12种开源Web安全扫描程序

更新日期: 2019-07-24阅读: 2.4k标签: 开源

1.Arachni

Arachni是一款基于Ruby框架构建的高性能安全扫描程序,适用于现代Web应用程序。它可用于Mac,Windows和Linux的便携式二进制文件

  • Arachnin能适用于下面的平台和语言
  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, php
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

漏洞检测有下面这些:

  • NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
  • Cross-site request forgery
  • Path traversal
  • Local/Remote File inclusions
  • Response splitting
  • Cross-site scripting
  • Unvalidated dom redirects
  • Source code disclosure

可以选择使用html,XML,文本,JSON,YAML等格式的审计报告,Arachni可以利用插件将扫描范围扩展到下一个级别


2.XssPy

一个基于Python的XSS(跨站脚本)漏洞扫描器


3.w3af

w3af,从2006开始使用python开发的开源项目,可以用在window和linux环境下,
w3af可以将有效载荷注入到标题,URL,cookie,查询字符串,后期数据等,以利用Web应用程序进行审计。它支持各种记录方法进行报告。

例如:

  • CSV
  • HTML
  • Console
  • Text
  • XML
  • Email

更多的功能可利用插件库


4.Nikto

Netsparker赞助的开源项目旨在发现Web服务器的配置错误,插件和网页漏洞。 Nikto对6500多个风险项目进行综合测试。
它支持HTTP代理,SSL,或NTLM身份验证等,并可以定义每个目标扫描的最大执行时间。 
Nikola也可以在Kali Linux中使用,它看起来很有希望用于Intranet解决方案来查找Web服务器的安全风险


5.Wfuzz

Wfuzz(Web Fuzzer)是针对渗透测试的应用程序评估工具。您可以对任何字段的HTTP请求中的数据进行模糊处理,以利用该Web应用程序并审核Web应用程序。 Wfuzz需要在要运行扫描的计算机上安装Python。


6.OWASP ZAP

ZAP(Zet Attack Proxy)是全球数百名志愿者积极更新的着名渗透测试工具之一。 它是跨平台的基于Java的工具,可以在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间,用于拦截和检查消息

下面的一些值得一提的是ZAP的功能。

  • Fuzzer
  • Automated & passive scanner
  • Supports multiple scripting languages
  • Forced browsing

强烈建议查看OWASP ZAP教程视频来学习


7.Wapiti

Wapiti扫描给定目标的网页,并寻找脚本和表单来注入数据,看看是否有漏洞。它不是一个源代码安全检查,而是执行黑盒扫描。
它支持GET和POST HTTP方法,HTTP和HTTPS代理,多个认证等。


8.Vega

Vega由Subgraph开发,Subgraph是一个用Java编写的多平台支持工具,用于查找XSS,SQLi,RFI和许多其他漏洞。 维加有良好的图形用户界面,并能够通过登录到具有给定凭据的应用程序来执行自动扫描。

如果您是开发人员,则可以利用vega API创建新的攻击模块


9.SQLmap

利用SQLmap可以对数据库执行渗透测试来发现缺陷。

它适用于任何操作系统上的Python 2.6或2.7。如果你正在寻找SQL注入和利用数据库,那么sqlmap会有帮助。


10.Grabber

它是基于Python的小工具,并且做得很不错。一些Grabber的功能是:
JavaScript源代码分析器 跨站点脚本,
SQL注入,
盲注SQL PHP应用程序测试使用PHP-SAT


11.Golismero

管理和运行Wfuzz,DNS recon,sqlmap,OpenVas,机器人分析器等一些流行安全工具的框架。

Golismero非常棒,它可以巩固来自其他工具的测试反馈,并合并显示一个单一的结果。


12.OWASP Xenotix XSS

OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架。它内置了三个智能模糊器,用于快速扫描和改进结果。

它有数百个功能,我们可以看看这里列出的所有。

网络安全对于在线业务至关重要,我希望上面列出的免费/开源漏洞扫描程序可以帮助您找到风险,以便在有人利用此漏洞之前减轻风险

链接: https://www.fly63.com/article/detial/4902

为什么我们从来不去感谢开源项目维护者

一个开源项目维护者必须一年到头无偿地做这么多复杂繁琐的工作。当我们很方便的使用开源项目时,太容易忘记项目维护者的辛苦付出了,有时候,开源项目维护者真的需要你对他说一声谢谢。

Emoji开源库推荐_支持emoji表情的js的开源项目总汇

Emoji(表情符号)的使用到处都有,想通过js为自己的网页添加Emoji吗?今天就为大家整理在Github上最受欢迎的Emoji开源库,让自己的页面显示Emoji。

我是如何创造“开源”这个词的

开源软件open source software创立 20 周年的纪念日。由于开源软件渐受欢迎,并且为这个时代强有力的重要变革提供了动力,我们仔细反思了它的初生到崛起。

高效学习开源项目的五大步骤!

得益于开源运动的蓬勃发展,众多技术顶尖的公司、团队或者个人通过开源的方式向技术社区贡献了许多优秀的开源项目,一方面大大促进了整体技术的发展

开源的本质是什么,免费还是自由?

开源的本质是什么,免费还是自由?国内的很多软件公司或研究机构对开源的热情仅限于免费的代码,而绝少深度参与开源社区的活动。我们对于开源始终是利用多,而贡献少,从国内发起的有一定影响力的开源项目如果不是完全没有,恐怕也是凤毛麟角。

高效实用的.NET开源项目

很多人也想了解一下最新和感觉有用的.NET开源项目,最近准备面试为了有料说,在网上找到了一些开源的项目,个人觉得还不错,所以给大家分享一下,共同进步。

传说这个是 35 个最好用 Vue 开源库

无论是开发新手还是经验丰富的老手,我们都喜欢开源软件包。对于开发者来说,如果没有这些开源软件包,很难想象我们的生活会变得多么疲惫不堪,而且靠咖啡度日也会成为家常便饭。所幸的是,随着 Vue.js 和 Nuxt.js 社区的不断壮大,每天都会出现一些很好的软件包。

微软WPF开源了

在去年的 Microsoft Connect(); 开发者大会上,微软宣布开源三种主要的 Windows UX 技术,其中就包括了 Windows Presentation Foundation (WPF),除此之外还有 Windows Forms 和 Windows UI XAML 库 (WinUI)

Github 上 36 个最实用的 Vue 开源库

任何一个开发者,都是十分喜欢使用开源软件包的。因为它使开发工作变得更快速、高效、容易。如果没有开源软件包,开发工作将变得疲惫不堪,不断的重复造轮子!下面整理了 Github 上 36 个实用的 Vue 开源库,建议收藏!

盘点那些走向世界的中国项目

“开源(Open Source)”,这个在程序员界耳熟能详的词,几乎充斥着我们的整个职业生涯。相信没有一个程序员不知道啥是“开源”,相信没有一个程序员从来没用过“开源”产品

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!