需搭配Python指令一起使用,即 python wapiti.py http://www.example.com.tw/base/url/
(開放源碼)WebScarab是OWASP提供分析http與https協定之安全性檢查軟體,支援Linux,Windows,Mac等作業系統
Acunetix Cross Site Scripting(XSS) Vulnerabilities Scanner (偵測XSS漏洞工具),
XSS相關參考工具:
微軟Anti-Cross Site Scripting Library
微軟XSS Detect Beta Code Analysis Tool,需搭配Visual Studio 2005一起才能使用
x5s,搭配Fiddler Add-on使用
(開放源碼)Pantera是OWASP提供之滲透測試軟體,使用需求Python、MySql、Python MySql Wrapper、OpenSSL,安裝說明請參考下載解壓縮檔後之INSTALL.txt說明
Sprajax是供AJAX frameworks網站安全性測試軟體
GroundSpeed,Firefox外掛網頁安全性檢測工具
(GPL)ProxMon
(開放源碼)Paros
Burp Proxy,透過Proxy,以man-in-the-middle手法進行安全性測試
SPIKE Proxy,解壓縮檔案需存放於C槽之SPIKEProxy資料夾,搭配runme.bat批次檔設定Path參數後執行
相關參考資訊
Http Sniffer ,可檢視http或https網路封包資訊,查詢Port連線狀態及相關鏈結
http-ping,命令提示列方式,查詢網站是否正常回應及偵測執行時間 (http-ping -q -c http://www.example.com.tw)
IE瀏覽器相關工具:
Internet Explorer Collection,提供IE相關版本供測試使用
Microsoft Internet Explorer Application Compatibility VPC Image,搭配微軟VPC軟體,可進行不同IE版本測試
網站應用程式測試參考日文書籍
沒有留言:
張貼留言