12种开源Web安全扫描程序

却写杂布计

开源Web安全扫描程序来查找漏洞

• 赛门铁克的一个有趣的报告显示，76％的被扫描网站有恶意软件
  

   如果您使用的是WordPress，那么SUCURI的另一份报告显示，超过70％的被扫描网站被感染了一个或多个漏洞。
  
   作为网络应用程序所有者，您如何确保您的网站免受在线威胁的侵害？不泄露敏感信息？
  如果您正在使用基于云的安全解决方案，则最有可能定期进行漏洞扫描是该计划的一部分。但是，如果没有，那么你必须执行例行扫描，并采取必要的行动来降低风险。
  

• 有两种类型的扫描软件
  

   商业(收费) - 给你一个选项来自动扫描持续的安全，报告，警报，详细的缓解说明等，行业中的一些已知的厂商是：
  

• Acunetix
  
• Detectify
  
• Qualys
  

   开源/免费 - 您可以下载并按需执行安全扫描。但不能够覆盖所有漏洞，如商业漏洞。
  

• 看看下面的开源Web漏洞扫描器
  

1. Arachni

   Arachni是一款基于Ruby框架构建的高性能安全扫描程序，适用于现代Web应用程序。它可用于Mac，Windows和Linux的便携式二进制文件
  
   Arachnin能适用于下面的平台和语言
  

• Windows, Solaris, Linux, BSD, Unix
  
• Nginx, Apache, Tomcat, IIS, Jetty
  
• Java, Ruby, Python, ASP, PHP
  
• Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony
  

   漏洞检测有下面这些：
  

• NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
  
• Cross-site request forgery
  
• Path traversal
  
• Local/Remote File inclusions
  
• Response splitting
  
• Cross-site scripting
  
• Unvalidated DOM redirects
  
• Source code disclosure
  

   可以选择使用HTML，XML，文本，JSON，YAML等格式的审计报告,Arachni可以利用插件将扫描范围扩展到下一个级别
  2. XssPy

   一个基于Python的XSS（跨站脚本）漏洞扫描器
  3. w3af

   w3af,从2006开始使用python开发的开源项目，可以用在window和linux环境下，
  w3af可以将有效载荷注入到标题，URL，cookie，查询字符串，后期数据等，以利用Web应用程序进行审计。它支持各种记录方法进行报告。例如：
  

• CSV
  
• HTML
  
• Console
  
• Text
  
• XML
  
• Email
  

   更多的功能可利用插件库
  4. Nikto

   Netsparker赞助的开源项目旨在发现Web服务器的配置错误，插件和网页漏洞。 Nikto对6500多个风险项目进行综合测试。
  它支持HTTP代理，SSL，或NTLM身份验证等，并可以定义每个目标扫描的最大执行时间。
Nikola也可以在Kali Linux中使用
  
   它看起来很有希望用于Intranet解决方案来查找Web服务器的安全风险
  5. Wfuzz

   Wfuzz（Web Fuzzer）是针对渗透测试的应用程序评估工具。您可以对任何字段的HTTP请求中的数据进行模糊处理，以利用该Web应用程序并审核Web应用程序。 Wfuzz需要在要运行扫描的计算机上安装Python。
  6. OWASP ZAP

   ZAP（Zet Attack Proxy）是全球数百名志愿者积极更新的着名渗透测试工具之一。 它是跨平台的基于Java的工具，可以在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间，用于拦截和检查消息
  
   下面的一些值得一提的是ZAP的功能。
  

• Fuzzer
  
• Automated & passive scanner
  
• Supports multiple scripting languages
  
• Forced browsing
  

   强烈建议查看OWASP ZAP教程视频来学习
  7. Wapiti

   Wapiti扫描给定目标的网页，并寻找脚本和表单来注入数据，看看是否有漏洞。它不是一个源代码安全检查，而是执行黑盒扫描。
  
   它支持GET和POST HTTP方法，HTTP和HTTPS代理，多个认证等。
  8. Vega

   Vega由Subgraph开发，Subgraph是一个用Java编写的多平台支持工具，用于查找XSS，SQLi，RFI和许多其他漏洞。 维加有良好的图形用户界面，并能够通过登录到具有给定凭据的应用程序来执行自动扫描。
  
   如果您是开发人员，则可以利用vega API创建新的攻击模块
  9. SQLmap

   利用SQLmap可以对数据库执行渗透测试来发现缺陷。
  
   它适用于任何操作系统上的Python 2.6或2.7。如果你正在寻找SQL注入和利用数据库，那么sqlmap会有帮助。
  10. Grabber

   它是基于Python的小工具，并且做得很不错。一些Grabber的功能是：
  

• JavaScript源代码分析器 跨站点脚本，
  
• SQL注入，
  
• 盲注SQL PHP应用程序测试使用PHP-SAT
  

11. Golismero

   管理和运行Wfuzz，DNS recon，sqlmap，OpenVas，机器人分析器等一些流行安全工具的框架。
  
   Golismero非常棒，它可以巩固来自其他工具的测试反馈，并合并显示一个单一的结果。
  12. OWASP Xenotix XSS

   OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架。它内置了三个智能模糊器，用于快速扫描和改进结果。
  
   它有数百个功能，我们可以看看这里列出的所有。
  网络安全对于在线业务至关重要，我希望上面列出的免费/开源漏洞扫描程序可以帮助您找到风险，以便在有人利用此漏洞之前减轻风险
  

• 原文出自：https://geekflare.com/open-source-web-security-scanner/
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！