dede漏洞检测工具

❶ 织梦dedecms被挂马 /plus/90sec.php怎么修复

从别的网站上找来的解决方法，不知道能不能。大家自己去试试
DedeCMS不久前爆出的”90sec.php“漏洞，困扰了很多站长朋友，站长反馈“网站木马文件删除后，第二天又重新出现了”。
攻击者利用这个漏洞，把一段恶意PHP代码写入数据库的某个数据字段内，再利用DedeCMS对这个字段里的数据的处理时会执行插入到数据库里的恶意PHP代码，最终导致在目标网站上写入网站木马文件，完全控制这个网站。
所以当站长在删除网站上的木马文件时，并没有删除数据库内的内容，所以当DedeCMS对这个被插入恶意代码的字段里的数据处理时，再次出现了被删除了的网站木马文件。
安全联盟站长平台为DedeCMS的站长量身打造一个“DedeCMS漏洞后门专杀工具”，该工具只需下载放置到Dedecms根目录下运行后，可“一键扫描”查找漏洞、网站木马及数据库里的恶意代码并清除干净。

❷ 网络安全行业中5款超好用的网络漏洞扫描器！

漏洞扫描器是用于对企业网络进行漏洞扫描的一种硬件设备，按常规标准，传统的漏洞扫描器可以分为两种类型：主机漏洞扫描器和网络漏洞扫描器。那么好用的网络漏洞扫描器有哪些?本篇文章为大家介绍5款免费网络漏洞扫描器，快来学习一下吧。

第一款：OpenVAS

OpenVAS的主要组件是安全扫描器，是基于Linux的网络安全扫描平台，但也可以在Windows内的虚拟机上运行。尽管OpenVAS不是安装和使用起来最简单方便的扫描器，但它却是功能最丰富最广泛的免费IT安全扫描器之一。它每天都会执行实际扫描工作，支持并发扫描任务和计划扫描，可以扫描数千个漏洞，并接收网络漏洞测试，供扫描结果的注释和误报管理。其中OpenVAS

Manager控制扫描器，并提供情报。OpenVAS Administrator提供了命令行接口，可充当全方位的服务守护程序，提供用户管理和信息源管理。

第二款：ManageEngine

ManageEngine是一款很好的长期漏洞监控工具，与其他扫描器不同，它主要为计算机扫描和监控而设计，但也为Web服务器提供了一些扫描功能。这款扫描器要求您将端点代理软件添加到要扫描的系统，适用于Windows、macOS和Linux系统。在漏洞管理器上设置端点代理后，可以开始查看检测到的项目、系统和服务器配置错误、高风险软件以及端口审查结果。每一项给出了充分的解释以及可能的解决方案。您可以管理和推送补丁，以及查看基本的计算机规格和统计信息，比如已安装的操作系统、IP地址和上次重启时间。

第三款：Nexpose社区版

Rapid7的Nexpose社区版是一款功能强大、易于设置的漏洞扫描器，它可以扫描网络、操作系统、Web应用程序等操作。Nexpose能够在Windows、Linux或虚拟机上运行，提供基于Web的GUI。在使用该工具之前，可以先通过其门户网站创建站点，以定义要扫描的IP或URL、选择扫描首选项、扫描时间表，并为扫描的资产提供任何必要的信息。扫描完成后，Nexpose会显示被扫描对象的详细信息，以及有关漏洞及如何修复漏洞的详细信息。

第四款：Nessus Essentials

Nessus

Essentials是一款可靠、易于使用的网络漏洞扫描器，但因为它最多支持扫描16个ip地址，因此更适合个人使用。它能够安装在Windows、macOS和众多Linux/Unix发行版上，在Web

GUI上，您可以轻松查看包含的扫描类型：主机发现以及漏洞扫描。在工具进行扫描后，使用者可以访问概述每个主机上所发现内容的小结，并深入了解有关漏洞和可能的补救措施的详细信息。

第五款：Qualys社区版

和Nessus

Essentials一样，Qualys社区也更适合个人使用。它支持多种扫描类型：TCP/UDP端口、密码蛮力破解和漏洞检测，以查找隐藏的恶意软件、缺少的补丁程序、SSL问题以及其他与网络有关的漏洞。它还能在得到授权的情况下，登录到主机以扩展检测功能。在Qualys扫描完成后，它会提供许多不同类型的报告，比如总体记分卡、补丁、高危程度、支付卡行业和摘要报告。

❸ 漏洞扫描工具有哪些

杀毒软件，电脑管家之类都可检查系统漏洞和下载安装补丁。系统自己也有自动更新设置。

❹ 网站漏洞扫描工具推荐，其中两款开源免费软件你知道吗

在如今互联网的时代，互联网的安危真真切切的影响到了我们的生活，在网络上，一直隐藏着许许多多的黑客，破坏网站的安防，挖漏洞来来找下一个金主，而网站则是不断的使用着网站漏洞扫描工具检查网站之中可能存在的隐患，防止有心人得逞，或者是造成网站的瘫痪，下面我们来介绍一下比较出名的网站漏洞扫描工具，在个人生活之中也可以使用的到。

一、Wireshark

这是一款开源的Web服务器扫描工具，对网页进行检测，其中有着3300种潜在威胁检测文件，包含625种服务器的版本号，230中的服务器问题的检测，不过这个软件的作者更新速度不稳定，对于新的网站的威胁可能检测不到。不过本身的功能还是很强大的，针对危险的检测和反侦测行为，躲避危险，并且隐藏自身的参数，将自己与危险隔离开来，并且检测访问的网站的问题。

❺ 我用织梦程序建了个网站，下载了个北极熊扫描器，扫描web漏洞，居然在我自己的网站上扫描出了100条

360网站安全检测 你试试这个不过这个好像要求必须上线,织梦的网站漏洞本身就多,而且容易被攻击,你的目录人家都猜得到.因为用的人太多.我们这儿一个搞二次开发的小孩,不会编程大学学的是网络工程,他就会专门对dede进行攻击(因为还有专门的教程如何对dede进行攻击)
有些开源的为什么要有那么多漏洞呢?
他们的业务是对dede进行修改开发,以及补漏洞收费,但你自己下载使用不收费.就是您交钱了,我把漏洞给你修了,bug给你修复.您不交钱 您自行解决...不过也是人家也得吃饭...而且漏洞这东西永远也补不干净,程序是人写的 那必定有漏洞,只是相对问题大小.

dede 织梦 ecshop 我们公司接的都是些做企业站的,或者个人站长,千 八百的就做一个,这玩意接接私活,或者糊弄不懂行的客户没啥关系.你说要真自己补漏洞 真够你受的.
我现在正用yii框架开发自己公司的cms呢,虽然我不是主力,分门别类的,其实就是把别人的cms系统仿一遍,但是这样更安全一些,更好维护拓展

漏洞无穷尽,你网站代码漏洞补好了,你还要注意你服务器的安全各种配置,什么权限之类的,还有屏蔽错误信息神马的.
这属于web安全方面知识,我就一码农,只管码...

下面给你说说补漏洞

如果您使用了DedeCMS程序，请立即按如下流程处理：
1.在dedecms的后台更新补丁,尽可能升级为最新版本。
2.data、templets、uploads、install这几个目录用控制面板的“目录保护”功能 禁止执行权限 。
3.如果只是使用文章系统并没有使用会员功能,则强推推荐:关闭会员功能、关闭新会员注册、直接删除member目录或改名。
4.用dedecms后台的“系统”中的文件校验和病毒扫描功能 查杀病毒木马。
5.检查有无/data/cache/t.php 、/data/cache/x.php和/plus/index.php 这些木马文件,有的话则应立即删除。
请及时关注dedecms的最新补丁,如果官方出新补丁,则应立即更新。
第一、安装的时候数据库的表前缀，最好改一下，不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。
第二、后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号，管理员密码一定要长，至少8位，而且字母与数字混合。
第三、装好程序后务必删除install目录
第四、将dedecms后台管理默认目录名dede改掉。
第五、用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录：
member会员功能
special专题功能
company企业模块
plus\guestbook留言板
以下是可以删除的文件：
管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有：
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
第七、多关注dedecms官方发布的安全补丁，及时打上补丁。
第八、下载发布功能（管理目录下soft__xxx_xxx.php），不用的话可以删掉，这个也比较容易上传小马的.
第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.
第十、最安全的方式：本地发布html，然后上传到空间。不包含任何动态内容，理论上最安全，不过维护相对来说比较麻烦。
第十一、由于黑客上传恶意代码的目录主要是 /data /data/cache 和 /plus 这三个目录，请务必设置这三个目录的权限，需要执行权限的，请设置成不可写，需要写权限的，请设置成不可执行，也就是这三个目录的权限要么是555，要么是644！
第十二，还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉。所以还得记得时常备份数据.

❻ 如何检测一个网站是否有安全漏洞

扫描网站漏洞是要用专业的扫描工具，下面就是介绍几种工具
1. Nikto
这是一个开源的Web服务器扫描程序，它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器，这在其日志文件中相当明显。不过，如果你想试验一下，它也可以支持 LibWhisker的反IDS方法。不过，并非每一次检查都可以找出一个安全问题，虽然多数情况下是这样的。有一些项目是仅提供信息类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过Web管理员或安全工程师们并不知道。
2. Paros proxy
这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序，hash 计算器，还有一个可以测试常见的Web应用程序攻击的扫描器。
3. WebScarab:
它可以分析使用HTTP和HTTPS协议进行通信的应用程序，WebScarab可以用最简单地形式记录它观察的会话，并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。

4. WebInspect：
这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置，并会尝试一些常见的 Web攻击，如参数注入、跨站脚本、目录遍历攻击等等。
5. Whisker/libwhisker :
Libwhisker是一个Perla模块，适合于HTTP测试。它可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。 Whisker是一个使用libwhisker的扫描程序。
6. Burpsuite：
这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来，以列举、分析、攻击Web应用程序，或利用这些程序的漏洞。各种各样的burp工具协同工作，共享信息，并允许将一种工具发现的漏洞形成另外一种工具的基础。
7. Wikto:
可以说这是一个Web服务器评估工具，它可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分，如后端 miner和紧密的Google集成。它为MS.NET环境编写，但用户需要注册才能下载其二进制文件和源代码。

8. Acunetix Web Vulnerability Scanner :
这是一款商业级的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。
9. Watchfire AppScan：
这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试，从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。
10. N-Stealth：
N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序，如Whisker/libwhisker、 Nikto等的升级频率更高。还要注意，实际上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件。N-Stealth主要为Windows平台提供扫描，但并不提供源代码。

❼ web漏洞扫描工具有哪些

1、Nexpose：跟其他扫描工具不同的是，它的功能十分强大，可以更新漏洞数据库，也可以看出哪些漏洞可以被Metasploit Exploit，可以生成非常详细、强大的Report，涵盖了很多统计功能和漏洞的详细信息。
2、OpenVAS：类似Nessus的综合型漏洞扫描器，可以用来识别远程主机、Web应用存在的各种漏洞，它使用NVT脚本对剁成远程系统的安全问题进行检测。
3、WebScarab：可以分析使用HTTP和HTTPS协议进行通信的应用程序，它可以简单记录观察的会话且允许操作人员以各种方式进行查看。
4、WebInspect：是一款强大的Web应用程序扫描程序，有助于确认Web应用中已知和未知的漏洞，还可以检查一个Web服务器是否正确配置。
5、Whisker/libwhisker：是一个Perla工具，适合于HTTP测试，可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。
6、Burpsuite：可以用于攻击Web应用程序的集成平台，允许一个攻击者将人工和自动的技术进行结合，并允许将一种工具发现的漏洞形成另外一种工具的基础。
7、Wikto：是一个Web服务器评估工具，可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分。
8、Watchfire AppScan：是一款商业类的Web漏洞扫描程序，简化了部件测试和开发早期的安全保证，可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。
9、N-Stealth：是一款商业级的Web服务器安全扫描程序，主要为Windows平台提供扫描，但并不提供源代码。

❽ dede中所有的index.html都中木马怎么解决

1、电脑杀毒建议安装专业的杀毒软件，用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底，推荐试试腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量。如果遇到顽固木马，可以用首页——工具箱——顽固木马克星，强力查杀，效果相当不错的。

2、安全模式下，将该目录的所有文件按修改时间重新排列，将该病毒以及修改时间和病毒一样的文件删除（先纪录名字）。安全模式下，在运行中输入msconfig，在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下，把刚才的名字一个一个在注册表中查找一遍，一样路径和名称的键都删除

3、如果遇到所有安全类软件打不开，就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了，可以尝试挂盘杀毒，也可以制作一个引导杀毒的工具，很多杀毒软件都有引导杀毒工具，或者是重装系统。

4、建议你在用杀毒软件检测出木马病毒后，第一时间进行清除。一般当扫描出木马后，都会帮您勾选好所有木马，只需要点击“立即清除”就可以了。有些木马需要重启电脑，为了彻底清除危害千万不要嫌麻烦哦。

如果遇到木马或病毒杀不掉，一般是由于木马病毒正在运行，或者有其他的病毒进程守护，造成的。如果遇到这类隐藏性很高的、又释放驱动的病毒，很难处理。所以要先对病毒灭活，杀掉活体病毒之后就很容易查杀了

❾ 漏洞扫描工具

金山卫士是最好用的漏洞扫描工具，我不骗你真的超好用，漏洞修复的技术也是版超棒的，权比别看他没宣传，其实它的功能还是相当可以的，对于企业业务的人士也是电脑必备的软件哦，你别看大多数的电脑里都装了360安全卫士，其实360安全卫士一点也不好，它只是被大规模的宣传过，其实真的不好，不然电脑中安装360的用户怎么都说不好，杀毒的效果也不好，扫描漏洞的功能更差，这就是360的虚假信息，我现在回答主题，金山卫士好，我现在没在宣传，真的很好用，采纳不采纳我的回答你自己决定。

❿ 有没有好用的漏洞扫描工具

1、OpenVAS漏洞扫描工具
OpenVAS漏洞扫描器是一种漏洞分析工具，由于其全面的特性，IT部门可以使用它来扫描服务器和网络设备。
这些扫描器将通过扫描现有设施中的开放端口、错误配置和漏洞来查找IP地址并检查任何开放服务。扫描完成后，将自动生成报告并以电子邮件形式发送，以供进一步研究和更正。
OpenVAS也可以从外部服务器进行操作，从黑客的角度出发，从而确定暴露的端口或服务并及时进行处理。如果您已经拥有一个内部事件响应或检测系统，则OpenVAS将帮助您使用网络渗透测试工具和整个警报来改进网络监控。
2、Nessus漏洞扫描工具
Tenable的Nessus
Professional是一款面向安全专业人士的工具，负责修补程序、软件问题、恶意软件和广告软件删除工具，以及各种操作系统和应用程序的错误配置。
Nessus提供了一个主动的安全程序，在黑客利用漏洞入侵网络之前及时识别漏洞，同时还处理远程代码执行漏洞。
它关心大多数网络设备，包含虚拟、物理和云基础架构。Tenable还被认为是Gartner Peer
Insights在2003年3月之前进行危险性评估的首选方案。
3、Nexpose community
Nexpose community是由Rapid7开发的漏洞扫描工具，它是涵盖了大多数网络检查的开源解决方案。
这个解决方案的多功能性是IT管理员的一个优势，它可以被整合到一个Metaspoit框架中，能够在任何新设备访问网络时检测和扫描设备。
它还可以监控真实世界中的漏洞暴露，最重要的是，它可以进行相应的修复。此外，漏洞扫描程序还可以对威胁进行风险评分，范围在1-1000之间，从而为安全专家在漏洞被利用之前修复漏洞提供了便利。Nexpose目前可免费试用一年。
4、Nikto
Nikto是另一个免费的在线漏洞扫描工具，如Nexpose community。
Nikto可帮助您了解服务器功能，检查其版本，在网络服务器上进行测试以识别威胁和恶意软件的存在，并扫描不同的协议，如https、httpd、http等。
还有助于在短时间内扫描服务器的多个端口，Nikto因其效率和服务器强化功能而受到青睐。
5、Retina
Retina漏洞扫描工具是基于Web的开源软件，从中心位置负责漏洞管理。它的功能包括修补、合规性、配置和报告。
负责数据库、工作站、服务器分析和Web应用程序，完全支持VCenter集成和应用程序扫描虚拟环境;它负责多个平台，提供完整的跨平台漏洞评估和安全性。