VOOKI：一款免費的Web應用漏洞掃描工具

轉載自FreeBuf.COM

Vooki是一款免費且用戶界面友好的Web應用漏掃工具，它能夠輕鬆地爲你掃描任何Web應用並查找漏洞。Vooki主要包括三個部分，Web應用掃描器，Rest API掃描器以及報告。

Web應用掃描器

Vooki – Web應用掃描器目前支持如下類型的漏洞查找：

Sql注入

命令注入

頭注入

反射型XSS

存儲型XSS

DOM型XSS

缺乏安全標頭

惡意JS腳本執行

使用已知不安全組件

Jquery漏洞

Angularjs漏洞

Bootstrap漏洞

響應頭中包含敏感信息

錯誤消息中包含敏感信息

缺乏服務器端驗證

Javascript動態代碼執行

敏感數據泄露

Vooki Web應用掃描器的使用

視頻演示：

 

啓動應用。

將瀏覽器代理鏈接到Vooki端口。

訪問你的Web應用程序頁面。

右鍵單擊出如今Vooki工具上的節點，而後單擊掃描。

掃描完成後，點擊菜單欄中的生成報告。

Rest API掃描器

Vooki – Rest API掃描器目前支持如下類型的漏洞查找：

Sql注入

命令注入

頭注入

XSS（可能性）

缺乏安全標頭

響應頭中包含敏感信息

錯誤消息中包含敏感信息

缺乏服務器端驗證

沒必要要使用的HTTP方法

不正確的HTTP響應

Vooki Rest掃描器的使用

視頻演示：

 

啓動應用。

建立新項目。

在建立的項目中添加新的請求。

提供headers, url 和 data。

保存並運行菜單欄中的掃描。

掃描完成後，點擊菜單欄中的生成報告。

 *參考來源：vegabird，FB小編 secist 編譯，轉載自FreeBuf.COM