12种开源Web安全扫描程序

ε祈祈猫儿з 提交于 2020-02-29 01:22:04

12种开源Web安全扫描程序

  • 转自:https://blog.csdn.net/wh211212/article/details/78620963
  • 赛门铁克的一个有趣的报告显示,76%的被扫描网站有恶意软件

如果您使用的是WordPress,那么SUCURI的另一份报告显示,超过70%的被扫描网站被感染了一个或多个漏洞。

作为网络应用程序所有者,您如何确保您的网站免受在线威胁的侵害?不泄露敏感信息?

如果您正在使用基于云的安全解决方案,则最有可能定期进行漏洞扫描是该计划的一部分。但是,如果没有,那么你必须执行例行扫描,并采取必要的行动来降低风险。

  • 有两种类型的扫描软件

商业(收费) - 给你一个选项来自动扫描持续的安全,报告,警报,详细的缓解说明等,行业中的一些已知的厂商是:

  • Acunetix
  • Detectify
  • Qualys

开源/免费 - 您可以下载并按需执行安全扫描。但不能够覆盖所有漏洞,如商业漏洞。

  • 看看下面的开源Web漏洞扫描器

1. Arachni

Arachni是一款基于Ruby框架构建的高性能安全扫描程序,适用于现代Web应用程序。它可用于Mac,Windows和Linux的便携式二进制文件

Arachnin能适用于下面的平台和语言

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

漏洞检测有下面这些:

  • NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
  • Cross-site request forgery
  • Path traversal
  • Local/Remote File inclusions
  • Response splitting
  • Cross-site scripting
  • Unvalidated DOM redirects
  • Source code disclosure

可以选择使用HTML,XML,文本,JSON,YAML等格式的审计报告,Arachni可以利用插件将扫描范围扩展到下一个级别

2. XssPy

一个基于Python的XSS(跨站脚本)漏洞扫描器

3. w3af

w3af,从2006开始使用python开发的开源项目,可以用在window和linux环境下,

w3af可以将有效载荷注入到标题,URL,cookie,查询字符串,后期数据等,以利用Web应用程序进行审计。它支持各种记录方法进行报告。例如:

  • CSV
  • HTML
  • Console
  • Text
  • XML
  • Email

更多的功能可利用插件库

4. Nikto

Netsparker赞助的开源项目旨在发现Web服务器的配置错误,插件和网页漏洞。 Nikto对6500多个风险项目进行综合测试。

它支持HTTP代理,SSL,或NTLM身份验证等,并可以定义每个目标扫描的最大执行时间。 
Nikola也可以在Kali Linux中使用

它看起来很有希望用于Intranet解决方案来查找Web服务器的安全风险

5. Wfuzz

Wfuzz(Web Fuzzer)是针对渗透测试的应用程序评估工具。您可以对任何字段的HTTP请求中的数据进行模糊处理,以利用该Web应用程序并审核Web应用程序。 Wfuzz需要在要运行扫描的计算机上安装Python。

6. OWASP ZAP

ZAP(Zet Attack Proxy)是全球数百名志愿者积极更新的着名渗透测试工具之一。 它是跨平台的基于Java的工具,可以在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间,用于拦截和检查消息

下面的一些值得一提的是ZAP的功能。

  • Fuzzer
  • Automated & passive scanner
  • Supports multiple scripting languages
  • Forced browsing

强烈建议查看OWASP ZAP教程视频来学习

7. Wapiti

Wapiti扫描给定目标的网页,并寻找脚本和表单来注入数据,看看是否有漏洞。它不是一个源代码安全检查,而是执行黑盒扫描。

它支持GET和POST HTTP方法,HTTP和HTTPS代理,多个认证等。

8. Vega

Vega由Subgraph开发,Subgraph是一个用Java编写的多平台支持工具,用于查找XSS,SQLi,RFI和许多其他漏洞。 维加有良好的图形用户界面,并能够通过登录到具有给定凭据的应用程序来执行自动扫描。

如果您是开发人员,则可以利用vega API创建新的攻击模块

9. SQLmap

利用SQLmap可以对数据库执行渗透测试来发现缺陷。

它适用于任何操作系统上的Python 2.6或2.7。如果你正在寻找SQL注入和利用数据库,那么sqlmap会有帮助。

10. Grabber

它是基于Python的小工具,并且做得很不错。一些Grabber的功能是:

  • JavaScript源代码分析器 跨站点脚本,
  • SQL注入,
  • 盲注SQL PHP应用程序测试使用PHP-SAT

11. Golismero

管理和运行Wfuzz,DNS recon,sqlmap,OpenVas,机器人分析器等一些流行安全工具的框架。

Golismero非常棒,它可以巩固来自其他工具的测试反馈,并合并显示一个单一的结果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架。它内置了三个智能模糊器,用于快速扫描和改进结果。

它有数百个功能,我们可以看看这里列出的所有

网络安全对于在线业务至关重要,我希望上面列出的免费/开源漏洞扫描程序可以帮助您找到风险,以便在有人利用此漏洞之前减轻风险

  • 转自:https://blog.csdn.net/wh211212/article/details/78620963
  • 赛门铁克的一个有趣的报告显示,76%的被扫描网站有恶意软件

如果您使用的是WordPress,那么SUCURI的另一份报告显示,超过70%的被扫描网站被感染了一个或多个漏洞。

作为网络应用程序所有者,您如何确保您的网站免受在线威胁的侵害?不泄露敏感信息?

如果您正在使用基于云的安全解决方案,则最有可能定期进行漏洞扫描是该计划的一部分。但是,如果没有,那么你必须执行例行扫描,并采取必要的行动来降低风险。

  • 有两种类型的扫描软件

商业(收费) - 给你一个选项来自动扫描持续的安全,报告,警报,详细的缓解说明等,行业中的一些已知的厂商是:

  • Acunetix
  • Detectify
  • Qualys

开源/免费 - 您可以下载并按需执行安全扫描。但不能够覆盖所有漏洞,如商业漏洞。

  • 看看下面的开源Web漏洞扫描器

1. Arachni

Arachni是一款基于Ruby框架构建的高性能安全扫描程序,适用于现代Web应用程序。它可用于Mac,Windows和Linux的便携式二进制文件

Arachnin能适用于下面的平台和语言

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

漏洞检测有下面这些:

  • NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
  • Cross-site request forgery
  • Path traversal
  • Local/Remote File inclusions
  • Response splitting
  • Cross-site scripting
  • Unvalidated DOM redirects
  • Source code disclosure

可以选择使用HTML,XML,文本,JSON,YAML等格式的审计报告,Arachni可以利用插件将扫描范围扩展到下一个级别

2. XssPy

一个基于Python的XSS(跨站脚本)漏洞扫描器

3. w3af

w3af,从2006开始使用python开发的开源项目,可以用在window和linux环境下,

w3af可以将有效载荷注入到标题,URL,cookie,查询字符串,后期数据等,以利用Web应用程序进行审计。它支持各种记录方法进行报告。例如:

  • CSV
  • HTML
  • Console
  • Text
  • XML
  • Email

更多的功能可利用插件库

4. Nikto

Netsparker赞助的开源项目旨在发现Web服务器的配置错误,插件和网页漏洞。 Nikto对6500多个风险项目进行综合测试。

它支持HTTP代理,SSL,或NTLM身份验证等,并可以定义每个目标扫描的最大执行时间。 
Nikola也可以在Kali Linux中使用

它看起来很有希望用于Intranet解决方案来查找Web服务器的安全风险

5. Wfuzz

Wfuzz(Web Fuzzer)是针对渗透测试的应用程序评估工具。您可以对任何字段的HTTP请求中的数据进行模糊处理,以利用该Web应用程序并审核Web应用程序。 Wfuzz需要在要运行扫描的计算机上安装Python。

6. OWASP ZAP

ZAP(Zet Attack Proxy)是全球数百名志愿者积极更新的着名渗透测试工具之一。 它是跨平台的基于Java的工具,可以在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间,用于拦截和检查消息

下面的一些值得一提的是ZAP的功能。

  • Fuzzer
  • Automated & passive scanner
  • Supports multiple scripting languages
  • Forced browsing

强烈建议查看OWASP ZAP教程视频来学习

7. Wapiti

Wapiti扫描给定目标的网页,并寻找脚本和表单来注入数据,看看是否有漏洞。它不是一个源代码安全检查,而是执行黑盒扫描。

它支持GET和POST HTTP方法,HTTP和HTTPS代理,多个认证等。

8. Vega

Vega由Subgraph开发,Subgraph是一个用Java编写的多平台支持工具,用于查找XSS,SQLi,RFI和许多其他漏洞。 维加有良好的图形用户界面,并能够通过登录到具有给定凭据的应用程序来执行自动扫描。

如果您是开发人员,则可以利用vega API创建新的攻击模块

9. SQLmap

利用SQLmap可以对数据库执行渗透测试来发现缺陷。

它适用于任何操作系统上的Python 2.6或2.7。如果你正在寻找SQL注入和利用数据库,那么sqlmap会有帮助。

10. Grabber

它是基于Python的小工具,并且做得很不错。一些Grabber的功能是:

  • JavaScript源代码分析器 跨站点脚本,
  • SQL注入,
  • 盲注SQL PHP应用程序测试使用PHP-SAT

11. Golismero

管理和运行Wfuzz,DNS recon,sqlmap,OpenVas,机器人分析器等一些流行安全工具的框架。

Golismero非常棒,它可以巩固来自其他工具的测试反馈,并合并显示一个单一的结果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架。它内置了三个智能模糊器,用于快速扫描和改进结果。

它有数百个功能,我们可以看看这里列出的所有

网络安全对于在线业务至关重要,我希望上面列出的免费/开源漏洞扫描程序可以帮助您找到风险,以便在有人利用此漏洞之前减轻风险

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!