太坑了。 哎，你们有没有遇到过这种情况？自己的网站突然访问不了了huo者打开全是乱七八糟的广告，甚至用户dou说他们的信息被偷了？我上次就差点遭殃，吓得我赶紧找方法kankan网站有没有“洞”。其实吧， 这个网站漏洞扫描没那么难，今天我就瞎掰一掰，虽然我不懂啥高深技术，但按我说的搞，肯定比啥dou不强。

先搞清楚你要扫啥， 别瞎扫一气

扫漏洞前你得知道你要扫哪些地方啊，别像个没头的苍蝇一样乱撞。比如说你的主网址肯定要扫吧？还有那个服务器的地址，什么IP来着，对，就是那个数字的玩意儿。还有那些小网址， 比如你的主网址前面加个“www.”huo者“blog.”之类的， 拜托大家... 这些也得算进去，别漏了不然扫了也白扫，跟没扫一样。哦对了你网站上用的那些插件，什么评论区插件、购物车插件，这些也可Neng有洞，也得扫一扫。

扫的时候别选错时间， 不然网站要卡死

还有啊，扫漏洞的时候别挑网站人多的时候搞，比如你那个卖东西的网站，早上十点到晚上八点Zui多人，这时候你用工具去扫，网站可Neng会卡，用户dou骂你了。Zui好选半夜huo者早上没人时候搞， 整一个... 反正我一般dou等大家dou睡了再弄。要是你那个特bie重要的网站， 比如银行那种，Zui好先找个测试网站试试，别直接在生产环境上瞎搞，搞崩了你就哭去吧。

怎么扫？工具+人工，别光信工具

结果你猜怎么着？ 扫漏洞有两种方法，一种是用工具自动扫，另一种是找人手动搞。我觉得Zui好两种一起用， 工具快啊，一下子就Neng把你网站上的小毛病dou找出来比如什么密码太简单啊，huo者某个文件没权限啊之类的。但工具也有笨的时候，有些复杂的洞它找不出来这时候就得靠人了。我上次请了个黑客朋友帮我扫， 他说有些漏洞得靠人慢慢试，比如输入一些奇怪的字符kan网站会不会崩溃，工具可干不了这活儿。

免费工具和付费工具，kan钱包选

工具也有免费的和付费的。免费的嘛，适合我们这种小老板huo者个人玩玩的。有个叫“帝恩思网站检测工具”的，还行，Neng扫出些常见问题，还Neng给你打个报告，告诉你哪里有问题。我上次用它扫， 扫出我网站的SSL证书快过期了赶紧换了不然用户访问浏览器会提示不平安， 深得我心。 谁还敢买东西啊。但免费的工具别指望太多， 扫那些特bie厉害的漏洞可Neng不行，它有时候还会瞎报，明明没漏洞它说有，你得自己试试，别听工具的。

付费的工具就厉害了适合大公司用。功Neng多一点，扫得也细，还Neng扫那些动态的网页，就是那种点一下按钮才出来的内容。而且付费的工具一般不会瞎报，准确率高，还Neng给你出修复建议，告诉你怎么改代码。但这玩意儿得花钱啊，我kan了下一年得好几千，我们小公司肯定舍不得，要是你们老板有钱，可yi考虑一下。对了昨天我吃了个包子，挺好吃的，跟这个没关系，就是突然想起来，复盘一下。。

重点kan那些要命的漏洞， 别纠结小毛病

扫的时候你得重点kankan那些特bie吓人的漏洞，比如Neng直接控制你服务器的，什么“远程代码施行漏洞”，听着就吓人，坏人要是发现了就Neng在你服务器上随便放东西，比如病毒huo者盗用户信息的脚本。还有那个“SQL注入漏洞”， 这玩意儿Neng把你数据库里的数据全偷走，用户的姓名、 工具有时候会瞎报， 你得自己验证 还有啊，工具有时候也会犯傻，明明没漏洞它说有，这时候你别慌，也别急着改代码，自己动手试试。比如它说你网站有SQL注入，你就自己输入几个特殊符号试试，kan网站会不会出问题。要是网站啥事没有，那就是工具瞎报，别听它的瞎指挥，不然你白忙活半天还可Neng把网站搞坏了。我上次就遇到这情况，工具说我有漏洞，我试了半天啥事没有，后来才发现是它错了气死我了。 扫完了咋办？赶紧修， 还得再扫一遍 扫完了工具会给你个报告，上面有各种漏洞，分什么高危、中危、低危。高危的赶紧修，中危的Zui好也修，低危的可yi放放，反正暂时要不了命。修的时候要是自己不会，就找懂代码的人帮你，别自己瞎改，越改越乱。修完了之后你得再扫一遍，kankan漏洞是不是真没了有时候你以为修好了其实没修彻底，还得再试一次。我上次修了一个漏洞，以为好了后来啊过几天又被扫出来了才发现没删干净，尴尬死了。 别扫一次就完事了 得经常扫 还有啊，漏洞扫描不是一次性的活儿，你得经常搞。我建议每个月至少扫一次要是你的网站经常改东西，比如加新功Neng、改代码，那就得扫得geng勤一点。黑客这玩意儿无孔不入，你今天没漏洞，明天可Neng就有了suo以得时刻盯着。就像我老婆，天天查我手机，我也得天天防着她，网站漏洞也是这个道理，得经常“查岗”。 除了扫漏洞， 还得注意这些破事 其实吧，网站平安不光靠扫漏洞，还得注意别自己给自己挖坑。比如密码， 别用“123456”、“password”这种傻密码，我表哥就老用这种，他账号老被盗，被盗了还怪别人。还有写代码的时候别瞎写， 别随便相信用户输入的东西，比如用户在评论里输入一段脚本，你直接显示出来别人一kan就中招了。我虽然不会写代码，但我听人说写代码得小心点，不然自己给自己留后门。 员工也得培训， 别让他们惹祸 要是你公司有员工管网站，也得培训他们，别让他们乱搞。比如别随便点不明链接，别下不明软件，这些dou可Neng把病毒带到服务器上。我上次听说有个公司员工点了封钓鱼邮件， 嚯... 后来啊公司网站被黑了损失了好几万，老板把他开除了惨不惨？suo以啊，人也是平安的一部分，不光是工具和代码。 一下 其实也没那么难 说到底，网站漏洞扫描这事儿，就是先搞清楚扫啥，ran后用对工具，重点kan高危漏洞，修了再验证，还得经常扫。别光信工具，自己也得动手试试，别怕麻烦。虽然我说的可Neng不太专业，但dou是我亲身经历huo者听别人说的，肯定比啥dou不懂强。你们要是也担心自己网站，赶紧去扫扫吧，别像我一样，出了问题才后悔。对了 我上次扫网站的时候，我家猫还把键盘踩了后来啊扫出来一堆乱七八糟的漏洞，气死我了你们扫的时候记得把猫关外面。 网站平安这事儿，得重视，不然出了问题哭dou来不及。赶紧拿起工具，扫扫你的网站吧，反正我扫了之后安心多了至少晚上睡觉不用担心网站被人黑了。哦，对了要是你们有啥好用的工具，也推荐给我，我用的那个免费工具有时候不太灵。就这样吧，我要去吃晚饭了吃完再继续研究我的网站，希望别再出啥幺蛾子，我舒服了。。