如果是基于云的安全办理方案,那么可能只须要进行常规漏扫。但如果不是,我们就必须实行例行扫描,采纳必要的行动降落安全风险。
下面推举几款免费的扫描器。
Arachni是一款基于Ruby框架搭建的高性能安全扫描程序,适用于当代Web运用程序。可用于Mac、Windows及Linux系统的可移植二进制文件。
Arachni不仅能对基本的静态或CMS网站进行扫描,还能够做到对以下平台指纹信息((硬盘序列号和网卡物理地址))的识别。且同时支持主动检讨和被动检讨。
Windows、Solaris、Linux、BSD、UnixNginx、Apache、Tomcat、IIS、JettyJava、Ruby、Python、ASP、PHPDjango、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony一样平常检测的漏洞类型包括:
NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入跨站要求假造路径遍历本地/远程文件包含Response splitting跨站脚本未验证的DOM重定向源代码表露其余,你可以选择输出HTML、XML、Text、JSON、YAML等格式的审计报告。
Arachni帮助我们以插件的形式将扫描范围扩展到更深层的级别。
2. XssPy一个有力的事实是,微软、斯坦福、摩托罗拉、Informatica等很多大型企业机构都在用这款基于python的XSS(跨站脚本)漏洞扫描器。它的编写者Faizan Ahmad才华出众,XssPy是一个非常智能的工具,不仅能检讨主页或给定页面,还能够检讨网站上的所有链接以及子域。因此,XssPy的扫描非常细致且范围广泛。
3. w3afw3af是一个从2006年年底开始的基于Python的开源项目,可用于Linux和Windows系统。w3af能够检测200多个漏洞,包括OWASP top 10中提到的。这个程序建立在一个插件架构上的。
w3af能够帮你将payload注入header、URL、cookies、字符串查询、post-data等,利用Web运用程序进行审计,且支持各种记录方法完成报告,例如:
CSVHTMLConsoleTextXMLEmail4. Nikto相信很多人对Nikto并不陌生,这是由Netsparker(专做web安全扫描器企业,总部坐标英国)资助的开源项目,旨在创造Web做事器配置缺点、插件和Web漏洞。Nikto对6500多个风险项目进行过综合测试。支持HTTP代理、SSL或NTLM身份验证等,还能确定每个目标扫描的最大实行韶光。
Nikto也适用于Kali Linux,在企业内部网络办理方案中查找web做事器安全风险的运用前景非常广阔。
5. WfuzzWfuzz(Web Fuzzer)也是渗透中会用到的运用程序评估工具。它可以对任何字段的HTTP要求中的数据进行模糊处理,对Web运用程序进行审查。
Wfuzz须要在被扫描的打算机上安装Python。
6. OWASP ZAPZAP(Zet Attack Proxy)是环球数百名志愿者程序员在积极更新掩护的著名渗透测试工具之一。它是一款跨平台的Java工具,乃至都可以在Raspberry Pi上运行。ZAP在浏览器和Web运用程序之间拦截和检讨。
ZAP值得一提的优秀功能:
Fuzzer自动与被动扫描支持多种脚本措辞Forced browsing(逼迫浏览)7. WapitiWapiti扫描特定的目标网页,探求能够注入数据的脚本和表单,从而验证个中是否存在漏洞。它不是对源代码的安全检讨,而是实行黑盒扫描。
如果你懂开拓,还可以利用vega API创建新的攻击模块。
9. SQLmap顾名思义,我们可以借助sqlmap对数据库进行渗透测试和漏洞查找。
支持所有操作系统上的Python 2.6或2.7。如果你正在查找SQL注入和数据库漏洞利用,sqlmap是一个好助手。
10. Grabber这也是一个做得不错的Python小工具。这里列举一些特色功能:
JavaScript源代码剖析器跨站点脚本、SQL注入、SQL盲注利用PHP-SAT的PHP运用程序测试11. Golismero这是一个管理和运行Wfuzz、DNS recon、sqlmap、OpenVas、机器人剖析器等一些盛行安全工具的框架。
Golismero非常智能,能够整合其它工具的测试反馈,输出一个统一的结果。
12. OWASP Xenotix XSSOWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高等框架,内置了三个智能模糊器,用于快速扫描和结果优化。
这款工具有上百个功能;网络安全对付在线业务至关主要,希望上面这些免费的漏扫程序能够帮助各位读者及时创造风险,在被恶意职员利用之前即完成漏洞修复。
转载自:FreeBuf.com
