12种开源Web安全扫描程序

时间 2019-11-08

标签开源 web 安全扫描程序栏目 HTML 繁體版

原文原文链接

1.Arachni

Arachni是一款基于Ruby框架构建的高性能安全扫描程序，适用于现代Web应用程序。它可用于Mac，Windows和Linux的便携式二进制文件python

漏洞检测有下面这些：linux

能够选择使用HTML，XML，文本，JSON，YAML等格式的审计报告,Arachni能够利用插件将扫描范围扩展到下一个级别sql

一个基于Python的XSS（跨站脚本）漏洞扫描器数据库

w3af,从2006开始使用python开发的开源项目，能够用在window和linux环境下，
w3af能够将有效载荷注入到标题，URL，cookie，查询字符串，后期数据等，以利用Web应用程序进行审计。它支持各类记录方法进行报告。api

例如：浏览器

更多的功能可利用插件库安全

Netsparker赞助的开源项目旨在发现Web服务器的配置错误，插件和网页漏洞。 Nikto对6500多个风险项目进行综合测试。
它支持HTTP代理，SSL，或NTLM身份验证等，并能够定义每一个目标扫描的最大执行时间。
Nikola也能够在Kali Linux中使用
服务器

它看起来颇有但愿用于Intranet解决方案来查找Web服务器的安全风险cookie

Wfuzz（Web Fuzzer）是针对渗透测试的应用程序评估工具。您能够对任何字段的HTTP请求中的数据进行模糊处理，以利用该Web应用程序并审核Web应用程序。 Wfuzz须要在要运行扫描的计算机上安装Python。网络

ZAP（Zet Attack Proxy）是全球数百名志愿者积极更新的着名渗透测试工具之一。它是跨平台的基于Java的工具，能够在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间，用于拦截和检查消息

下面的一些值得一提的是ZAP的功能。

强烈建议查看OWASP ZAP教程视频来学习

Wapiti扫描给定目标的网页，并寻找脚本和表单来注入数据，看看是否有漏洞。它不是一个源代码安全检查，而是执行黑盒扫描。
它支持GET和POST HTTP方法，HTTP和HTTPS代理，多个认证等。

Vega由Subgraph开发，Subgraph是一个用Java编写的多平台支持工具，用于查找XSS，SQLi，RFI和许多其余漏洞。维加有良好的图形用户界面，并可以经过登陆到具备给定凭据的应用程序来执行自动扫描。

若是您是开发人员，则能够利用vega API建立新的攻击模块

利用SQLmap能够对数据库执行渗透测试来发现缺陷。

它适用于任何操做系统上的Python 2.6或2.7。若是你正在寻找SQL注入和利用数据库，那么sqlmap会有帮助。

它是基于Python的小工具，而且作得很不错。一些Grabber的功能是：
JavaScript源代码分析器跨站点脚本，
SQL注入，
盲注SQL PHP应用程序测试使用PHP-SAT

管理和运行Wfuzz，DNS recon，sqlmap，OpenVas，机器人分析器等一些流行安全工具的框架。

Golismero很是棒，它能够巩固来自其余工具的测试反馈，并合并显示一个单一的结果。

OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架。它内置了三个智能模糊器，用于快速扫描和改进结果。

它有数百个功能，咱们能够看看这里列出的全部。

网络安全对于在线业务相当重要，我但愿上面列出的免费/开源漏洞扫描程序能够帮助您找到风险，以便在有人利用此漏洞以前减轻风险