12種開源Web安全掃描程序

時間  2019-11-08
標籤 開源 web 安全 掃描 程序 欄目 HTML 简体版
原文   原文鏈接

1.Arachni

Arachni是一款基於Ruby框架構建的高性能安全掃描程序,適用於現代Web應用程序。它可用於Mac,Windows和Linux的便攜式二進制文件python

arachni.png

  • Arachnin能適用於下面的平臺和語言
  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

漏洞檢測有下面這些:linux

  • NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
  • Cross-site request forgery
  • Path traversal
  • Local/Remote File inclusions
  • Response splitting
  • Cross-site scripting
  • Unvalidated DOM redirects
  • Source code disclosure

能夠選擇使用HTML,XML,文本,JSON,YAML等格式的審計報告,Arachni能夠利用插件將掃描範圍擴展到下一個級別sql

2.XssPy

一個基於Python的XSS(跨站腳本)漏洞掃描器數據庫

3.w3af

w3af,從2006開始使用python開發的開源項目,能夠用在window和linux環境下,
w3af能夠將有效載荷注入到標題,URL,cookie,查詢字符串,後期數據等,以利用Web應用程序進行審計。它支持各類記錄方法進行報告。api

例如:瀏覽器

  • CSV
  • HTML
  • Console
  • Text
  • XML
  • Email

更多的功能可利用插件庫安全

4.Nikto

Netsparker贊助的開源項目旨在發現Web服務器的配置錯誤,插件和網頁漏洞。 Nikto對6500多個風險項目進行綜合測試。
它支持HTTP代理,SSL,或NTLM身份驗證等,並能夠定義每一個目標掃描的最大執行時間。
Nikola也能夠在Kali Linux中使用
kali-linux-nitko.png服務器

它看起來頗有但願用於Intranet解決方案來查找Web服務器的安全風險cookie

5.Wfuzz

Wfuzz(Web Fuzzer)是針對滲透測試的應用程序評估工具。您能夠對任何字段的HTTP請求中的數據進行模糊處理,以利用該Web應用程序並審覈Web應用程序。 Wfuzz須要在要運行掃描的計算機上安裝Python。網絡

6.OWASP ZAP

ZAP(Zet Attack Proxy)是全球數百名志願者積極更新的着名滲透測試工具之一。 它是跨平臺的基於Java的工具,能夠在Raspberry Pi上運行。 ZIP位於瀏覽器和Web應用程序之間,用於攔截和檢查消息
zap.jpeg

下面的一些值得一提的是ZAP的功能。

  • Fuzzer
  • Automated & passive scanner
  • Supports multiple scripting languages
  • Forced browsing

強烈建議查看OWASP ZAP教程視頻來學習

7.Wapiti

Wapiti掃描給定目標的網頁,並尋找腳本和表單來注入數據,看看是否有漏洞。它不是一個源代碼安全檢查,而是執行黑盒掃描。
它支持GET和POST HTTP方法,HTTP和HTTPS代理,多個認證等。

8.Vega

Vega由Subgraph開發,Subgraph是一個用Java編寫的多平臺支持工具,用於查找XSS,SQLi,RFI和許多其餘漏洞。 維加有良好的圖形用戶界面,並可以經過登陸到具備給定憑據的應用程序來執行自動掃描。
vega.png

若是您是開發人員,則能夠利用vega API建立新的攻擊模塊

9.SQLmap

利用SQLmap能夠對數據庫執行滲透測試來發現缺陷。
sqlmap.png

它適用於任何操做系統上的Python 2.6或2.7。若是你正在尋找SQL注入和利用數據庫,那麼sqlmap會有幫助。

10.Grabber

它是基於Python的小工具,而且作得很不錯。一些Grabber的功能是:
JavaScript源代碼分析器 跨站點腳本,
SQL注入,
盲注SQL PHP應用程序測試使用PHP-SAT

11.Golismero

管理和運行Wfuzz,DNS recon,sqlmap,OpenVas,機器人分析器等一些流行安全工具的框架。
golismero.jpg

Golismero很是棒,它能夠鞏固來自其餘工具的測試反饋,併合並顯示一個單一的結果。

12.OWASP Xenotix XSS

OWASP的Xenotix XSS是一個用於查找和利用跨站點腳本的高級框架。它內置了三個智能模糊器,用於快速掃描和改進結果。
owasp-xss.png

它有數百個功能,咱們能夠看看這裏列出的全部。

網絡安全對於在線業務相當重要,我但願上面列出的免費/開源漏洞掃描程序能夠幫助您找到風險,以便在有人利用此漏洞以前減輕風險
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程