Arachnin能适用于下面的平台和措辞
Windows, Solaris, Linux, BSD, UnixNginx, Apache, Tomcat, IIS, JettyJava, Ruby, Python, ASP, PHPDjango, Rails, CherryPy, CakePHP, http://ASP.NET MVC, Symfony漏洞检测有下面这些:
可以选择利用HTML,XML,文本,JSON,YAML等格式的审计报告,Arachni可以利用插件将扫描范围扩展到下一个级别
一个基于Python的XSS(跨站脚本)漏洞扫描器
3. w3afw3af,从2006开始利用python开拓的开源项目,可以用在window和linux环境下。
w3af可以将有效载荷注入到标题,URL,cookie,查询字符串,后期数据等,以利用Web运用程序进行审计。它支持各种记录方法进行报告。例如:
CSVHTMLConsoleTextXMLEmail更多的功能可利用插件库
4. NiktoNetsparker资助的开源项目旨在创造Web做事器的配置缺点,插件和网页漏洞。Nikto对6500多个风险项目进行综合测试。
它支持HTTP代理,SSL,或NTLM身份验证等,并可以定义每个目标扫描的最大实行韶光。
Nikola也可以在Kali Linux中利用
它看起来很有希望用于Intranet办理方案来查找Web做事器的安全风险
5. WfuzzWfuzz(Web Fuzzer)是针对渗透测试的运用程序评估工具。您可以对任何字段的HTTP要求中的数据进行模糊处理,以利用该Web运用程序并审核Web运用程序。Wfuzz须要在要运行扫描的打算机上安装Python。
6. OWASP ZAPZAP(Zet Attack Proxy)是环球数百名志愿者积极更新的着名渗透测试工具之一。它是跨平台的基于Java的工具,可以在Raspberry Pi上运行。ZIP位于浏览器和Web运用程序之间,用于拦截和检讨
下面的一些值得一提的是ZAP的功能。
FuzzerAutomated & passive scannerSupports multiple scripting languagesForced browsing强烈建议查看OWASP ZAP教程视频来学习
7. WapitiWapiti扫描给定目标的网页,并探求脚本和表单来注入数据,看看是否有漏洞。它不是一个源代码安全检讨,而是实行黑盒扫描。
它支持GET和POST HTTP方法,HTTP和HTTPS代理,多个认证等。
8. VegaVega由Subgraph开拓,Subgraph是一个用Java编写的多平台支持工具,用于查找XSS,SQLi,RFI和许多其他漏洞。维加有良好的图形用户界面,并能够通过登录到具有给定凭据的运用程序来实行自动扫描。
如果您是开拓职员,则可以利用vega API创建新的攻击模块
9. SQLmap利用SQLmap可以对数据库实行渗透测试来创造毛病。
它适用于任何操作系统上的Python 2.6或2.7。如果你正在探求SQL注入和利用数据库,那么sqlmap会有帮助。
10. Grabber它是基于Python的小工具,并且做得很不错。一些Grabber的功能是:
JavaScript源代码剖析器 跨站点脚本,SQL注入,盲注SQL PHP运用程序测试利用PHP-SAT11. Golismero管理和运行Wfuzz,DNS recon,sqlmap,OpenVas,机器人剖析器等一些盛行安全工具的框架。
Golismero非常棒,它可以巩固来自其他工具的测试反馈,并合并显示一个单一的结果。
12. OWASP Xenotix XSSOWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高等框架。它内置了三个智能模糊器,用于快速扫描和改进结果。
它有数百个功能,我们可以看看这里列出的所有。
网络安全对付在线业务至关主要,我希望上面列出的免费/开源漏洞扫描程序可以帮助您找到风险,以便在有人利用此漏洞之前减微风险
