WEB漏洞掃描的開源工具

不少受歡迎的網站都曾遭到過黑客入侵而蒙受經濟損失，web 漏洞掃描器是一種軟件程序，可在 Web 應用程序上執行自動黑盒測試並識別安全漏洞，掃描程序不訪問源代碼，只執行功能測試並嘗試查找安全漏洞。在這篇文章中，咱們列出了 14 個免費開源 Web 應用程序漏洞掃描器，排名不分前後。
1.Grabber

Grabber 是一款免費開源的 Web 應用程序掃描程序，能夠檢測 Web 應用程序中的大多數安全漏洞，能夠檢測如下漏洞：跨站腳本，SQL 注入，Ajax 測試，文件包含，JS 源代碼分析器，備份文件檢查。Grabbe 僅用於測試小型 Web 應用程序，由於掃描大型應用程序須要花費太多時間。此工具不提供任何 GUI 界面，也沒法建立任何 PDF 報告。該工具主要面向我的使用。
下載地址：https://github.com/neuroo/grabber
也想出如今這裏？聯繫咱們吧
WordPress 主題
2.Vega

Vega 是一個免費開源 Web 漏洞掃描程序和測試平臺。使用此工具，您能夠執行 Web 應用程序的安全性測試。該工具用 Java 編寫，並提供基於 GUI 的環境，適用於 OS X，Linux 和 Windows。可用於查找 SQL 注入，標頭注入，目錄列表，shell 注入，跨站點腳本，文件包含和其餘 Web 應用程序漏洞。
下載地址：https://subgraph.com/vega/
3.Zed Attack Proxy

Zed Attack Proxy 是開源的，由 AWASP 開發。適用於 Windows，Unix / Linux 和 Macintosh 平臺。可用於在 Web 應用程序中查找各類漏洞，該工具簡單易用。即便您不熟悉滲透測試，也能夠輕鬆使用此工具開始學習 Web 應用程序的滲透測試。ZAP 包含如下關鍵功能：攔截代理，自動掃描儀，蜘蛛，模糊器，Web 套接字支持，即插即用支持，身份驗證支持，基於 REST 的 API，動態 SSL 證書，智能卡和客戶端數字證書支持。
下載地址：https://github.com/zaproxy/zaproxy
4.Wapiti

Wapiti 是一個不錯的 Web 漏洞掃描程序，可審覈 Web 應用程序的安全性。經過掃描網頁和注入數據來執行黑盒測試，嘗試注入有效負載並查看腳本是否容易受到攻擊，支持 GET 和 POSTHTTP 攻擊並檢測多個漏洞。能夠檢測如下漏洞：文件披露，文件包含，跨站點腳本（XSS），命令執行檢測，CRLF 注射，SEL 注射和 Xpath 注射，.htaccess 配置，備份文件披露等。
下載地址：http://wapiti.sourceforge.net/
5.W3af

W3af 是一種流行的 Web 應用程序攻擊和審計框架。該框架旨在提供更好的 Web 應用程序滲透測試平臺，使用 Python 開發。經過使用此工具，您可以識別 200 多種 Web 應用程序漏洞，包括 SQL 注入，跨站點腳本和許多其餘漏洞。
下載地址：http://w3af.org/
6.WebScarab

WebScarab 是一個基於 Java 的安全框架，用於使用 HTTP 或 HTTPS 協議分析 Web 應用程序。使用可用的插件，能夠擴展該工具的功能。此工具用做攔截代理。所以，您能夠查看來自瀏覽器並轉到服務器的請求和響應，還能夠在服務器或瀏覽器收到請求或響應以前修改它們。此工具不適合初學者，此工具專爲那些對 HTTP 協議有很好理解而且能夠編寫代碼的人而設計。
下載地址：https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
7.Skipfish

Skipfish 也是一個不錯的 Web 應用程序安全工具。它抓取網站，而後檢查每一個頁面是否存在各類安全威脅，而後準備最終報告。該工具用 C 語言編寫。針對 HTTP 處理進行了高度優化，而且利用了最少的 CPU。Skipfish 聲稱每秒能夠輕鬆處理 2000 個請求而無需在 CPU 上添加負載。
下載地址：https://code.google.com/archive/p/skipfish/
8.Ratproxy

Ratproxy 也是一個開源 Web 應用程序安全審計工具，可用於查找 Web 應用程序中的安全漏洞。它支持 Linux，FreeBSD，MacOS X 和 Windows（Cygwin）環境。此工具旨在克服用戶在使用其餘代理工具進行安全審覈時一般會遇到的問題。它可以區分 CSS 樣式表和 JavaScript 代碼。它還支持中間人攻擊中的 SSL 人員，這意味着您還能夠看到經過 SSL 傳遞的數據。
下載地址：https://code.google.com/archive/p/ratproxy/
9.SQLMap

SQLMap 是一種開源滲透測試工具，它能夠自動執行在網站數據庫中查找和利用 SQL 注入漏洞的過程。它具備強大的檢測引擎和一些有用的功能。所以，滲透測試人員能夠輕鬆地在網站上執行 SQL 注入檢查。
下載地址：https://github.com/sqlmapproject/sqlmap
10.Wfuzz

Wfuzz 是一個免費開源的 Web 應用程序滲透測試工具，可用於強制 GET 和 POST 參數，以便針對 SQL，XSS，LDAP 等許多類型的注入進行測試。它還支持 cookie 模糊測試，多線程，SOCK，代理，身份驗證，參數暴力破解，多代理等。
下載地址：https://github.com/xmendez/wfuzz
11.Grendel-Scan

Grendel-Scan 是一個開源 Web 應用程序安全工具，是一種用於在 Web 應用程序中查找安全漏洞的自動工具。許多功能也可用於手動滲透測試。此工具適用於 Windows，Linux 和 Macintosh，該工具用 Java 開發。
下載地址：https://sourceforge.net/projects/grendel/
12.Watcher

Watcher 是一種被動的網絡安全掃描程序，它不會攻擊大量請求或爬網目標網站。它是 Fiddler 的附加組件，因此你須要先安裝 Fiddler 而後安裝 Watcher 才能使用它。
下載地址：http://websecuritytool.codeplex.com/
13.X5S

X5s 也是 Fiddler 的一個附加組件，旨在提供一種查找跨站點腳本漏洞的方法。這不是一個自動工具，您須要手動查找注入點，而後檢查 XSS 在應用程序中的位置。
下載地址：https://archive.codeplex.com/?p=xss
14.Arachni

Arachni 是一個開源工具，專爲提供滲透測試環境而開發。此工具能夠檢測各類 Web 應用程序安全漏洞。它能夠檢測各類漏洞，如 SQL 注入，XSS，本地文件包含，遠程文件包含，未經驗證的重定向等等。
下載地址：http://www.arachni-scanner.com/
結論

這是一些比較常見的開源 Web 應用程序安全測試工具，我盡力列出在線提供的全部工具。若是您想開始滲透測試，我建議使用爲滲透測試建立的 Linux 發行版。