新睿云

> 知识库 > 测试小伙伴的福音,12款自动测试扫描web网站服务漏洞软件工具,要不要来一发?

测试小伙伴的福音,12款自动测试扫描web网站服务漏洞软件工具,要不要来一发?

作者/来源:新睿云小编 发布时间:2019-10-18

如果您使用的是WordPress,那么SUCURI的另一份报告显示,超过70%的扫描网站感染了一个或多个漏洞。

作为Web应用程序所有者,您如何确保您的站点免受在线威胁的侵害?不泄漏敏感信息吗?

如果您使用的是基于云的安全解决方案,则最有可能定期进行漏洞扫描是该计划的一部分。但是,如果没有,则必须执行例行扫描并采取必要的措施来减轻风险。

扫描仪有两种类型。

商业版–为您提供自动扫描的选项,以实现持续的安全性,报告,警报,详细的缓解说明等。行业中一些知名的名称是:

Acunetix

侦查

Qualys

开源/免费-您可以按需下载并执行安全扫描。并非所有这些漏洞都能像商业漏洞一样涵盖广泛的漏洞。

让我们检查一下以下开源Web漏洞扫描程序。

1.Arachni

Arachni,一种基于Ruby框架的高性能安全扫描程序,用于现代Web应用程序。它适用于Mac,Windows和Linux的可移植二进制文件。

漏洞扫描1

不仅是基本的静态网站或CMS网站,Arachni还能跟踪以下平台指纹。它同时执行主动和被动检查。

Windows,Solaris,Linux,BSD,Unix

Nginx,Apache,Tomcat,IIS,码头

Java,Ruby,Python,ASP,PHP

Django,Rails,CherryPy,CakePHP,ASP.NET MVC,Symfony

一些漏洞检测包括:

NoSQL / Blind / SQL / Code / LDAP / Command / XPath注入

跨站点伪造

路径遍历

本地/远程文件包含

响应拆分

跨站脚本

未经验证的DOM重定向

源代码公开

您可以选择以HTML,XML,Text,JSON,YAML等格式生成审核报告

Arachni使您可以利用插件将扫描范围扩展到一个新的水平。查看完整的Arachni功能并下载以体验它。

2.XssPy

许多组织(包括Microsoft,Stanford,Motorola,Informatica等)都使用基于python的XSS(跨站点脚本)漏洞扫描程序。

FaizanAhmad的XssPy是一个智能工具。它做得很好。不仅检查主页或给定页面,还检查网站上的整个链接。

XssPy还会检查子域,因此不会遗漏任何内容。

3.w3af

w3af是一个始于2006年末的开源项目,由Python支持,可在Linux和Windows OS上使用。w3af可以检测到200多个漏洞,其中包括OWASP前10名。

漏洞扫描2

w3af允许您将有效负载注入标头,URL,cookie,查询字符串,后数据等,以利用Web应用程序进行审计。它支持各种日志记录方法进行报告。例如:

例如:

CSV

的HTML

安慰

文本

XML格式

电子邮件

它基于插件架构构建,您可以在此处查看所有可用的插件。

4.Nikto

由Netsparker赞助的一个开源项目旨在发现Web服务器配置错误,插件和Web漏洞。Nikto对超过6500个风险项目进行了全面测试。

它支持HTTP代理,SSL或NTLM身份验证等,并且可以定义每次目标扫描的最大执行时间。

Nikto也可以在Kali Linux中使用。

漏洞扫描3

Intranet解决方案发现Web服务器安全风险看起来很有希望。

5.Wfuzz

Wfuzz(Web Fuzzer)是用于渗透测试的应用程序评估工具。您可以对任何字段的HTTP请求中的数据进行模糊处理,以利用Web应用程序并审核Web应用程序。

Wfuzz要求在要从中运行扫描的计算机上安装Python。它提供了出色的文档供您入门。

6.OWASP ZAP

ZAP(Zet攻击代理)是著名的渗透测试工具之一,已被全球数百名志愿者积极更新。

这是一个基于Java的跨平台工具,甚至可以在Raspberry Pi上运行。ZIP位于浏览器和Web应用程序之间,用于拦截和检查消息

漏洞扫描4

以下一些值得一提的是ZAP的功能。

模糊器

自动和被动扫描仪

支持多种脚本语言

强制浏览

我强烈建议您查看OWASP ZAP教程视频以开始使用。

7.Wapiti

Wapiti扫描给定目标的网页,并查找脚本和表单以注入数据以查看是否容易受到攻击。它不是源代码安全检查;它不是源代码安全检查。而是执行黑盒扫描。

漏洞扫描5

它支持GET和POST HTTP方法,HTTP和HTTPS代理,多种身份验证等。

8.Vega

Vega由Subgraph开发,Subgraph是一种用Java编写的多平台支持工具,用于查找XSS,SQLi,RFI和许多其他漏洞。

Vega拥有出色的GUI,并且能够通过使用给定凭据登录到应用程序来执行自动扫描。

漏洞扫描6

如果您是开发人员,则可以利用vega API创建新的攻击模块。

9.SQL映射

顾名思义,借助于sqlmap,您可以对数据库执行渗透测试以发现缺陷。

漏洞扫描7

它可以在任何操作系统上与Python 2.6或2.7一起使用。如果要查找SQL注入并利用数据库,则sqlmap将很有帮助。

10.Grabber

这是一个基于Python的小型工具,在某些方面做得很好。Grabber的一些功能包括:

JavaScript源代码分析器

跨站点脚本编写,SQL注入,盲SQL注入

使用PHP-SAT的PHP应用程序测试

11.Golismero

一个框架,用于管理和运行一些流行的安全工具,例如Wfuzz,DNS侦查,sqlmap,OpenVas,机械手分析器等)。

漏洞扫描8

Golismero很聪明;它可以合并来自其他工具的测试反馈并合并以显示单个结果。

12OWASP Xenotix XSS

OWASP的Xenotix XSS是一个高级框架,用于查找和利用跨站点脚本。它内置了三个智能模糊器,可以快速扫描并改善结果。

漏洞扫描9

它具有数百种功能,您可以在此处查看所有列出的功能。

Web安全对于在线业务至关重要,我希望上面列出的免费/开源漏洞扫描程序可以帮助您发现风险,以便在有人利用它之前减轻风险。

本文由:CHANDAN KUMAR原创,新睿云小编整合翻译!

热门标签
免费领云产品

免费用

立即领取
联系客服
在线客服   
反馈意见
返回顶部
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待