首先，安全認證服務的漏洞掃描不靠譜。科學家們實測發(fā)現(xiàn)安全認證服務的掃描器無法發(fā)現(xiàn)很多嚴重的安全漏洞。

在另外一組試驗中，研究者架設了一個包含12個已知漏洞(例如SQL注入、CSRF、XSS等)，然后購買了8家安全網(wǎng)站認證廠商的服務，其中表現(xiàn) 最佳的安全認證服務也會漏掉超過一半的已知網(wǎng)站安全漏洞，很多安全認證服務的漏洞掃描甚至連Virus Total這樣的公開庫中的惡意軟件都無法識別。

其次，安全認證網(wǎng)站更容易遭黑?？茖W家們發(fā)現(xiàn)獲得安全網(wǎng)站認證標志的網(wǎng)站，黑客只需不到一天時間就可找到漏洞，更加讓人震驚的是，研究者發(fā)現(xiàn)由于有了安全網(wǎng)站認證標志的存在，攻擊者反而更容易鎖定安全漏洞，換而言之，“安全網(wǎng)站”更容易遭受黑。這要“感謝”安全認證廠商給黑客的提示。

通過QQ來檢測

1、運行QQ軟件，然后輸入“QQ賬號”、“密碼”再點擊安全登錄。

2、安全登錄QQ后，點擊QQ左側右下角的“主菜單”按鈕。

3、彈出的主菜單中點擊“安全”--“安全中心首頁”

4、跳轉到QQ安全中心首頁后，點擊QQ安全中心導航欄中的“安全學堂”。

5、然后點擊常用功能欄下的“網(wǎng)址安全檢查”按鈕

6、進入了網(wǎng)站安全檢測首頁，請輸入您要檢測的網(wǎng)站再點擊“立即檢測”

7、檢測結果顯示：該網(wǎng)站系“安全網(wǎng)站”，還有相應的“網(wǎng)站主辦方稱”“ICP備案”等詳細信息。

通過瀏覽器來檢測

1、打開瀏覽器，百度搜索“360網(wǎng)站安全檢測”，如下圖。點擊第一個帶有官網(wǎng)字樣的結果進入360網(wǎng)站安全檢測 - 在線安全檢測,網(wǎng)站漏洞修復官方網(wǎng)站。

一、進行網(wǎng)站安全漏洞掃描

由于現(xiàn)在很多網(wǎng)站都存在sql注入漏洞，上傳漏洞等等漏洞，而黑客通過就可以通過網(wǎng)站這些漏洞，進行SQL注入進行攻擊，通過上傳漏洞進行木馬上傳等等。所以網(wǎng)站安全檢測很重要一步就是網(wǎng)站的漏洞檢測，在這就借用工具“億思”來說明一下。

億思網(wǎng)站安全檢測平臺，是在線的網(wǎng)站漏洞檢測工具，之前都是需要邀請碼才可以注冊使用的，不過目前已經(jīng)開放免費使用了，有需要可以到http://www.iiscan.com/index/register注冊。

將已經(jīng)認證好的網(wǎng)站的URL填入掃描欄，根據(jù)實際情況將輸出報表和掃描的選項選好，安添加任務運行就可以。一般選擇“All選項”就可以。

等掃描完后就可以查看網(wǎng)站所存在的漏洞和存在的網(wǎng)頁，可以根據(jù)報告里面的建議進行漏洞修補，但請注意，在修改網(wǎng)頁代碼之前要先做好備份工作。

對于手動安全測試來說，一般常用的有三點：

1、URL有參數(shù)的，手動修改參數(shù)，看是否得到其他用戶的信息和相關頁面;如果得到其他頁面，那就應該采取其他的措施來檢測。

2、在登錄輸入框的地方輸入‘ or 1=1--或 “ or 1=1--等看是否有SQL注入;注意區(qū)分大小寫，否則檢測會顯示失敗。

3、在注重SQL注入的同時，一般在有輸入框的地方輸入，點擊回車自動檢測安全性。

對于自動化安全測試來說：

測試組目前使用的安全測試工具為 IBM 的AppScan(當然，是破解版,34上已經(jīng)放過該工具的安裝包)

1、在使用之前務必確認自己綁定的Host;如果沒有綁定，檢測結果是無法發(fā)送的。

2、配置URL、開發(fā)環(huán)境、錯誤顯示類型;