12種開源Web安全掃描程序

12種開源Web安全掃描程序

• 轉自：https://blog.csdn.net/wh211212/article/details/78620963
• 賽門鐵克的一個有趣的報告顯示，76％的被掃描網站有惡意軟件

若是您使用的是WordPress，那麼SUCURI的另外一份報告顯示，超過70％的被掃描網站被感染了一個或多個漏洞。

做爲網絡應用程序全部者，您如何確保您的網站免受在線威脅的侵害？不泄露敏感信息？

若是您正在使用基於雲的安全解決方案，則最有可能按期進行漏洞掃描是該計劃的一部分。可是，若是沒有，那麼你必須執行例行掃描，並採起必要的行動來下降風險。

• 有兩種類型的掃描軟件

商業(收費) - 給你一個選項來自動掃描持續的安全，報告，警報，詳細的緩解說明等，行業中的一些已知的廠商是：

• Acunetix
• Detectify
• Qualys

開源/免費 - 您能夠下載並按需執行安全掃描。但不可以覆蓋全部漏洞，如商業漏洞。

• 看看下面的開源Web漏洞掃描器

1. Arachni

Arachni是一款基於Ruby框架構建的高性能安全掃描程序，適用於現代Web應用程序。它可用於Mac，Windows和Linux的便攜式二進制文件

Arachnin能適用於下面的平臺和語言

• Windows, Solaris, Linux, BSD, Unix
• Nginx, Apache, Tomcat, IIS, Jetty
• Java, Ruby, Python, ASP, PHP
• Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

漏洞檢測有下面這些：

• NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
• Cross-site request forgery
• Path traversal
• Local/Remote File inclusions
• Response splitting
• Cross-site scripting
• Unvalidated DOM redirects
• Source code disclosure

能夠選擇使用HTML，XML，文本，JSON，YAML等格式的審計報告,Arachni能夠利用插件將掃描範圍擴展到下一個級別

2. XssPy

一個基於Python的XSS（跨站腳本）漏洞掃描器

3. w3af

w3af,從2006開始使用python開發的開源項目，能夠用在window和linux環境下，

w3af能夠將有效載荷注入到標題，URL，cookie，查詢字符串，後期數據等，以利用Web應用程序進行審計。它支持各類記錄方法進行報告。例如：

• CSV
• HTML
• Console
• Text
• XML
• Email

更多的功能可利用插件庫

4. Nikto

Netsparker贊助的開源項目旨在發現Web服務器的配置錯誤，插件和網頁漏洞。 Nikto對6500多個風險項目進行綜合測試。

它支持HTTP代理，SSL，或NTLM身份驗證等，並能夠定義每一個目標掃描的最大執行時間。 
Nikola也能夠在Kali Linux中使用

它看起來頗有但願用於Intranet解決方案來查找Web服務器的安全風險

5. Wfuzz

Wfuzz（Web Fuzzer）是針對滲透測試的應用程序評估工具。您能夠對任何字段的HTTP請求中的數據進行模糊處理，以利用該Web應用程序並審覈Web應用程序。 Wfuzz須要在要運行掃描的計算機上安裝Python。

6. OWASP ZAP

ZAP（Zet Attack Proxy）是全球數百名志願者積極更新的着名滲透測試工具之一。 它是跨平臺的基於Java的工具，能夠在Raspberry Pi上運行。 ZIP位於瀏覽器和Web應用程序之間，用於攔截和檢查消息

下面的一些值得一提的是ZAP的功能。

• Fuzzer
• Automated & passive scanner
• Supports multiple scripting languages
• Forced browsing

強烈建議查看OWASP ZAP教程視頻來學習

7. Wapiti

Wapiti掃描給定目標的網頁，並尋找腳本和表單來注入數據，看看是否有漏洞。它不是一個源代碼安全檢查，而是執行黑盒掃描。

它支持GET和POST HTTP方法，HTTP和HTTPS代理，多個認證等。

8. Vega

Vega由Subgraph開發，Subgraph是一個用Java編寫的多平臺支持工具，用於查找XSS，SQLi，RFI和許多其餘漏洞。 維加有良好的圖形用戶界面，並可以經過登陸到具備給定憑據的應用程序來執行自動掃描。

若是您是開發人員，則能夠利用vega API建立新的攻擊模塊

9. SQLmap

利用SQLmap能夠對數據庫執行滲透測試來發現缺陷。

它適用於任何操做系統上的Python 2.6或2.7。若是你正在尋找SQL注入和利用數據庫，那麼sqlmap會有幫助。

10. Grabber

它是基於Python的小工具，而且作得很不錯。一些Grabber的功能是：

• JavaScript源代碼分析器 跨站點腳本，
• SQL注入，
• 盲注SQL PHP應用程序測試使用PHP-SAT

11. Golismero

管理和運行Wfuzz，DNS recon，sqlmap，OpenVas，機器人分析器等一些流行安全工具的框架。

Golismero很是棒，它能夠鞏固來自其餘工具的測試反饋，併合並顯示一個單一的結果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一個用於查找和利用跨站點腳本的高級框架。它內置了三個智能模糊器，用於快速掃描和改進結果。

它有數百個功能，咱們能夠看看這裏列出的全部。

網絡安全對於在線業務相當重要，我但願上面列出的免費/開源漏洞掃描程序能夠幫助您找到風險，以便在有人利用此漏洞以前減輕風險

• 原文出自：https://geekflare.com/open-source-web-security-scanner/