攻击测试网站推荐_攻击测试网站

被别人用压力测试软件攻击了我网站之后，出现502 bad gateway，页面直接打不开，需要怎么解决，求指点

502 Bad Gateway是一种报错提示，这一错误并不意味着上游服务器已关闭(无响应网关/代理)，而是上游服务器和网关/代理不同意的协议交换数据。

第一种原因：目前lnmp一键安装包比较多的问题就是502 Bad Gateway，大部分情况下原因是在安装php前，脚本中某些lib包可能没有安装上，造成php没有编译安装成功。解决办法：可以尝试根据lnmp一键安装包中的脚本手动安装一下，看看是什么错误导致的。

第二种原因：在php.ini里，eaccelerator配置项一定要放在Zend Optimizer配置之前，否则也可能引起502 Bad Gateway

第三种原因：在安装好使用过程中出现502问题，一般是因为默认php-cgi进程是5个，可能因为phpcgi进程不够用而造成502，需要修改/usr/local/php/etc/php-fpm.conf 将其中的max_children值适当增加。

第四种原因：php执行超时，修改/usr/local/php/etc/php.ini 将max_execution_time 改为300。

第五种原因：磁盘空间不足，如mysql日志占用大量空间。

第六种原因：查看php-cgi进程是否在运行。

另外的解决办法：

Nginx 502 Bad Gateway的含义是请求的PHP-CGI已经执行，但是由于某种原因（一般是读取资源的问题）没有执行完毕而导致PHP-CGI进程终止，一般来说Nginx 502 Bad Gateway和php-fpm.conf的设置有关。

php-fpm.conf有两个至关重要的参数，一个是max_children，另一个是request_terminate_timeout，但是这个值不是通用的，而是需要自己计算的。

在安装好使用过程中出现502问题，一般是因为默认php-cgi进程是5个，可能因为phpcgi进程不够用而造成502，需要修改/usr/local/php/etc/php-fpm.conf 将其中的max_children值适当增加。

计算的方式如下：如果服务器性能足够好，且宽带资源足够充足，PHP脚本没有系循环或BUG的话可以直接将 request_terminate_timeout设置成0s。0s的含义是让PHP-CGI一直执行下去而没有时间限制。如果做不到这一点，也就 是说PHP-CGI可能出现某个BUG，或者宽带不够充足或者其他的原因导致PHP-CGI假死那么就建议给 request_terminate_timeout赋一个值，这个值可以根据服务器的性能进行设定。一般来说性能越好可以设置越高，20分钟-30分 钟都可以。

而max_children这个值又是怎么计算出来的呢？这个值原则上是越大越好，php-cgi的进程多了就会处理的很快，排队的请求就会很少。 设置max_children也需要根据服务器的性能进行设定，一般来说一台服务器正常情况下每一个php-cgi所耗费的内存在20M左右。

按照官方的答案，排查了相关的可能，并结合了网友的答案，得出了下面的解决办法：

1、查看php fastcgi的进程数（max_children值）代码：netstat -anpo | grep “php-cgi” | wc -l

5（假如显示5）

2、查看当前进程，代码：top观察fastcgi进程数,假如使用的进程数等于或高于5个，说明需要增加（根据机器实际状况而定）

3、调整/usr/local/php/etc/php-fpm.conf 的相关设置

value name=”max_children”10/value

value name=”request_terminate_timeout”60s/value

max_children最多10个进程，按照每个进程20MB内存，最多200MB。

request_terminate_timeout执行的时间为60秒，也就是1分钟。

攻击网站的具体方法

最高效的方法 物理零距离攻击 直接拔掉网站服务器的电源线或者网线等。

不行的话 就先扫描漏洞然后攻击，看看有哪些端口和协议开放，方法不一而足，软件铺天盖地

如何测试一个网站是否有安全漏洞

扫描网站漏洞是要用专业的扫描工具，下面就是介绍几种工具

1. Nikto

这是一个开源的Web服务器扫描程序，它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器，这在其日志文件中相当明显。不过，如果你想试验一下，它也可以支持 LibWhisker的反IDS方法。不过，并非每一次检查都可以找出一个安全问题，虽然多数情况下是这样的。有一些项目是仅提供信息类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过Web管理员或安全工程师们并不知道。

2. Paros proxy

这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序，hash 计算器，还有一个可以测试常见的Web应用程序攻击的扫描器。

3. WebScarab:

它可以分析使用HTTP和HTTPS协议进行通信的应用程序，WebScarab可以用最简单地形式记录它观察的会话，并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。

4. WebInspect：

这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置，并会尝试一些常见的 Web攻击，如参数注入、跨站脚本、目录遍历攻击等等。

5. Whisker/libwhisker :

Libwhisker是一个Perla模块，适合于HTTP测试。它可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。 Whisker是一个使用libwhisker的扫描程序。

6. Burpsuite：

这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来，以列举、分析、攻击Web应用程序，或利用这些程序的漏洞。各种各样的burp工具协同工作，共享信息，并允许将一种工具发现的漏洞形成另外一种工具的基础。

7. Wikto:

可以说这是一个Web服务器评估工具，它可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分，如后端 miner和紧密的Google集成。它为MS.NET环境编写，但用户需要注册才能下载其二进制文件和源代码。

8. Acunetix Web Vulnerability Scanner :

这是一款商业级的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。

9. Watchfire AppScan：

这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试，从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。

10. N-Stealth：

N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序，如Whisker/libwhisker、 Nikto等的升级频率更高。还要注意，实际上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件。N-Stealth主要为Windows平台提供扫描，但并不提供源代码。

你好，网站压力测试软件会攻击网站吗，为何说对网站也造成不了威胁。

网站压力测试只是读取数据，篡改不了网站内容，所以造不成威胁，但是有些软件被人家植入木马之类的，就有可能对网站有威胁了

怎么判断网站被cc攻击了？被攻击怎么解决？

如何判断网站是否处于被CC攻击的状态下呢？这里提一下三种常见的方法

1、如果网站是动态网站，比如asp/asp.net/php等，在被CC攻击的情况下，IIS站点会出错提示SERVERISTOOBUSY，如果不是使用IIS来提供网站服务，会发现提供网站服务的程序无缘无故自动崩溃，出错。如果网站程序没有问题，基本上可以断定是网站被CC攻击了。

2、如果网站是静态站点，比如html页面，在被CC攻击的情况下，打开任务管理器，看网络流量，会发现网络应用里数据的发送出现严重偏高的现象，在大量的CC攻击下，甚至会达到99%的网络占用，当然，在被CC攻击的情况下网站是没办法正常访问的，但是通过3389连接服务器还是可以正常连接。

3、如果是被小量CC攻击，则站点还是可以间歇性访问得到，但是一些比较大的文件，比如图片会出现显示不出来的现象。如果是动态网站被小量CC攻击，还会发现服务器的CPU占用率出现飙升的现象。这是最基本的CC攻击症状。

网站被攻击是一件十分让人恼火的事情，不仅仅是让网站速度变慢、访问异常，往往还会导致网站关键词排名下降甚至被降权，极大干扰了网站的正常稳定运行。

防御CC攻击可以通过多种方法，禁止网站代理访问，尽量将网站做成静态页面，限制连接数量，修改最大超时时间等，也可以通过给服务器装防火墙软件，如安全狗、云锁等，也或者购买WAF云防火墙、高防IP、高防CDN。相关链接

如何对网站进行渗透测试和漏洞扫描？

漏洞扫描

是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。

在网络设备中发现已经存在的漏洞，比如防火墙，路由器，交换机服务器等各种应用等等，该过程是自动化的，主要针对的是网络或应用层上潜在的及已知漏洞。漏洞的扫描过程中是不涉及到漏洞的利用的。

渗透测试

渗透测试服务（黑盒测试）是指在客户授权许可的情况下，利用各种主流的攻击技术对网络做模拟攻击测试，以发现系统中的安全漏洞和风险点，提前发现系统潜在的各种高危漏洞和安全威胁。

渗透测试员不仅要针对应用层或网络层等进行测试，还需要出具完整的渗透测试报告。一般的报告都会主要包括以下内容：渗透测试过程中发现可被利用的漏洞，出现的原因，解决方法等详细文字化的描述。