安全审计

bugscan是近期由国内某大神出品的一款B/S段的扫描平台，只需本地架设python环境，便可以对网站进行全方位的扫描，并且该款设计新颖的扫描器还开放插件API，可以让使用者自己编写插件，与使用者共享插件。小编本地测试了下，扫描速度及结果等都非常给力，尤其是爬虫非常到位。以下为原文：

现在市面上的扫描软件五花八门，可总结为两种

1.  客户端软件（如wvs, nessus., metaspolit..)
2.  B/S方式的 (像360的在线扫描，知道创宇...）

先说客户端式的吧，有开发公司负责插件的更新。收费的占很大一部分

就扫描效果来说，比较全面，不管什么网站，反正扫描完，像wvs这样的，报告导出得好几M，不得不说算是老大级别的, 但针对性呢？国内的安全现状适应吗？，用的人想必比我还清楚，用他来做报告，应付工作算是个神器了，你想自己开发插件呢，怎么办？别说没有这样的人，我就是其中之一。

说说B/S端的，提供的服务可以说是多方面的，网站监控了，挂马提醒了，可以说是站长不错的选择，对专业安全爱好者来说，没有太大实际作用，可定制性差。可控性差，不灵活。

所以，一种结合客户端和B/S端的扫描平台诞生了

如果你是网络安全爱好者，你是疯狂的码农，你是站长？？，都可以满足你们其中一个共性的要求，对网站的360度扫描，不是普通意义上的扫描，你可以使用别人共享的插件，也可以自己编码插件共享给别人， 你可以对插件的性能，效果在线做评论或者提点意见， 如果你是几十个站的站长，你可以自架节点，一个或者多个，都可以，集群扫描。任你发挥。如果发现有高危漏洞的网站，为了不必要的法律风险，必须验证后，才可以查看详细漏洞，先扫描，后修复。

如果你懂一点编程，想共享一些安全漏洞，可以通过在线的简单的例子，马上入手写一个扫描插件，有人问，我写这个插件能干啥，别人用了会给我钱吗？如果你这样问，那么这个东西不适合你，他只适合，心里还有那么一丝共享精神的，曾经希望自己变成黑客的，现在从事网络安全行业的屌丝男同胞们， 如果真的要问，我能给提供漏洞的人什么，我只能说rank,你的贡献值，永远的记录在网站上

下面上张图，

是的，像像看到的那样，你不是用我们提供的服务器在扫描，是你自己架设引擎扫描，只需要装一个Python 2.7, 什么都有了，不需要下载任何第三方安装包，只需要一个命令，完全内存执行，绝对绿色，最重要的一点，你可以使用别人无私共享出来的针对最新安全漏洞的扫描插件, 可以学习别人的经验，交流知识。

扫描程序对国内流行CMS做了识别

对于注入漏洞的检测，不管是post cookie, get还是referer user-agent，都样样在行

对于最新的安全漏洞，CMS的0day,也检测到位

下面发一个实例扫描报告：

总有那么一些人，在这里不图回报的更新着，共享着，说再多，不如一试.点击体验: 
http://bugscan.net/