对码扫描/渗透测试工具提供咨询

Question

扫描服务，如McAfee，科摩等，如打嗝代理，惠普公司的WebInspect，CodeScan等。

工具 - 据我可以看到产品分为两大类

在一个理想的世界，我会使用的东西，每天都在积极地扫描某个URL（目标是一个LAMP堆栈）（或者如果它是一个独立的工具，如需要），但我是有点担心的在其覆盖范围和更新频率方面独立工具。 （如所需要的“远程”扫描仪如McAfee被推测更新。）

我也有一些独立的工具的问题（不记得是哪一个不幸）是设法让自己我们的URL重写系统内丢失（有比赛中的一个小平面式的搜索，所以你可以想像事情变得相当深的的URL前面）。

因此，我只是想知道什么经验的人有过的产品在那里和独立的工具是否叠加起来对扫描服务。

（顺便说一句，我所知道的渗透测试工具 - 我只是想知道，如果自那时以来情况发生了变化）

Answer 1

我已经做了渗透测试和利用发展。我可以从第一手的经验，黑客不只是发射了一些工具告诉你。有时工具可以使生活更轻松，但如果你不知道你在做什么，然后一个工具是不会帮助。

如果你想为了解您的系统是安全的，那么你需要更高熟练的黑客打破该PCI-DSS是信用卡处理所需的认证规定任你有定期渗透测试服务器上进行。定期进行渗透测试是，如果你想有一个非常安全的服务器，你应该采取什么。

为Web服务器一个很好的安全措施是一个Web应用防火墙（WAF）。 Web应用防火墙也需要通过PCI-DSS。 mod_security的是免费和开源的WAF。 mod_security的可以用来防止数百种不同类型的攻击。一个WAF可以是渗透测试的噩梦或将是黑客。