渗透测试常用WEB安全漏洞扫描工具集合
渗透测试阶段信息收集完成后,需根据所收集的信息,扫描目标站点可能存在的漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,然后通过这些已知的漏洞,寻找目标站点存在攻击的入口。那么今天我们就介绍几款常用的WEB应用漏洞扫描工具。
一、AWVS
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。在漏洞扫描实战过程中,一般会首选AWVS,因为这个能扫描出来的漏洞很多,而且使用比较简单。
点评:强大的漏洞扫描器,漏洞库大而全,可以说市面上最出色的漏洞扫描器
二、APPScan
IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
点评:AppScan 好处在于误报是最少的,相比WVS扫描更慢,建议配合使用
三、Nikto
Nikto是一款开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。Nikto可以在短时间内扫描服务器的多个端口,Nikto因其效率和服务器强化功能而受到青睐。
Nikto扫描器
点评:Nikto作为开源的漏洞扫描器,基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
四、OpenVAS
OpenVAS(开放式漏洞评估系统)是一个客户端/服务器架构,它常用来评估目标主机上的漏洞。OpenVAS是Nessus开始收费后,独立出来的一个开源的扫描器,OpenVAS默认安装在标准的Kali Linux上。
点评:OpenVAS具有强大的系统和设备扫描器,缺点是扫描速度慢,占用磁盘空间较大。
五、Xray
Xray是一款功能强大的安全评估工具,检测速度快(发包速度快,漏洞检测算法高效);支持范围广(大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持);编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
Xray支持的漏洞检测类型包括XSS漏洞检测 (key: xss)、SQL 注入检测 (key: sqldet)、命令/代码注入检测 (key: cmd-injection)、目录枚举 (key: dirscan)、路径穿越检测 (key: path-traversal)、XML 实体注入检测 (key: xxe)、文件上传检测 (key: upload)、弱口令检测 (key: brute-force)、jsonp 检测 (key: jsonp)、ssrf 检测 (key: ssrf)、基线检查 (key: baseline)、任意跳转检测 (key: redirect)、CRLF 注入 (key: crlf-injection)、Struts2 系列漏洞检测 (高级版key: struts)、Thinkphp系列漏洞检测 (高级版key: thinkphp)、POC 框架 (key: phantasm)。
点评:Xray是一款基于Go语言开发的漏洞扫描器,支持导入poc扫描,不过团队对poc的质量要求很高,导致现在poc数量比较少
以上五款WEB应用漏洞扫描工具是日常工作较为实用的扫描器,大家有更好的工具欢迎评论区留言。
-END-
渗透测试常用WEB安全漏洞扫描工具集合相关推荐
- 网站漏洞扫描软件wrbscanner_用于渗透测试的10种漏洞扫描工具
漏洞扫描工具是IT部门中必不可少的工具之一,因为漏洞每天都会出现,给企业带来安全隐患. 漏洞扫描工具有助于检测安全漏洞.应用程序.操作系统.硬件和网络系统. 黑客在不停的寻找漏洞,并且利用它们谋取利益 ...
- 用于渗透测试的10种漏洞扫描工具
漏洞扫描工具是IT部门中必不可少的工具之一,因为漏洞每天都会出现,给企业带来安全隐患. 漏洞扫描工具有助于检测安全漏洞.应用程序.操作系统.硬件和网络系统. 黑客在不停的寻找漏洞,并且利用它们谋取利益 ...
- 2022渗透测试-推荐一款漏洞扫描工具-AWVS安装与使用
目录 AWVS简介 AWVS功能介绍 AWVS的安装 AWVS的使用 大家可以关注关注我的公众号 定期分享一些干货 直接搜索-小白渗透测试,或者扫描下面的二维码就可以了 AWVS简介 AWVS是一个自 ...
- 十大Web服务器漏洞扫描工具
[收藏]十大Web服务器漏洞扫描工具 现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任.但是巧妇难为无米之炊,该选择哪些安全工具呢? ...
- java 漏洞扫描 开源_有哪些开源web应用漏洞扫描工具?
学习的话推荐你看看这块扫描器:backslash-powered-scannerPortSwigger/backslash-powered-scannergithub.com 现有的web扫描器通过 ...
- Netsparker超轻量级Web安全漏洞扫描工具使用教程介绍
有特征 此工具分为收费版本和绿色版本 绿色版本也是很强大的 一 .Netsparker工具简介 Netsparker是一款综合型的web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强 ...
- 开源web漏洞扫描工具集合
*参考来源:geekflare,FB小编柚子编译,转载请注明来自FreeBuf.COM 赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都含有恶意软件.如果你在用WordPr ...
- 十大Web网站漏洞扫描工具
1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250 多个服务器上的版本特定问题)进行全面 ...
- 【收藏】十大Web服务器漏洞扫描工具
现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任.但是巧妇难为无米之炊,该选择哪些安全工具呢? 扫描程序可以在帮助造我们造就安全的W ...
最新文章
- 使用迭代器遍历List的时候修改List报ConcurrentModificationException异常原因分析
- paloalto防火墙版本升级
- 企业网站建设|优秀的网站都是靠这些细节做成功的
- 什么是线程池,连接池,线程池和连接池之间的区别
- cmd复制.java并合并为.txt
- RME二次开发之“修改矩形风管为圆形风管”即实现“天圆地方”连接。
- P2241 统计方形(数据加强版)-- 70分 python3实现
- 天津理工大学计算机考研录取名单,2020年天津理工大学硕士研究生拟录取名单公示...
- Uploadify—借助Uploadify插件实现图片预览时如何解决Chrome浏览器报“喔唷,崩溃啦”
- P-6002-10PK,P-6002-2PK脂质研究工具解析
- cropper裁剪图片并上传
- 常识——手机当作无线网卡,通过usb与电脑共享网络,让电脑网卡支持5g网络
- 微软.NET平台OA办公解决方案
- Java 第三阶段增强分析需求,代码实现能力【满汉楼】
- js随机飘动的广告图片代码demo效果示例(整理)
- 【03】Linux笔记
- LaTeX局部改变字体类型
- 笔记本光驱拆解——让整个世界变得安静
- 财报汇总 | 可口可乐、埃森哲、圆通、海亮教育等9家企业发布业绩
- iOS动画之转场动画CATransition
热门文章
- 计算机的领域展望,计算机应用基础领域展望
- 关于起伏地形的数据集整理
- 多进程、多线程的适用场景
- 【OpenCV DNN】Flask 视频监控目标检测教程 07
- The Power of H3D2, 截图,视频! 少女时代 gee gee gee
- 云队友丨“悟空”倒下,知乎难安
- Linux如何更换Jenkins工作空间
- IntellJ IDEA 基础之 一些常用插件plugin 简单整理 (辅助提高编写代码效率)
- Numpy数据分析模块实训-【根据“某门课程平时成绩和期末考试成绩.csv”内容,计算课程的平时成绩和期末考试成绩的均值、标准差、方差、最小值、最大值,输出期末考试比平时成绩高的学生名单,并输出期末】
- 基于51单片机的智能计算器