|
|
|
很多受欢迎的网站都曾遭到过黑客入侵而蒙受经济损失,web漏洞扫描器是一种软件程序,可在Web应用程序上执行自动黑盒测试并识别安全漏洞,扫描程序不访问源代码,只执行功能测试并尝试查找安全漏洞。在这篇文章中,我们列出了14个免费开源Web应用程序漏洞扫描器,排名不分先后。1.GrabberGrabber是一款免费开源的Web应用程序扫描程序,可以检测Web应用程序中���的大多数安全漏洞,可以检���测以下漏洞:跨站脚本,SQL注入,Ajax测试,文件包含,JS源代码分析器,备份文件检查。Grabbe仅用于测试小型Web应用程序,因为扫描大型应用程序需要花费太多时间。此工具不提供任何GUI界面,也无法创建任何PDF报告�。该工具主要面向个人使用。下载地址:https:���//github.com/neuroo/grabber2.VegaVega是一个免费开源Web漏洞扫描程序和测试平台。使用�此����工具,您可以执行Web��应用程序的安全性测试。该工具用Java编写,并提供基于GUI的环境,适用于OS X,Linux和Win���dows。可用于查找SQL注入,标头注入,目录列�表,sh���el�l注入,跨站点脚本,文件包含和其他Web应用程序漏洞。���下载地址��:https://subgraph.com/���vega/3.Zed Attack ProxyZed At���tack Proxy是开源的,由AWASP开发。适用于Windows,Unix / Linux和Macintosh平台。可用于在Web应用程序中查找各种漏洞,该工具简单易���用。即使您不�熟悉渗透测试,也可以轻松使用此工具开始学习Web应用程序的渗�透测试。ZAP包含以下关键功能:拦截代理,自动扫描仪,蜘蛛,模糊器���,Web套接字支持,即插即用支持,身份验证支持,基于REST的API,动态SSL证书,智能卡和客户端数字证书支持�。下载地址:https://��github.com/zap��roxy/zaproxy���4.W�apitiWapiti是一个不错的Web漏洞扫描程序,可审核Web应�用程序的安��全性。通过扫描网页和注入数据来执行黑盒测试,尝试注入有效负载并查��看��脚本是否容易受到攻击,支持GET和POSTHTTP攻击并检测多个漏洞。可以检测以下漏洞:文件披露,文件包含,跨站点脚本(XSS),命令执行检测,CRLF注射,SEL注射和Xpath注射,.htaccess配置,备份文件披露等。下载地址:http://wapiti���.so�ur���ceforge.net/5.W3afW3af是���一种流行的Web应用程序攻击和审计框架。该框架旨在��提供更好的Web应用程序渗透测试平台,使用Python开发。通过使用此工具,�您能够识别200多种Web应用程序漏洞,包括SQL注�入,跨站点脚本和许多其他漏洞。下载地址:http://w3af.org/6.WebScarabWebScarab是一个基于Java的安全框架,用于使用HTTP或HTTPS协议分析Web应用程序。使用可���用的插件,可以扩展该工具的功能。此工具用作拦截代理。因此,您可以查看来自浏览器并转到服务器的请求和响应,还可以在服务器或浏览器收到请求或响应之前修改它们。此工具不适合初学者,此工具专为那些对�HTTP协议有很好理解并且可以编写代码的人而设计。下载地址:��https://www.owasp.��org/index.php/Cate�gory:OWASP_WebScarab_Project7.SkipfishSkipfish也是一个不���错的Web应用程序安全��工具。它抓取网站,然后���检查每个页面是否存在各种安全威胁,然后准备最���终报告。该工具用��C语言编写。针对HTTP处理进行了高度优化,并且利用了最少的CPU。Skipfish声���称每秒��可以轻松处理2000个请求而无需在�CPU上添加负载。下载地址:https://code.google.com/archive/p/skipfish/8.RatproxyRatproxy也是一个开源Web应用程序安全审计工具,可用于查找Web应用程序中的安全漏洞。它支持Linux,FreeBSD,MacOS X和Windows(Cygwin)环境。此工具旨在克服用户在使用其他代理�工具进行安全审核时通常会遇到的问题。它能够�区分CSS样式表和JavaScript代码。它还支持中间人攻击中的SSL人���员,这意味着您还可���以看到通过SSL传递的数据。下载地址:https://code.goog�le.com/archive/p/ratproxy/9.SQLMapSQLMap是一种开源渗透测试工具,它可以自动执行在网站数据库中查找和利用SQL注入漏洞的过程。它具有强大的检测引擎和一些有用的功能。因此,渗透测试人员可以轻松地在网站上执行SQL注入检查。下载地址:https://github.��com/sqlmapproject���/sqlmap10.WfuzzWfuzz是一个免费开源的Web应用程序渗透测试工具,可用于强制GET和POST参数,以便针对SQL,XSS,LDAP等许多类型的注入进行测试。它还支持cookie模糊测试,多线��程,SOCK,代�理,身份验证,参数暴力破解,多代理等。下载地�址:https://github.com/xmendez/wfuzz11.�����Grendel-ScanGren�del-Scan是一个开源Web应用程序安全工具,是一种用于在Web应用程序中查找安全漏洞的自动工具。许多功能也可用于手动渗透测试。此工具适用于Windows,Linux和Macintosh,该工具用Java开发。下载��地址:https://sourceforge.n��et/projects/grendel/12.WatcherWatcher是一种被动的网络安全扫描程序,它不会攻�击大量请求或爬网目标网站。它是Fiddler的���附加组件,所以你需要先安装Fiddler然后安装Wat��c��her才能使用它。下载地址:http://websecuritytool.codeplex.com/13.X5SX5s也是Fiddler的一个附加组件���,旨在提供一��种查找跨站点脚本漏洞的方法。这不是一个自动工具,您需要手动查找注入点,然后检查XSS在应用程序中的位置。下载地址:https://archive.co���deplex.com/?p=xss14.Ar��achniArachni是一个开源工具,专为提供渗透测试环境而开发。�此工具可以检测各种Web应用程序安全漏洞。它可以检测各种漏洞,如S���QL注入,XSS,本地文件包含,远程文件包含,未经验证的重定向等等。下载地址:http://www.arachni-sc���anner.com/结论这是一些比较常见的开源Web应用程序安全测试工具,我尽力列出在线提供的所有工具。如果您想开始渗透测试,我建议使用为渗��透测试创��建的Linux发行版。相关文章推荐Linux安装Apache教程 由于Apache是免费的,因此它是����最受欢���迎的Web服务器之一,它还具���有一些功能使其可用于许多不同类型的网站 […]...如何在CentOS 7上创建Apache虚拟���主机? 如果想要在服务器上托管多个域,则需要在web服务�器上创建相���应的主机,以便��服�务器知道应该为传入的请求提供哪些内���容 […]...如何在Mac���上编辑主机文件? 通过编辑Mac主机文件�,可以模拟DNS更改并为域名设置所需的IP。使用主机��文件,可以覆盖Internet服务提 […]...Magento 2简介��和�安装 Magent���o 2是什么? Magen��to 2是Magento的最新升级�版,最初由总部位于加利福尼亚州卡尔弗城 […]...HTTP�50�0内部服务器错误修复方法 http500内部服务器错误似乎总是出现在最不合时宜的时间,你突��然想知道如何让你���的WordPress网站重新上 […]... |
|
发表于 2020-6-29 22:42