很多受欢迎的网站都曾遭到过黑客入侵而蒙受经济损失,web漏洞扫描器是一种软件程序,可在Web应用程序上执行自动黑盒测试并识别安全漏洞,扫描程序不访问源代码,只执行功能测试并尝试查找安全漏洞。
在这篇文章中,我们列出了14个免费开源Web应用程序漏洞扫描器,排名不分先后。
1.Grabber
Grabber是一款免费开源的Web应用程序扫描程序,可以检测Web应用程序中的大多数安全漏洞,可以检测以下漏洞:跨站脚本,SQL注入,Ajax测试,文件包含,JS源代码分析器,备份文件检查。
Grabbe仅用于测试小型Web应用程序,因为扫描大型应用程序需要花费太多时间。此工具不提供任何GUI界面,也无法创建任何PDF报告。该工具主要面向个人使用。
下载地址:https://github.com/neuroo/grabber
2.Vega
Vega是一个免费开源Web漏洞扫描程序和测试平台。使用此工具,您可以执行Web应用程序的安全性测试。该工具用Java编写,并提供基于GUI的环境,适用于OS X,Linux和Windows。
可用于查找SQL注入,标头注入,目录列表,shell注入,跨站点脚本,文件包含和其他Web应用程序漏洞。
下载地址:https://subgraph.com/vega/
3.Zed Attack Proxy
Zed Attack Proxy是开源的,由AWASP开发。适用于Windows,Unix / Linux和Macintosh平台。可用于在Web应用程序中查找各种漏洞,该工具简单易用。即使您不熟悉渗透测试,也可以轻松使用此工具开始学习Web应用程序的渗透测试。
ZAP包含以下关键功能:拦截代理,自动扫描仪,蜘蛛,模糊器,Web套接字支持,即插即用支持,身份验证支持,基于REST的API,动态SSL证书,智能卡和客户端数字证书支持。
下载地址:https://github.com/zaproxy/zaproxy
4.Wapiti
Wapiti是一个不错的Web漏洞扫描程序,可审核Web应用程序的安全性。通过扫描网页和注入数据来执行黑盒测试,尝试注入有效负载并查看脚本是否容易受到攻击,支持GET和POSTHTTP攻击并检测多个漏洞。
可以检测以下漏洞:文件披露,文件包含,跨站点脚本(XSS),命令执行检测,
CRLF注射,SEL注射和Xpath注射,.htaccess配置,备份文件披露等。
下载地址:http://wapiti.sourceforge.net/
5.W3af
W3af是一种流行的Web应用程序攻击和审计框架。该框架旨在提供更好的Web应用程序渗透测试平台,使用Python开发。通过使用此工具,您能够识别200多种Web应用程序漏洞,包括SQL注入,跨站点脚本和许多其他漏洞。
下载地址:http://w3af.org/
6.WebScarab
WebScarab是一个基于Java的安全框架,用于使用HTTP或HTTPS协议分析Web应用程序。使用可用的插件,可以扩展该工具的功能。此工具用作拦截代理。因此,您可以查看来自浏览器并转到服务器的请求和响应,还可以在服务器或浏览器收到请求或响应之前修改它们。
此工具不适合初学者,此工具专为那些对HTTP协议有很好理解并且可以编写代码的人而设计。
下载地址:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
7.Skipfish
Skipfish也是一个不错的Web应用程序安全工具。它抓取网站,然后检查每个页面是否存在各种安全威胁,然后准备最终报告。该工具用C语言编写。针对HTTP处理进行了高度优化,并且利用了最少的CPU。Skipfish声称每秒可以轻松处理2000个请求而无需在CPU上添加负载。
下载地址:https://code.google.com/archive/p/skipfish/
8.Ratproxy
Ratproxy也是一个开源Web应用程序安全审计工具,可用于查找Web应用程序中的安全漏洞。它支持Linux,FreeBSD,MacOS X和Windows(Cygwin)环境。
此工具旨在克服用户在使用其他代理工具进行安全审核时通常会遇到的问题。它能够区分CSS样式表和JavaScript代码。它还支持中间人攻击中的SSL人员,这意味着您还可以看到通过SSL传递的数据。
下载地址:https://code.google.com/archive/p/ratproxy/
9.SQLMap
SQLMap是一种开源渗透测试工具,它可以自动执行在网站数据库中查找和利用SQL注入漏洞的过程。它具有强大的检测引擎和一些有用的功能。因此,渗透测试人员可以轻松地在网站上执行SQL注入检查。
下载地址:https://github.com/sqlmapproject/sqlmap
10.Wfuzz
Wfuzz是一个免费开源的Web应用程序渗透测试工具,可用于强制GET和POST参数,以便针对SQL,XSS,LDAP等许多类型的注入进行测试。它还支持cookie模糊测试,多线程,SOCK,代理,身份验证,参数暴力破解,多代理等。
下载地址:https://github.com/xmendez/wfuzz
11.Grendel-Scan
Grendel-Scan是一个开源Web应用程序安全工具,是一种用于在Web应用程序中查找安全漏洞的自动工具。许多功能也可用于手动渗透测试。此工具适用于Windows,Linux和Macintosh,该工具用Java开发。
下载地址:https://sourceforge.net/projects/grendel/
12.Watcher
Watcher是一种被动的网络安全扫描程序,它不会攻击大量请求或爬网目标网站。它是Fiddler的附加组件,所以你需要先安装Fiddler然后安装Watcher才能使用它。
下载地址:http://websecuritytool.codeplex.com/
13.X5S
X5s也是Fiddler的一个附加组件,旨在提供一种查找跨站点脚本漏洞的方法。这不是一个自动工具,您需要手动查找注入点,然后检查XSS在应用程序中的位置。
下载地址:https://archive.codeplex.com/?p=xss
14.Arachni
Arachni是一个开源工具,专为提供渗透测试环境而开发。此工具可以检测各种Web应用程序安全漏洞。它可以检测各种漏洞,如SQL注入,XSS,本地文件包含,远程文件包含,未经验证的重定向等等。
下载地址:http://www.arachni-scanner.com/
结论
这是一些比较常见的开源Web应用程序安全测试工具,我尽力列出在线提供的所有工具。如果您想开始渗透测试,我建议使用为渗透测试创建的Linux发行版。