本文概述
- Arachni
- XssPy
- w3af
- Nikto
- Wfuzz
- OWASP ZAP
- Wapiti
- Vega
- SQLmap
- Grabber
- Golismero
- OWASP Xenotix XSS
而且, 如果你使用的是WordPress, 那么在SUCURI的另一份报告中显示, 有49%的扫描网站已过时。
文章图片
作为Web应用程序所有者, 你如何确保自己的网站受到在线威胁的保护?不泄漏敏感信息吗?
如果你使用的是基于云的安全解决方案, 则定期漏洞扫描很可能是该计划的一部分。但是, 如果没有, 则必须执行例行扫描并采取必要的措施来减轻风险。
扫描仪有两种类型。
商业版–你可以选择自动进行扫描以获取连续的安全性, 报告, 警报, 详细的缓解说明等。行业中一些知名的名称是:
- Acunetix
- 侦查
- Qualys
我们来看看以下开源网络漏洞扫描器。
Arachni Arachni, 一种基于Ruby框架的高性能安全扫描程序, 用于现代Web应用程序。它以可移植的二进制文件的形式提供, 适用于Mac, Windows和Linux。
文章图片
不仅是基本的静态网站或CMS网站, Arachni还能跟踪平台指纹。它同时执行主动和被动检查。
- Windows, Solaris, Linux, BSD, Unix
- Nginx, Apache, Tomcat, IIS, Jetty
- Java, Ruby, Python, ASP, PHP
- Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony
- NoSQL / Blind / SQL / Code / LDAP / Command / XPath注入
- 跨站点伪造
- 路径遍历
- 本地/远程文件包含
- 响应拆分
- 跨站脚本
- 未经验证的DOM重定向
- 源代码公开
Arachni使你可以利用插件将扫描范围扩展到一个新的水平。查看完整的Arachni功能并下载以体验它。
XssPy 许多组织使用基于python的XSS(跨站点脚本)漏洞扫描程序, 包括Microsoft, Stanford, Motorola, Informatica等。
Faizan Ahmad的XssPy是一个智能工具。它做得很好。它不仅检查主页或给定页面, 还检查网站上的整个链接。
XssPy还会检查子域, 因此不会遗漏任何内容。
w3af w3af是一个开放源代码项目, 始于2006年底, 由Python支持, 可在Linux和Windows OS上使用。 w3af能够检测200多个漏洞, 其中包括OWASP排名前10位的漏洞。
文章图片
w3af允许你将有效负载注入标头, URL, Cookie, 查询字符串, 后数据等, 以利用Web应用程序进行审计。它支持各种日志记录方法进行报告。例如:
例如:
- CSV
- 的HTML
- 安慰
- 文本
- XML格式
- 电子邮件
Nikto 由Netsparker赞助的一个开源项目旨在发现Web服务器配置错误, 插件和Web漏洞。 Nikto对6500多个风险项目进行了全面测试。
它支持HTTP代理, SSL或NTLM身份验证等, 并且可以定义每次目标扫描的最大执行时间。
Nikto也可以在Kali Linux中使用。
文章图片
Intranet解决方案发现Web服务器安全风险看起来很有希望。
Wfuzz Wfuzz(Web Fuzzer)是用于渗透测试的应用程序评估工具。你可以对任何字段的HTTP请求中的数据进行模糊处理, 以利用Web应用程序并审核Web应用程序。
Wfuzz要求在要运行扫描的计算机上安装Python。它提供了出色的文档供你入门。
OWASP ZAP ZAP(Zet攻击代理)是著名的渗透测试工具之一, 已被全球数百名志愿者积极更新。
这是一个基于Java的跨平台工具, 甚至可以在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间, 用于拦截和检查消息
文章图片
以下是值得一提的ZAP功能。
- 模糊器
- 自动和被动扫描仪
- 支持多种脚本语言
- 强制浏览
Wapiti Wapiti扫描给定目标的网页, 并查找脚本和表单以注入数据以查看是否容易受到攻击。它不是源代码安全检查;它不是源代码安全检查。而是执行黑盒扫描。
文章图片
它支持GET和POST HTTP方法, HTTP和HTTPS代理, 多种身份验证等。
Vega Vega由Subgraph开发, Subgraph是用Java编写的一种受多平台支持的工具, 用于查找XSS, SQLi, RFI和许多其他漏洞。
Vega拥有不错的GUI, 并且能够通过使用给定凭据登录到应用程序中来执行自动扫描。
文章图片
如果你是开发人员, 则可以利用vega API创建新的攻击模块。
SQLmap 顾名思义, 借助sqlmap, 你可以对数据库执行渗透测试以发现缺陷。
文章图片
它可以在任何操作系统上与Python 2.6或2.7一起使用。如果要查找SQL注入并利用数据库, 则sqlmap将很有帮助。
Grabber 这是一个基于Python的小型工具, 在某些方面做得很好。 Grabber的一些功能包括:
- JavaScript源代码分析器
- 跨站点脚本编写, SQL注入, 盲SQL注入
- 使用PHP-SAT的PHP应用程序测试
文章图片
Golismero很聪明;它可以合并来自其他工具的测试反馈并合并以显示单个结果。
OWASP Xenotix XSS OWASP的Xenotix XSS是用于查找和利用跨站点脚本的高级框架。它内置了三个智能模糊器, 可快速扫描并改善结果。
文章图片
它具有数百种功能, 你可以在此处查看所有列出的功能。
总结
【12个开源Web安全扫描程序以查找漏洞】Web安全对任何在线业务都至关重要, 我希望上面列出的免费/开源漏洞扫描程序可以帮助你发现风险, 以便在有人利用它之前就可以减轻风险。如果你有兴趣学习渗透测试, 请查看此在线课程。
推荐阅读
- 7种用于渗透测试的流行开源智能工具
- 21个OpenSSL示例可在现实世界中为你提供帮助
- 7个Magento安全扫描程序,查找漏洞和恶意软件
- 4开源Web应用程序防火墙可提高安全性
- 扫描Node.js应用程序的安全漏洞的7种工具
- Oracle Openscript - 无法记录在applet /表单上执行的操作
- 用jquery隐藏java applet(可能?)
- ClassNotFoundException - java applet
- Java applet不在AdoptOpenJDK中运行