网站漏洞检查可以通过以下步骤进行:
信息收集:收集如IP地址、DNS记录、软件版本信息、IP段等信息。可以采用基本网络信息获取、Ping目标网络得到IP地址和TTL等信息、Tcptraceroute和Traceroute的结果、Whois结果、Netcraft获取目标可能存在的域名、Web及服务器信息、Curl获取目标Web基本信息、Nmap对网站进行端口扫描并判断操作系统类型、Google、Yahoo、Baidu等搜索引擎获取目标信息、FWtester 、Hping3 等工具进行防火墙规则探测等方法。
渗透测试:根据前面获取到的数据,进一步获取网站敏感数据。如果成功的话,可能获得普通权限。这包括基于应用的攻击(如Web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击)和口令猜解技术。
网站主体检测:对网站主体进行全面检测,发现其中存在的安全漏洞,并给出解决方案。
模糊测试:利用模糊测试软件进行漏洞识别,看看网站程序是否存在安全漏洞。
综合检测:层层深入,综合检测网站的安全性,包括服务器操作系统、网站应用程序、网站安全设置等。
社会工程检测:运用暴力破解等攻击技术,分析网站的安全漏洞,进而给出保护建议。
安全自动化技术:自动化安全检测技术检测高效率地发现网站漏洞,给出更加专业的解决方案。
总的来说,这些步骤应该能够帮助您完成网站漏洞检查。