专栏首页区块链最好用的开源Web漏洞扫描工具梳理

抱歉,你查看的文章已删除

最好用的开源Web漏洞扫描工具梳理

来自FreeBuf.COM

*参考来源:geekflare,FB小编柚子编译

链接:www.freebuf.com/articles/web/155209.html

赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都含有恶意软件。如果你在用WordPress,SUCURI的另一份报告也显示,超过70%的被扫描网站也都存在一个或多个漏洞。

如果你刚好是某个网络应用程序的所有者,怎样才能保证你的网站是安全的、不会泄露敏感信息?

如果是基于云的安全解决方案,那么可能只需要进行常规漏扫。但如果不是,我们就必须执行例行扫描,采取必要的行动降低安全风险。

当然很多付费扫描器功能会更加全面、严谨,包含报表输出、警报、详细的应急指南等等附加功能。

开源工具最大的缺点是漏洞库可能没有付费软件那么全面。

1. Arachni

Arachni是一款基于Ruby框架搭建的高性能安全扫描程序,适用于现代Web应用程序。可用于Mac、Windows及Linux系统的可移植二进制文件。

Arachni不仅能对基本的静态或CMS网站进行扫描,还能够做到对以下平台指纹信息((硬盘序列号和网卡物理地址))的识别。且同时支持主动检查和被动检查。

Windows、Solaris、Linux、BSD、Unix

Nginx、Apache、Tomcat、IIS、Jetty

Java、Ruby、Python、ASP、PHP

Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

一般检测的漏洞类型包括:

NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入

跨站请求伪造

路径遍历

本地/远程文件包含

Response splitting

跨站脚本

未验证的DOM重定向

源代码披露

另外,你可以选择输出HTML、XML、Text、JSON、YAML等格式的审计报告。

Arachni帮助我们以插件的形式将扫描范围扩展到更深层的级别。

2. XssPy

一个有力的事实是,微软、斯坦福、摩托罗拉、Informatica等很多大型企业机构都在用这款基于python的XSS(跨站脚本)漏洞扫描器。它的编写者Faizan Ahmad才华出众,XssPy是一个非常智能的工具,不仅能检查主页或给定页面,还能够检查网站上的所有链接以及子域。因此,XssPy的扫描非常细致且范围广泛。

3. w3af

w3af是一个从2006年年底开始的基于Python的开源项目,可用于Linux和Windows系统。w3af能够检测200多个漏洞,包括OWASP top 10中提到的。

w3af能够帮你将payload注入header、URL、cookies、字符串查询、post-data等,利用Web应用程序进行审计,且支持各种记录方法完成报告,例如:

CSV

HTML

Console

Text

XML

Email

这个程序建立在一个插件架构上,所有可用插件地址:click here。

4. Nikto

相信很多人对Nikto并不陌生,这是由Netsparker(专做web安全扫描器企业,总部坐标英国)赞助的开源项目,旨在发现Web服务器配置错误、插件和Web漏洞。Nikto对6500多个风险项目进行过综合测试。支持HTTP代理、SSL或NTLM身份验证等,还能确定每个目标扫描的最大执行时间。

Nikto也适用于Kali Linux。

Nikto在企业内部网络解决方案中查找web服务器安全风险的应用前景非常广阔。

5. Wfuzz

Wfuzz(Web Fuzzer)也是渗透中会用到的应用程序评估工具。它可以对任何字段的HTTP请求中的数据进行模糊处理,对Web应用程序进行审查。

Wfuzz需要在被扫描的计算机上安装Python。具体的使用指南可参见这个:链接。

6. OWASP ZAP

ZAP(Zet Attack Proxy)是全球数百名志愿者程序员在积极更新维护的著名渗透测试工具之一。它是一款跨平台的Java工具,甚至都可以在Raspberry Pi上运行。ZAP在浏览器和Web应用程序之间拦截和检查消息。

ZAP值得一提的优良功能:

Fuzzer

自动与被动扫描

支持多种脚本语言

Forced browsing(强制浏览)

7. Wapiti

Wapiti扫描特定的目标网页,寻找能够注入数据的脚本和表单,从而验证其中是否存在漏洞。它不是对源代码的安全检查,而是执行黑盒扫描。

支持GET和POST HTTP请求方式、HTTP和HTTPS代理以及多个认证等。

8. Vega

Vega由Subgraph开发,Subgraph是一个用Java编写的多平台支持工具,用于查找XSS,SQLi、RFI和很多其它的漏洞。

Vega的图形用户界面相对来说比较美观。它可以通过特定的凭证登录某个应用后执行自动扫描。

如果你懂开发,还可以利用vega API创建新的攻击模块。

9. SQLmap

顾名思义,我们可以借助sqlmap对数据库进行渗透测试和漏洞查找。

支持所有操作系统上的Python 2.6或2.7。如果你正在查找SQL注入和数据库漏洞利用,sqlmap是一个好助手。

10. Grabber

这也是一个做得不错的Python小工具。这里列举一些特色功能:

JavaScript源代码分析器

跨站点脚本、SQL注入、SQL盲注

利用PHP-SAT的PHP应用程序测试

下载地址:click here。

11. Golismero

这是一个管理和运行Wfuzz、DNS recon、sqlmap、OpenVas、机器人分析器等一些流行安全工具的框架。

Golismero非常智能,能够整合其它工具的测试反馈,输出一个统一的结果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架,内置了三个智能模糊器,用于快速扫描和结果优化。

这款工具有上百个功能

网络安全对于在线业务至关重要,希望上面这些免费的漏扫程序能够帮助各位读者及时发现风险,在被恶意人员利用之前即完成漏洞修复。

●本文编号424,以后想阅读这篇文章直接输入424即可

●输入m获取到文章目录

推荐↓↓↓

黑客技术与网络安全

更多推荐《18个技术类公众微信》

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

本文来自企鹅号 - Web开发媒体

我来说两句

0 条评论
登录 后参与评论

推荐阅读

  • 压测利器:TarsBenchmark正确打开方式

    我们在服务后台的一些APP上线之前,通常会做一些性能的评估,然后会评测一下。例如开发的项目大概可以服务多少用户,以及能够承担多大的并发量?

    腾小云
  • 跨国合作:Serverless Components 在腾讯云的落地和实践

    Serverless是一个重开发和部署的产品应用,服务提供了弹性伸缩、自动运维的能力,开发者主要关心开发和部署。所以,开发和部署的体验对于serverless业务来说是非常重要的。

    腾小云
  • 【重大版本更新】腾讯蓝鲸社区版 V6.0 全新上线!!!

    2020年蓝鲸重磅推出社区版6.0 Beta 版,4款新产品的亮相 + 7款产品的重大更新,想知道还有什么新的变化吗?快来部署体验吧,更多精彩福利等你来拿。

    腾讯蓝鲸智云
  • 云+社区年度征文活动

    2020,注定是个不平凡的一年。疫情的蔓延打乱了大家所有的计划,却打不断广大程序员对技术的那颗炽热的心。时值年末,云+社区和你一起聊聊过去的 2020。

    云加社区
  • 如何用Prometheus监控十万container的Kubernetes集群

    作者黄雷,腾讯云工程师,曾负责构建腾讯云云监控新一代多维业务监控系统,擅长大规模分布式监控系统设计,对golang后台项目架构设计有较深理解,后加入TKE团队,致力于研究Kubernetes相关运维技术,拥有多年Kubernetes集群联邦运维管理经验,目前在团队主要负责大规模集群联邦可观测性提升,主导研发了腾讯云万级Kubernetes集群监控告警系统,智能巡检与风险探测系统。 概述 不久前,我们在文章《如何扩展单个Prometheus实现近万Kubernetes集群监控?》中详细介绍了腾讯云容器服务T

    腾讯云原生
  • 腾讯云容器服务TKE推出新一代零损耗容器网络

    随着容器技术的发展成熟,越来越多的组件迁移到容器,在技术迁移过程中,数据库,游戏,AI 这些组件对容器网络性能(时延,吞吐,稳定性)提出了更高的要求。为了得到更优的时延和吞吐表现,各大云厂商都在致力于缩短节点内容器的网络访问链路,让数据包能尽可能快地转发到容器网卡。 腾讯云容器服务TKE 借助智能网卡推出新一代容器网络方案,实现了一个 Pod 独占一张弹性网卡,不再经过节点网络协议栈(default namespace),极大缩短容器访问链路和访问时延,并使 PPS 可以达到整机上限。基于新一代容器网络方

    腾讯云原生
  • Serverless 走进高校,技术普及从娃娃抓起(直播返场)

    腾讯云 Serverless 走进高校系列,从11月5日开始,每周四晚7:00定期跟同学们见面。该系列最后一期的直播,依然围绕当下的技术热点和⼤学⽣关⼼的求职问题,通过⼤咖学姐的技术⼲货、职场经验分享和在线技术实战特训,帮助⾼校开发者加速技术成长。 本次终集返场直播由美少女学姐带大家走进 Serverless ,相约周四晚7:00,不见不散。 参与方式:线上直播 开讲时间:11月19日,晚 7:00 ? One More Thing 立即体验腾讯云 Serverless Demo,获取 Serverles

    腾讯云serverless团队
  • 掘金 x 腾讯云联合征文 | 万物皆可 Serverless

    Serverless,即无服务器架构,是一种新的架构方式。目前也是非常热门的一种技术,很多大公司都在往 Serverless 这个方向上发力。 ? 无服务器架构,并不是说不需要服务器,而是指由第三方云计算供应商以服务的方式为开发者提供所需功能,例如数据库、消息,以及身份验证等。 它的核心思想是让开发者专注构建和运行应用,而无需管理服务器。在以往,如果你想将应用程序上线,一般得提前了解它究竟需要多少台服务器、多大的存储量和数据库等。 并且还需要安装应用程序所依赖的其他软件。但如果使用 Serverless,

    腾讯云serverless团队
  • 用万字长文聊一聊 Embedding 技术

    ? 作者:qfan,腾讯 WXG 应用研究员 随着深度学习在工业届不断火热,Embedding 技术便作为“基本操作”广泛应用于推荐、广告、搜索等互联网核心领域中。Embedding 作为深度学习的热门研究方向,经历了从序列样本、图样本、再到异构的多特征样本的发展过程。本文主要系统总结了现在主流的 Embedding 技术,简单介绍它们的基本原理,希望对大家快速整理相关知识有所帮助。 一、引言 在提到 Embedding 时,首先想到的是“向量化”,主要作用是将高维稀疏向量转化为稠密向量,从而方便下游模

    腾讯技术工程官方号
  • 奇葩说之RTC的那些事

    大家好,我是来自拍乐云的赵加雨。首先做个简单的自我介绍,我2003年加入WebEx,在WebEx工作了14年,前面几年是在国内工作,后面几年在美国。在美国工作几年之后,发觉中国的环境也不错,于是在2017年回国加入了网易,任网易云信CTO,直到去年创立了拍乐云。大家可以看到,虽然我现在的头衔是CEO,但我过去的经历一直都是在做技术,现在在公司里和小伙伴们也会经常讨论技术,对技术也一直保留着很多热情。

    LiveVideoStack

扫码关注云+社区

领取腾讯云代金券