渗透测试阶段信息收集完成后,需根据所收集的信息,扫描目标站点可能存在的漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,然后通过这些已知的漏洞,寻找目标站点存在攻击的入口。那么今天我们就介绍几款常用的WEB应用漏洞扫描工具。

一、AWVS

Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。在漏洞扫描实战过程中,一般会首选AWVS,因为这个能扫描出来的漏洞很多,而且使用比较简单。

点评:强大的漏洞扫描器,漏洞库大而全,可以说市面上最出色的漏洞扫描器

二、APPScan

IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

点评:AppScan 好处在于误报是最少的,相比WVS扫描更慢,建议配合使用

三、Nikto

Nikto是一款开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。Nikto可以在短时间内扫描服务器的多个端口,Nikto因其效率和服务器强化功能而受到青睐。

Nikto扫描器

点评:Nikto作为开源的漏洞扫描器,基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。

四、OpenVAS

OpenVAS(开放式漏洞评估系统)是一个客户端/服务器架构,它常用来评估目标主机上的漏洞。OpenVAS是Nessus开始收费后,独立出来的一个开源的扫描器,OpenVAS默认安装在标准的Kali Linux上。

点评:OpenVAS具有强大的系统和设备扫描器,缺点是扫描速度慢,占用磁盘空间较大。

五、Xray

Xray是一款功能强大的安全评估工具,检测速度快(发包速度快,漏洞检测算法高效);支持范围广(大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持);编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。

Xray支持的漏洞检测类型包括XSS漏洞检测 (key: xss)、SQL 注入检测 (key: sqldet)、命令/代码注入检测 (key: cmd-injection)、目录枚举 (key: dirscan)、路径穿越检测 (key: path-traversal)、XML 实体注入检测 (key: xxe)、文件上传检测 (key: upload)、弱口令检测 (key: brute-force)、jsonp 检测 (key: jsonp)、ssrf 检测 (key: ssrf)、基线检查 (key: baseline)、任意跳转检测 (key: redirect)、CRLF 注入 (key: crlf-injection)、Struts2 系列漏洞检测 (高级版key: struts)、Thinkphp系列漏洞检测 (高级版key: thinkphp)、POC 框架 (key: phantasm)。

点评:Xray是一款基于Go语言开发的漏洞扫描器,支持导入poc扫描,不过团队对poc的质量要求很高,导致现在poc数量比较少

以上五款WEB应用漏洞扫描工具是日常工作较为实用的扫描器,大家有更好的工具欢迎评论区留言。

-END-

渗透测试常用WEB安全漏洞扫描工具集合相关推荐

  1. 网站漏洞扫描软件wrbscanner_用于渗透测试的10种漏洞扫描工具

    漏洞扫描工具是IT部门中必不可少的工具之一,因为漏洞每天都会出现,给企业带来安全隐患. 漏洞扫描工具有助于检测安全漏洞.应用程序.操作系统.硬件和网络系统. 黑客在不停的寻找漏洞,并且利用它们谋取利益 ...

  2. 用于渗透测试的10种漏洞扫描工具

    漏洞扫描工具是IT部门中必不可少的工具之一,因为漏洞每天都会出现,给企业带来安全隐患. 漏洞扫描工具有助于检测安全漏洞.应用程序.操作系统.硬件和网络系统. 黑客在不停的寻找漏洞,并且利用它们谋取利益 ...

  3. 2022渗透测试-推荐一款漏洞扫描工具-AWVS安装与使用

    目录 AWVS简介 AWVS功能介绍 AWVS的安装 AWVS的使用 大家可以关注关注我的公众号 定期分享一些干货 直接搜索-小白渗透测试,或者扫描下面的二维码就可以了 AWVS简介 AWVS是一个自 ...

  4. 十大Web服务器漏洞扫描工具

    [收藏]十大Web服务器漏洞扫描工具 现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任.但是巧妇难为无米之炊,该选择哪些安全工具呢? ...

  5. java 漏洞扫描 开源_有哪些开源web应用漏洞扫描工具?

    学习的话推荐你看看这块扫描器:backslash-powered-scannerPortSwigger/backslash-powered-scanner​github.com 现有的web扫描器通过 ...

  6. Netsparker超轻量级Web安全漏洞扫描工具使用教程介绍

    有特征 此工具分为收费版本和绿色版本 绿色版本也是很强大的 一 .Netsparker工具简介 Netsparker是一款综合型的web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强 ...

  7. 开源web漏洞扫描工具集合

    *参考来源:geekflare,FB小编柚子编译,转载请注明来自FreeBuf.COM 赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都含有恶意软件.如果你在用WordPr ...

  8. 十大Web网站漏洞扫描工具

    1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250 多个服务器上的版本特定问题)进行全面 ...

  9. 【收藏】十大Web服务器漏洞扫描工具

    现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任.但是巧妇难为无米之炊,该选择哪些安全工具呢? 扫描程序可以在帮助造我们造就安全的W ...

最新文章

  1. 使用迭代器遍历List的时候修改List报ConcurrentModificationException异常原因分析
  2. paloalto防火墙版本升级
  3. 企业网站建设|优秀的网站都是靠这些细节做成功的
  4. 什么是线程池,连接池,线程池和连接池之间的区别
  5. cmd复制.java并合并为.txt
  6. RME二次开发之“修改矩形风管为圆形风管”即实现“天圆地方”连接。
  7. P2241 统计方形(数据加强版)-- 70分 python3实现
  8. 天津理工大学计算机考研录取名单,2020年天津理工大学硕士研究生拟录取名单公示...
  9. Uploadify—借助Uploadify插件实现图片预览时如何解决Chrome浏览器报“喔唷,崩溃啦”
  10. P-6002-10PK,P-6002-2PK脂质研究工具解析
  11. cropper裁剪图片并上传
  12. 常识——手机当作无线网卡,通过usb与电脑共享网络,让电脑网卡支持5g网络
  13. 微软.NET平台OA办公解决方案
  14. Java 第三阶段增强分析需求,代码实现能力【满汉楼】
  15. js随机飘动的广告图片代码demo效果示例(整理)
  16. 【03】Linux笔记
  17. LaTeX局部改变字体类型
  18. 笔记本光驱拆解——让整个世界变得安静
  19. 财报汇总 | 可口可乐、埃森哲、圆通、海亮教育等9家企业发布业绩
  20. iOS动画之转场动画CATransition

热门文章

  1. 计算机的领域展望,计算机应用基础领域展望
  2. 关于起伏地形的数据集整理
  3. 多进程、多线程的适用场景
  4. 【OpenCV DNN】Flask 视频监控目标检测教程 07
  5. The Power of H3D2, 截图,视频! 少女时代 gee gee gee
  6. 云队友丨“悟空”倒下,知乎难安
  7. Linux如何更换Jenkins工作空间
  8. IntellJ IDEA 基础之 一些常用插件plugin 简单整理 (辅助提高编写代码效率)
  9. Numpy数据分析模块实训-【根据“某门课程平时成绩和期末考试成绩.csv”内容,计算课程的平时成绩和期末考试成绩的均值、标准差、方差、最小值、最大值,输出期末考试比平时成绩高的学生名单,并输出期末】
  10. 基于51单片机的智能计算器