WEB漏洞扫描的开源工具
很多受欢迎的网站都曾遭到过黑客入侵而蒙受经济损失,web 漏洞扫描器是一种软件程序,可在 Web 应用程序上执行自动黑盒测试并识别安全漏洞,扫描程序不访问源代码,只执行功能测试并尝试查找安全漏洞。在这篇文章中,我们列出了 14 个免费开源 Web 应用程序漏洞扫描器,排名不分先后。
1.Grabber
Grabber 是一款免费开源的 Web 应用程序扫描程序,可以检测 Web 应用程序中的大多数安全漏洞,可以检测以下漏洞:跨站脚本,SQL 注入,Ajax 测试,文件包含,JS 源代码分析器,备份文件检查。Grabbe 仅用于测试小型 Web 应用程序,因为扫描大型应用程序需要花费太多时间。此工具不提供任何 GUI 界面,也无法创建任何 PDF 报告。该工具主要面向个人使用。
下载地址:https://github.com/neuroo/grabber
也想出现在这里?联系我们吧
WordPress 主题
2.Vega
Vega 是一个免费开源 Web 漏洞扫描程序和测试平台。使用此工具,您可以执行 Web 应用程序的安全性测试。该工具用 Java 编写,并提供基于 GUI 的环境,适用于 OS X,Linux 和 Windows。可用于查找 SQL 注入,标头注入,目录列表,shell 注入,跨站点脚本,文件包含和其他 Web 应用程序漏洞。
下载地址:https://subgraph.com/vega/
3.Zed Attack Proxy
Zed Attack Proxy 是开源的,由 AWASP 开发。适用于 Windows,Unix / Linux 和 Macintosh 平台。可用于在 Web 应用程序中查找各种漏洞,该工具简单易用。即使您不熟悉渗透测试,也可以轻松使用此工具开始学习 Web 应用程序的渗透测试。ZAP 包含以下关键功能:拦截代理,自动扫描仪,蜘蛛,模糊器,Web 套接字支持,即插即用支持,身份验证支持,基于 REST 的 API,动态 SSL 证书,智能卡和客户端数字证书支持。
下载地址:https://github.com/zaproxy/zaproxy
4.Wapiti
Wapiti 是一个不错的 Web 漏洞扫描程序,可审核 Web 应用程序的安全性。通过扫描网页和注入数据来执行黑盒测试,尝试注入有效负载并查看脚本是否容易受到攻击,支持 GET 和 POSTHTTP 攻击并检测多个漏洞。可以检测以下漏洞:文件披露,文件包含,跨站点脚本(XSS),命令执行检测,CRLF 注射,SEL 注射和 Xpath 注射,.htaccess 配置,备份文件披露等。
下载地址:http://wapiti.sourceforge.net/
5.W3af
W3af 是一种流行的 Web 应用程序攻击和审计框架。该框架旨在提供更好的 Web 应用程序渗透测试平台,使用 Python 开发。通过使用此工具,您能够识别 200 多种 Web 应用程序漏洞,包括 SQL 注入,跨站点脚本和许多其他漏洞。
下载地址:http://w3af.org/
6.WebScarab
WebScarab 是一个基于 Java 的安全框架,用于使用 HTTP 或 HTTPS 协议分析 Web 应用程序。使用可用的插件,可以扩展该工具的功能。此工具用作拦截代理。因此,您可以查看来自浏览器并转到服务器的请求和响应,还可以在服务器或浏览器收到请求或响应之前修改它们。此工具不适合初学者,此工具专为那些对 HTTP 协议有很好理解并且可以编写代码的人而设计。
下载地址:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
7.Skipfish
Skipfish 也是一个不错的 Web 应用程序安全工具。它抓取网站,然后检查每个页面是否存在各种安全威胁,然后准备最终报告。该工具用 C 语言编写。针对 HTTP 处理进行了高度优化,并且利用了最少的 CPU。Skipfish 声称每秒可以轻松处理 2000 个请求而无需在 CPU 上添加负载。
下载地址:https://code.google.com/archive/p/skipfish/
8.Ratproxy
Ratproxy 也是一个开源 Web 应用程序安全审计工具,可用于查找 Web 应用程序中的安全漏洞。它支持 Linux,FreeBSD,MacOS X 和 Windows(Cygwin)环境。此工具旨在克服用户在使用其他代理工具进行安全审核时通常会遇到的问题。它能够区分 CSS 样式表和 JavaScript 代码。它还支持中间人攻击中的 SSL 人员,这意味着您还可以看到通过 SSL 传递的数据。
下载地址:https://code.google.com/archive/p/ratproxy/
9.SQLMap
SQLMap 是一种开源渗透测试工具,它可以自动执行在网站数据库中查找和利用 SQL 注入漏洞的过程。它具有强大的检测引擎和一些有用的功能。因此,渗透测试人员可以轻松地在网站上执行 SQL 注入检查。
下载地址:https://github.com/sqlmapproject/sqlmap
10.Wfuzz
Wfuzz 是一个免费开源的 Web 应用程序渗透测试工具,可用于强制 GET 和 POST 参数,以便针对 SQL,XSS,LDAP 等许多类型的注入进行测试。它还支持 cookie 模糊测试,多线程,SOCK,代理,身份验证,参数暴力破解,多代理等。
下载地址:https://github.com/xmendez/wfuzz
11.Grendel-Scan
Grendel-Scan 是一个开源 Web 应用程序安全工具,是一种用于在 Web 应用程序中查找安全漏洞的自动工具。许多功能也可用于手动渗透测试。此工具适用于 Windows,Linux 和 Macintosh,该工具用 Java 开发。
下载地址:https://sourceforge.net/projects/grendel/
12.Watcher
Watcher 是一种被动的网络安全扫描程序,它不会攻击大量请求或爬网目标网站。它是 Fiddler 的附加组件,所以你需要先安装 Fiddler 然后安装 Watcher 才能使用它。
下载地址:http://websecuritytool.codeplex.com/
13.X5S
X5s 也是 Fiddler 的一个附加组件,旨在提供一种查找跨站点脚本漏洞的方法。这不是一个自动工具,您需要手动查找注入点,然后检查 XSS 在应用程序中的位置。
下载地址:https://archive.codeplex.com/?p=xss
14.Arachni
Arachni 是一个开源工具,专为提供渗透测试环境而开发。此工具可以检测各种 Web 应用程序安全漏洞。它可以检测各种漏洞,如 SQL 注入,XSS,本地文件包含,远程文件包含,未经验证的重定向等等。
下载地址:http://www.arachni-scanner.com/
结论
这是一些比较常见的开源 Web 应用程序安全测试工具,我尽力列出在线提供的所有工具。如果您想开始渗透测试,我建议使用为渗透测试创建的 Linux 发行版。
转载于:https://www.cnblogs.com/wuchangsoft/p/10950879.html
WEB漏洞扫描的开源工具相关推荐
- web 漏洞扫描和验证工具:Vulmap使用
文章目录 项目概述 项目简介 项目事项表 漏洞探测使用 主要参数说明 项目试运行 项目概述 项目简介 Vulmap 是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏洞扫描, 并且具备 ...
- 一款功能强大的Web漏洞扫描和验证工具(Vulmap)
一款功能强大的Web漏洞扫描和验证工具(Vulmap) 文章目录 一款功能强大的Web漏洞扫描和验证工具(Vulmap) 前言 一.Vulmap 二.工具安装 三.工具选项 四.工具使用样例 五.支持 ...
- fscan:一键自动化、全方位漏洞扫描的开源工具
简介 fscan 是一个内网综合扫描工具,方便一键自动化.全方位漏洞扫描. 它支持主机存活探测.端口扫描.常见服务的爆破.ms17010.redis批量写公钥.计划任务反弹shell.读取win网卡信 ...
- 网络安全-渗透测试-Kali Linux教程篇 篇(六) 漏洞分析-02——AppScan-轻量级Web漏洞扫描、安全审计工具
本文目录 关于本篇 声明 正文 AppScan 安装教程 使用教程 Web Application Scan 关于本篇 本篇是网络安全-渗透测试-Kali Linux教程篇 第六篇 漏洞分析部分的第二 ...
- arachni web mysql数据库_开源Web漏洞扫描工具–Arachni(转载)
作者:{SJW}@ArkTeam Arachni是一个开源的,全面的.模块化的Web漏洞扫描框架,它能够帮助渗透人员和网络管理人员测试Web应用的安全性. 一.功能介绍 Arachni能适用于多平台和 ...
- Web漏洞扫描工具(批量脱壳、反序列化、CMS)
一.什么是Web漏洞扫描工具 即是指"扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具",其中许多可能是由不安全或不正确的编 ...
- 10大Web漏洞扫描工具
Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版 ...
- 【安全工具】全!十大Web漏洞扫描工具
十大Web漏洞扫描工具 Acunetix Web Vulnerability Scanner[( 简称AwVS ) AwVS是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行 ...
- 2019年WEB漏洞扫描工具和软件前十名推荐
这些工具都有助于发现漏洞,从而最大限度地提高测试人员的时间和效率.这些工具,2019年更新,也可用于寻找漏洞. 为何扫描? 这资源是什么? Web应用程序对黑客具有极大的吸引力,并且出于百万种不同的原 ...
最新文章
- 【转】彻底解决matplotlib中文乱码问题
- NIPS 2016 Highlighted Papers
- php显示动态通告信息方式,Joomla PHP通知,警告和错误指南
- 大学生体测成绩判断c语言_体育改革瞄准高校,体测不过关可能真的毕不了业了...
- 如何将Springboot项目成功部署到linux服务器上?
- php ipg 透明,产品中心
- linux内核定时器 代码,Linux内核计时器
- java中vector,array,list,arraylist的区别
- 为什么我们公司强制弃坑Fastjson了?主推...
- 微信公共服务平台开发(.Net 的实现)5-------解决access_token过期的问题
- 郭盛华:揭秘多年来黑客入侵iPhone的情况
- 电脑硬盘坏了能修复吗?硬盘里面的数据恢复教程
- 什么是AVIF?如何在你的网站上使用AV1格式图像
- QPBOC交易流程详解--POS与卡片的数据交互进行分析
- HTML+CSS练习案例
- 带你一起用 ElasticStack 搞定 Wireshark 抓包数据可视化
- DBeaver连接(人大金仓/达梦)数据库 ,达梦、人大金仓数据库可视化工具
- 区块链媒体宣发的注意事项
- 计算机技术271,色准到令人发指,对标UP2716D的HKC B7000专业级显示器评测
- 富文本编辑器——百度UEditor插件Vue组件化