很多受欢迎的网站都曾遭到过黑客入侵而蒙受经济损失,web缝隙扫描器是一种软件程序,可在Web运用程序上履行主动黑盒测验并识别安全缝隙,扫描程序不访问源代码,只履行功用测验并测验查找安全缝隙。
在这篇文章中,我们列出了14个免费开源Web运用程序缝隙扫描器,排名不分先后。
1.Grabber
Grabber是一款免费开源的Web运用程序扫描程序,能够检测Web运用程序中的大多数安全缝隙,能够检测以下缝隙:跨站脚本,SQL注入,Ajax测验,文件包括,JS源代码分析器,备份文件查看。
Grabbe仅用于测验小型Web运用程序,因为扫描大型运用程序需求花费太多时间。此东西不供给任何GUI界面,也无法创立任何PDF陈述。该东西主要面向个人运用。
下载地址:http://github.com/neuroo/grabber
2.Vega
Vega是一个免费开源Web缝隙扫描程序和测验渠道。运用此东西,您能够履行Web运用程序的安全性测验。该东西用Java编写,并供给根据GUI的环境,适用于OS X,Linux和Windows。
可用于查找SQL注入,标头注入,目录列表,shell注入,跨站点脚本,文件包括和其他Web运用程序缝隙。
下载地址:http://subgraph.com/vega/
3.Zed Attack Proxy
Zed Attack Proxy是开源的,由AWASP开发。适用于Windows,Unix / Linux和Macintosh渠道。可用于在Web运用程序中查找各种缝隙,该东西简单易用。即便您不了解浸透测验,也能够轻松运用此东西开端学习Web运用程序的浸透测验。
ZAP包括以下关键功用:阻拦署理,主动扫描仪,蜘蛛,含糊器,Web套接字支撑,即插即用支撑,身份验证支撑,根据REST的API,动态SSL证书,智能卡和客户端数字证书支撑。
下载地址:http://github.com/zaproxy/zaproxy
4.Wapiti
wapiti
Wapiti是一个不错的Web缝隙扫描程序,可审核Web运用程序的安全性。通过扫描网页和注入数据来履行黑盒测验,测验注入有效负载并查看脚本是否容易遭到进犯,支撑GET和POSTHTTP进犯并检测多个缝隙。
能够检测以下缝隙:文件披露,文件包括,跨站点脚本(XSS),命令履行检测,
CRLF打针,SEL打针和Xpath打针,.htaccess装备,备份文件披露等。
下载地址:http://wapiti.sourceforge.net/
5.W3af
W3af
W3af是一种流行的Web运用程序进犯和审计结构。该结构旨在供给更好的Web运用程序浸透测验渠道,运用Python开发。通过运用此东西,您能够识别200多种Web运用程序缝隙,包括SQL注入,跨站点脚本和许多其他缝隙。
下载地址:http://w3af.org/
6.WebScarab
WebScarab是一个根据Java的安全结构,用于运用HTTP或HTTPS协议分析Web运用程序。运用可用的插件,能够扩展该东西的功用。此东西用作阻拦署理。因此,您能够查看来自浏览器并转到服务器的恳求和呼应,还能够在服务器或浏览器收到恳求或呼应之前修改它们。
此东西不适合初学者,此东西专为那些对HTTP协议有很好理解而且能够编写代码的人而规划。
下载地址:http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
7.Skipfish
Skipfish
Skipfish也是一个不错的Web运用程序安全东西。它抓取网站,然后查看每个页面是否存在各种安全要挟,然后预备终究陈述。该东西用C语言编写。针对HTTP处理进行了高度优化,而且利用了最少的CPU。Skipfish声称每秒能够轻松处理2000个恳求而无需在CPU上增加负载。
下载地址:http://code.google.com/archive/p/skipfish/
8.Ratproxy
Skipfish
Ratproxy也是一个开源Web运用程序安全审计东西,可用于查找Web运用程序中的安全缝隙。它支撑Linux,FreeBSD,MacOS X和Windows(Cygwin)环境。
此东西旨在克服用户在运用其他署理东西进行安全审核时通常会遇到的问题。它能够区别CSS样式表和JavaScript代码。它还支撑中间人进犯中的SSL人员,这意味着您还能够看到通过SSL传递的数据。
下载地址:http://code.google.com/archive/p/ratproxy/
9.SQLMap
SQLMap是一种开源浸透测验东西,它能够主动履行在网站数据库中查找和利用SQL注入缝隙的进程。它具有强大的检测引擎和一些有用的功用。因此,浸透测验人员能够轻松地在网站上履行SQL注入查看。
下载地址:http://github.com/sqlmapproject/sqlmap
10.Wfuzz
Wfuzz是一个免费开源的Web运用程序浸透测验东西,可用于强制GET和POST参数,以便针对SQL,XSS,LDAP等许多类型的注入进行测验。它还支撑cookie含糊测验,多线程,SOCK,署理,身份验证,参数暴力破解,多署理等。
下载地址:http://github.com/xmendez/wfuzz
11.Grendel-Scan
Grendel-Scan
Grendel-Scan是一个开源Web运用程序安全东西,是一种用于在Web运用程序中查找安全缝隙的主动东西。许多功用也可用于手动浸透测验。此东西适用于Windows,Linux和Macintosh,该东西用Java开发。
下载地址:http://sourceforge.net/projects/grendel/
12.Watcher
Watcher是一种被动的网络安全扫描程序,它不会进犯很多恳求或爬网方针网站。它是Fiddler的附加组件,所以你需求先装置Fiddler然后装置Watcher才干运用它。
下载地址:http://websecuritytool.codeplex.com/
13.X5S
X5s也是Fiddler的一个附加组件,旨在供给一种查找跨站点脚本缝隙的办法。这不是一个主动东西,您需求手动查找注入点,然后查看XSS在运用程序中的位置。
下载地址:http://archive.codeplex.com/?p=xss
14.Arachni
Arachni
Arachni是一个开源东西,专为供给浸透测验环境而开发。此东西能够检测各种Web运用程序安全缝隙。它能够检测各种缝隙,如SQL注入,XSS,本地文件包括,远程文件包括,未经验证的重定向等等。
下载地址:http://www.arachni-scanner.com/
如果你觉得不错,不如打赏一下!
评论已关闭