作家
登录
17滚动

最好用的开源Web漏扫工具梳理!神级程序员强推!

作者: 来源: 2017-12-04 14:13:21 阅读 我要评论

CTO练习营 | 12月3-5日,深圳,是时刻成为优良的技巧治理者了


赛门铁克2017年互联网安然威逼申报中提出在他们本年扫描的网站中,有76%都含有恶意软件。如不雅你在用WordPress,SUCURI的另一份申报也显示,跨越70%的被扫描网站也都存在一个或多个马脚。

如不雅你刚好是某个收集应用法度榜样的所有者,如何才能包管你的网站是安然的、不会泄漏敏感信息?

如不雅是基于云的安然解决筹划,那么可能只须要进行惯例漏扫。但如不雅不是,我们就必须履行例行扫描,采取须要的行动降低安然风险。

Arachni不仅能对根本的静态或CMS网站进行扫描,还可以或许做到对以下平台指纹信息((硬盘序列号和网卡物理地址))的辨认。且同时支撑主动检查和被动检查。

3. w3af

Windows、Solaris、Linux、BSD、Unix

XML

Nginx、Apache、Tomcat、IIS、Jetty

Java、Ruby、Python、ASP、PHP

Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

一般检测的马脚类型包含:

NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入

跨站请求捏造

路径遍历

本地/长途文件包含

Response splitting

跨站脚本

未验证的DOM重定向

源代码披露

别的,你可以选择输出HTML、XML、Text、JSON、YAML等格局的审计申报。

Arachni赞助我们以插件的情势将扫描范围扩大到更深层的级别。Arachni的具体介绍与下载地址:click here 。

一个有力的事实是,微软、斯坦福、摩托罗拉、Informatica等很多大年夜型企业机构都在用这款基于python的XSS(跨站脚本)马脚扫描器。它的编写者Faizan Ahmad才干出众,XssPy是一个异常智能的对象,不仅能检查主页或给定页面,还可以或许检查网站上的所有链接以及阁下。是以,XssPy的扫描异常过细且范围广泛。

w3af是一个大年夜2006年事尾开端的基于Python的开源项目,可用于Linux和Windows体系。w3af可以或许检测200多个马脚,包含OWASP top 10中提到的。

2. XssPy

w3af可以或许帮你将payload注入header、URL、cookies、字符串萌芽、post-data等,应用Web应用法度榜样进行审计,且支撑各类记录办法完成申报,例如:

CSV

HTML

Console

Text

Email

这个法度榜样建立在一个插件架构上,所有可用插件地址:click here 。

w3af下载地址:click here 。

信赖很多人对Nikto并不陌生,这是由Netsparker(专做web安然扫描器企业,总部坐标英国)赞助的开源项目,旨在发明Web办事器设备缺点、插件和Web马脚。Nikto对6500多个风险项目进行过综合测试。支撑HTTP代劳、SSL或NTLM身份验证等,还能肯定每个目标扫描的最大年夜履行时光。

Nikto也实用于Kali Linux。

4. Nikto

Nikto在企业内部收集解决筹划中查找web办事器安然风险的应用前景异常广阔。

下载地址:click here 。

5. Wfuzz

Wfuzz(Web Fuzzer)也是渗入渗出中会用到的应用法度榜样评估对象。它可以对任何字段的HTTP请求中的数据进行模糊处理,对Web应用法度榜样进行审查。

Wfuzz须要在被扫描的计算机上安装Python。具体的应用指南可拜见这个: 链接 。

应用PHP-SAT的PHP应用法度榜样测试

8. Vega

Vega由Subgraph开辟,Subgraph是一个用Java编写的多平台支撑对象,用于查找XSS,SQLi、RFI和很多其它的马脚。

Vega的图形用户界面相对来说比脚绫抢不雅。它可以经由过程特定的凭证登录某个应用后履行主动扫描。

如不雅你懂开辟,还可以应用vega API创建新的进击模块。

10. Grabber

当然很多付费扫描器功能会加倍周全、严谨,包含报表输出、戒备、具体的应急指南等等附加功能。

这也是一个做得不错的Python小对象。这里列举一些特点功能:

JavaScript源代码分析器

跨站点脚本、SQL注入、SQL盲注

11. Golismero

这是一个治理和运行Wfuzz、DNS recon、sqlmap、OpenVas、机械人分析器等一些风行安然对象的框架。

Golismero异常智能,可以或许整合其它对象的测试反馈,输出一个同一的结不雅。

 1/2    1 2 下一页 尾页

  推荐阅读

  马云、马化腾、李彦宏、库克齐聚乌镇,都说了啥?

CTO练习营 | 12月3-5日,深圳,是时刻成为优良的技巧治理者了谷歌 CEO 桑达尔·皮查伊表示,AI 正在改变我们工作的方法,也会带来新的岗亭,AI 也促进平易近主化,推动新工业概绫屈的到来,社会要>>>详细阅读


本文标题:最好用的开源Web漏扫工具梳理!神级程序员强推!

地址:http://www.17bianji.com/lsqh/39423.html

 1/2    1 

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

进入专栏
精彩导读
栏目ID=71的表不存在(操作类型=0)
科技快报
© 2013-2016 IT技术  京ICP备11016124号-4   

京公网安备 11011202000261号
网站介绍 合作联系 寻求报道 投稿指南 网站地图 XML地图