VOOKI：一款免费的Web应用漏洞扫描工具

Vooki是一款免费且用户界面友好的Web应用漏扫工具，它可以轻松地为你扫描任何Web应用并查找漏洞。Vooki主要包括三个部分，Web应用扫描器，Rest API扫描器以及报告。

Web应用扫描器

Vooki – Web应用扫描器目前支持以下类型的漏洞查找：

Sql注入 命令注入 头注入 反射型XSS 存储型XSS DOM型XSS 缺少安全标头 恶意JS脚本执行 使用已知不安全组件 Jquery漏洞 Angularjs漏洞 Bootstrap漏洞 响应头中包含敏感信息 错误消息中包含敏感信息 缺少服务器端验证 Javascript动态代码执行 敏感数据泄露

Vooki Web应用扫描器的使用

视频演示：

启动应用。 将浏览器代理连接到Vooki端口。 访问你的Web应用程序页面。 右键单击出现在Vooki工具上的节点，然后单击扫描。 扫描完成后，点击菜单栏中的生成报告。

Rest API扫描器

Vooki – Rest API扫描器目前支持以下类型的漏洞查找：

Sql注入 命令注入 头注入 XSS（可能性） 缺少安全标头 响应头中包含敏感信息 错误消息中包含敏感信息 缺少服务器端验证 不必要使用的HTTP方法 不正确的HTTP响应

Vooki Rest扫描器的使用

视频演示：

启动应用。 创建新项目。 在创建的项目中添加新的请求。 提供headers, url 和 data。 保存并运行菜单栏中的扫描。 扫描完成后，点击菜单栏中的生成报告。

*参考来源：vegabird，FB小编 secist 编译，转载请注明来自FreeBuf.COM