web漏洞扫描-搬家工

web漏洞扫描器

很多受欢迎的网站都曾遭到过黑客入侵而蒙受经济损失，web漏洞扫描器是一种软件程序，可在Web应用程序上执行自动黑盒测试并识别安全漏洞，扫描程序不访问源代码，只执行功能测试并尝试查找安全漏洞。

1.Grabber

Grabber是一款免费开源的Web应用程序扫描程序，可以检测Web应用程序中的大多数安全漏洞，可以检测以下漏洞：跨站脚本，SQL注入，Ajax测试，文件包含，JS源代码分析器，备份文件检查。

Grabbe仅用于测试小型Web应用程序，因为扫描大型应用程序需要花费太多时间。此工具不提供任何GUI界面，也无法创建任何PDF报告。该工具主要面向个人使用。

下载地址：https://github.com/neuroo/grabber

2.Vega

Vega是一个免费开源Web漏洞扫描程序和测试平台。使用此工具，您可以执行Web应用程序的安全性测试。该工具用Java编写，并提供基于GUI的环境，适用于OS X，Linux和Windows。

可用于查找SQL注入，标头注入，目录列表，shell注入，跨站点脚本，文件包含和其他Web应用程序漏洞。

下载地址：https://subgraph.com/vega/

3.Zed Attack Proxy

Zed Attack Proxy是开源的，由AWASP开发。适用于Windows，Unix / Linux和Macintosh平台。可用于在Web应用程序中查找各种漏洞，该工具简单易用。即使您不熟悉渗透测试，也可以轻松使用此工具开始学习Web应用程序的渗透测试。

ZAP包含以下关键功能：拦截代理，自动扫描仪，蜘蛛，模糊器，Web套接字支持，即插即用支持，身份验证支持，基于REST的API，动态SSL证书，智能卡和客户端数字证书支持。

下载地址：https://github.com/zaproxy/zaproxy

4.Wapiti

Wapiti是一个不错的Web漏洞扫描程序，可审核Web应用程序的安全性。通过扫描网页和注入数据来执行黑盒测试，尝试注入有效负载并查看脚本是否容易受到攻击，支持GET和POSTHTTP攻击并检测多个漏洞。

可以检测以下漏洞：文件披露，文件包含，跨站点脚本（XSS），命令执行检测，

CRLF注射，SEL注射和Xpath注射，.htaccess配置，备份文件披露等。

下载地址：http://wapiti.sourceforge.net/

5.W3af

W3af是一种流行的Web应用程序攻击和审计框架。该框架旨在提供更好的Web应用程序渗透测试平台，使用Python开发。通过使用此工具，您能够识别200多种Web应用程序漏洞，包括SQL注入，跨站点脚本和许多其他漏洞。

下载地址：http://w3af.org/

6.WebScarab

WebScarab是一个基于Java的安全框架，用于使用HTTP或HTTPS协议分析Web应用程序。使用可用的插件，可以扩展该工具的功能。此工具用作拦截代理。因此，您可以查看来自浏览器并转到服务器的请求和响应，还可以在服务器或浏览器收到请求或响应之前修改它们。

此工具不适合初学者，此工具专为那些对HTTP协议有很好理解并且可以编写代码的人而设计。

下载地址：https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

7.Skipfish

Skipfish也是一个不错的Web应用程序安全工具。它抓取网站，然后检查每个页面是否存在各种安全威胁，然后准备最终报告。该工具用C语言编写。针对HTTP处理进行了高度优化，并且利用了最少的CPU。Skipfish声称每秒可以轻松处理2000个请求而无需在CPU上添加负载。

下载地址：https://code.google.com/archive/p/skipfish/

8.Ratproxy

Ratproxy也是一个开源Web应用程序安全审计工具，可用于查找Web应用程序中的安全漏洞。它支持Linux，FreeBSD，MacOS X和Windows（Cygwin）环境。

此工具旨在克服用户在使用其他代理工具进行安全审核时通常会遇到的问题。它能够区分CSS样式表和JavaScript代码。它还支持中间人攻击中的SSL人员，这意味着您还可以看到通过SSL传递的数据。

下载地址：https://code.google.com/archive/p/ratproxy/

9.SQLMap

SQLMap是一种开源渗透测试工具，它可以自动执行在网站数据库中查找和利用SQL注入漏洞的过程。它具有强大的检测引擎和一些有用的功能。因此，渗透测试人员可以轻松地在网站上执行SQL注入检查。

下载地址：https://github.com/sqlmapproject/sqlmap

10.Wfuzz

Wfuzz是一个免费开源的Web应用程序渗透测试工具，可用于强制GET和POST参数，以便针对SQL，XSS，LDAP等许多类型的注入进行测试。它还支持cookie模糊测试，多线程，SOCK，代理，身份验证，参数暴力破解，多代理等。

下载地址：https://github.com/xmendez/wfuzz

11.Grendel-Scan

Grendel-Scan是一个开源Web应用程序安全工具，是一种用于在Web应用程序中查找安全漏洞的自动工具。许多功能也可用于手动渗透测试。此工具适用于Windows，Linux和Macintosh，该工具用Java开发。

下载地址：https://sourceforge.net/projects/grendel/

12.Watcher

Watcher是一种被动的网络安全扫描程序，它不会攻击大量请求或爬网目标网站。它是Fiddler的附加组件，所以你需要先安装Fiddler然后安装Watcher才能使用它。

下载地址：http://websecuritytool.codeplex.com/

13.X5S

X5s也是Fiddler的一个附加组件，旨在提供一种查找跨站点脚本漏洞的方法。这不是一个自动工具，您需要手动查找注入点，然后检查XSS在应用程序中的位置。

下载地址：https://archive.codeplex.com/?p=xss

14.Arachni

Arachni是一个开源工具，专为提供渗透测试环境而开发。此工具可以检测各种Web应用程序安全漏洞。它可以检测各种漏洞，如SQL注入，XSS，本地文件包含，远程文件包含，未经验证的重定向等等。

下载地址：http://www.arachni-scanner.com/

web漏洞扫描-搬家工相关推荐

自研分布式web漏洞扫描平台WDScanner
WDScanner 为了能在漏洞爆发后快速形成漏洞检测能力,同时能对网站或主机进行全面快速的安全检测,Tide安全团队(www.tidesec.net)开发了一套简单易用的分布式web漏洞检测系统WD ...
4-3-2 扫描技术（Web漏洞扫描）
4-3-2 扫描技术(Web漏洞扫描) 网络漏洞扫描指的是利用一些自动化工具发现网路上各类主机设备的安全漏洞.这些自动化工具通常称为Web漏洞扫描器.我们可以通过网络漏洞扫描,全面掌握目标服务器存在的 ...
Web漏洞扫描（三：Burp Suite的基本操作）
任务二.Burp Suite基础Proxy功能: 2.1.在Kali虚拟机中打开Burp Suite工具并设置,打开"Proxy"选项卡,选中"Options" ...
Web漏洞扫描工具（批量脱壳、反序列化、CMS）
一.什么是Web漏洞扫描工具即是指"扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具",其中许多可能是由不安全或不正确的编 ...
10、 WMAP Web漏洞扫描
一.Wmap简介 Wmap本身不是一个独立的漏洞扫描器,而是作为Metasploit的一个模块,结合web漏洞和web服务相关的模块协同工作,完成目标服务器的扫描.也就是说,如果我们想要使用Wmap ...
Web 漏洞扫描工具 AppScan 和 AWVS 使用方式
Web 漏洞扫描工具 AppScan 和 AWVS 使用方式文章目录 Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 0x01 AppScan 基本操作 1.AppScan 简介 1. ...
Acunetix WVS安装、破解+Web漏洞扫描
云安全Web漏洞扫描一.试验要求二.试验目的三.试验环境四.试验内容任务一 Acunetix WVS安装任务二 Acunetix wVS的基本使用一.试验要求 1.掌握web扫描的概念. ...
网络 /Web漏洞扫描
目录网络漏洞扫描 OpenVAS 的安装 OpenVAS 的使⽤ Web 漏洞扫描 AWVS AWVS 的使⽤: 创建扫描⽬标创建扫描任务开启扫描任务导出扫描报告通过网络漏洞扫描,全面掌握目 ...
10大Web漏洞扫描工具
Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版 ...

web漏洞扫描-搬家工

web漏洞扫描-搬家工相关推荐

最新文章

热门文章