360在線網站安全檢測，web安全測試AppScan掃描工具，XSS常用的攻擊手法

360在線網站安全檢測，web安全測試AppScan掃描工具，XSS常用的攻擊手法

如何做好網站的安全性測試

360網站安全檢測 - 在線安全檢測，網站漏洞修復，網站后門檢測
http://webscan.360.cn/
安全報告演示案例
http://webscan.360.cn/index/demo
網站還未認領，無法進行漏洞檢測，只有認領了網站后才能進行漏洞檢測
檢測后，可以發現潛在漏洞，並可一鍵進行修復，避免黑客入侵，保護網站安全

文件驗證，用瀏覽器訪問 http://xxxx.com/webscan_360_cn.html，確認上傳成功

360在線網站安全檢測的需要在阿里雲-雲盾控制台－應用防火牆下添加白名單ip 0.0.0.0后才能完成檢測，檢測完成后再刪除這個白名單。

------------------------------------
由於您網站的網絡問題，本次檢測未完成，建議您檢查您的網站是否能正常訪問？
或您的服務器禁止了360檢測服務器訪問，請把360檢測服務器IP加白或暫停您服務器防火牆
或你的網站是https，平台暫不支持此類檢測

360在線網站安全檢測 阿里雲 服務器安全(安騎士) 不支持此類檢測

每次檢測到 抓取網站鏈接 的時候就跳轉到提示網站網絡問題或被禁止了，這時候訪問網站是正常的，請問這個要怎么處理才能讓360安全檢測的能夠完成呢？

阿里雲ECS無法進行360網站安全檢測的圖文教程_百度經驗
http://jingyan.baidu.com/article/f3ad7d0f0d4e6b09c3345b08.html

向阿里雲提交了工單，回復如下：
360在線網站安全檢測是360公司提供的網站安全檢測產品，該產品會對網站進行模擬黑客行為對網站進行探測來檢查網站的安全情況。由於這些請求帶有安全風險，會被雲盾應用防火牆進行攔截。且這些請求都是從360網站安全衛士集群ip地址發出，且攻擊流量較大，速度也較快，導致觸發了應用防火牆的防護機制，將360網站安全衛士的集群ip加入了黑名單，在一定時間內封禁其所有的訪問，所以會導致您在使用360在線網站安全檢測的時候出現18%的錯誤提示。
您可以在雲盾控制台－應用防火牆下添加白名單ip 0.0.0.0解決。
強烈建議您在通過360網站安全檢查后，刪除此白名單恢復雲盾的應用防火牆功能。
注：白名單ip 0.0.0.0 的意思是所有有風險的ip請求雲盾防火牆不進行攔截。
M享主機-M3(雲) /共享主機是不支持 開放白名單功能的。
=====================================
安裝web安全測試AppScan掃描工具，win10安裝后無法使用問題解決方案
web安全測試---AppScan掃描工具
http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html
文章上的7.8.0.2-AppScan_Setup.exe安裝不了，另外補丁文件也下載不了的

AppScan是對網站等WEB應用進行安全攻擊，通過真刀真槍的攻擊，來檢查網站是否存在安全漏洞；既然是攻擊，肯定要有明確的攻擊對象吧，比如北約現在的對象就是卡扎菲上校還有他的軍隊。對網站來說，一個網站存在的頁面，可能成千上萬。每個頁面也都可能存在多個字段（參數），比如一個登陸界面，至少要輸入用戶名和密碼吧，這就是一個頁面存在兩個字段，你提交了用戶名密碼等登陸信息，網站總要有地方接受並且檢查是否正確吧，這就可能存在一個新的檢查頁面。這里的每個頁面的每個參數都可能存在安全漏洞，所有都是被攻擊對象，都需要來檢查。
---------------------------
appscan9.0破解版下載地址：http://pan.baidu.com/s/1jHF0fQm

安裝后無法使用，直接用管理員運行也提示：系統管理員已阻止此程序，請與管理員聯系。
家庭版的win10沒有本地策略組、本地用戶和組這些功能，只有Windows10 Pro（專業版）版本以上才有這些功能。如果要解決這些功能，就需要升級到專業版。
在開始菜單處通過設置→系統→關於,進入系統信息頁面，頁面最下面有“更改產品密匙或升級Windows版本”的選項。
點擊更改產品密匙，輸入升級專業版萬能產品密匙：VK7JG-NPHTM-C97JM-9MPGT-3V66T，等待系統驗證，自動重啟電腦。

升級后按WIN+R鍵，打開“運行”，然后輸入“gpedit.msc",打開組策略，這個在控制面板中也可以打開。
在組策略里找到“計算機配置”-“Windows設置”-“安全設置”-“本地策略”-“安全選項”，在“安全選項”里認真查找“用戶帳戶控制-以管理員模式批准運行所有管理員”這項，將這項禁用掉，重啟電腦后可以解決無法運行的問題。
到文件夾里面的exe文件右鍵，以管理員身份運行 仍然無法打開，重啟電腦后以管理員身份運行可以執行。
輸入網站首頁的URL會自動把整個網站的頁面都抓取出來並測試安全性，目前檢測結構沒有安全性問題。

Win10專業版永久激活方法（經測試只在開始時生效，聯網后又不行了）：
slmgr /ipk VK7JG-NPHTM-C97JM-9MPGT-3V66T
slmgr /skms kms.xspace.in
slmgr /ato

slmgr.vbs -xpr

--------------------------------

測試掃描百度

=====================================
安全性測試-XSS常用的攻擊手法
1.依賴跨站漏洞，需要在被攻擊網站的頁面種入腳本的手法
Cookie 盜取，通過javascript. 獲取被攻擊網站種下的cookie，並發送給攻擊者。
從cookie 中提取密碼等隱私，利用cookie 偽造session，發起重放攻擊。

2.Ajax 信息盜取，通過javascript. 發起ajax 請求。
從ajax 結果中獲取隱私。模擬用戶完成多頁表單。

3.不依賴跨站漏洞的手法
單向HTTP 動作，通過img.src 等方法發起跨站訪問，冒充被攻擊者執行特權操作。但是很難拿到服務器的返回值。
雙向HTTP 動作，如果服務器產生一段動態的script，那么可以用script.src 的方法，發起跨站訪問並拿到服務器的返回值。

------------------------------------