Sophia
web漏洞扫描 漏洞扫描

有哪些开源 Web 应用漏洞扫描工具

分享
回答 1
浏览 243
  • 帅末 2
    帅末2

    漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。

    漏洞扫描要借助漏洞扫描工具:

    • Grabber

    Grabber是Kali Linux集成的一款Web应用扫描工具。该工具适合中小Web应用,如个人博客、论坛等。该工具使用Python语言编写,支持常见的漏洞检测,如XSS、SQL注入、文件包含、备份文件检测、Ajax检测、Crytal Ball检测等功能。该工具只进行扫描,不实施漏洞利用。由于功能简单,所以使用非常方便,用户只要指定扫描目标和检测项目后,就可以进行扫描了。

    • Paros

    Paros 是一种利用纯 java 语言开发的安全漏洞扫描工具,它主要是为了满足那些需要对自己的 web 应用程序进行安全检测的应用者而设计的。通过 Paros 的本地代理,所有在客户端与服务器端之间的 http 和 https 数据信息,包括 cookie 和表单信息都将被拦截或者是修改。

    • Nikto

    Nikto是一款开源的(GPL)Web服务器扫描工具,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。

    • Wfuzz

    Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。

    • OWASP ZAP

    OWASP Zed攻击代理(ZAP)是一个易于使用的集成渗透测试工具,用于发现web应用程序中的漏洞。它是为具有广泛安全经验的人设计的,因此对于新接触渗透测试的开发人员和功能测试人员是理想的,并且是有经验的渗透测试人员工具箱的有用补充。

    OWASP_ZPA 支持截断代理,主动、被动扫描,Fuzzy,暴力破解并且提供 API。是世界上最受欢迎的免费安全工具之一。ZAP 可以帮助我们在开发和测试应用程序过程中,自动发现 Web 应用程序中的安全漏洞。

    • Wapiti

    Wapiti是Web应用程序漏洞错误检查工具。它具有“暗箱操作”扫描,即它不关心Web应用程序的源代码,但它会扫描网页的部署,寻找使其能够注入数据的脚本和格式。它用于检测网页,看脚本是否脆弱的。
    Wapiti是一个开源的安全测试工具,可用于Web应用程序漏洞扫描和安全检测。

    分享
    微信二维码
  • 房乐 2 CISAW CISP-PTE
    房乐2 CISAW CISP-PTE

    有以下开源 Web 应用漏洞扫描工具:

    • Grabber:Grabber是Kali Linux集成的一款Web应用扫描工具。该工具适合中小Web应用,如个人博客、论坛等。该工具使用Python语言编写,支持常见的漏洞检测,如XSS、SQL注入、文件包含、备份文件检测、Ajax检测、Crytal Ball检测等功能。该工具只进行扫描,不实施漏洞利用。由于功能简单,所以使用非常方便,用户只要指定扫描目标和检测项目后,就可以进行扫描了。

    • Paros:Paros 是一种利用纯 java 语言开发的安全漏洞扫描工具,它主要是为了满足那些需要对自己的 web 应用程序进行安全检测的应用者而设计的。通过 Paros 的本地代理,所有在客户端与服务器端之间的 http 和 https 数据信息,包括 cookie 和表单信息都将被拦截或者是修改。

    • Nikto:Nikto是一款开源的(GPL)Web服务器扫描工具,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。

    • Wfuzz:Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。

    • OWASP ZAP:OWASP Zed攻击代理(ZAP)是一个易于使用的集成渗透测试工具,用于发现web应用程序中的漏洞。它是为具有广泛安全经验的人设计的,因此对于新接触渗透测试的开发人员和功能测试人员是理想的,并且是有经验的渗透测试人员工具箱的有用补充。OWASP_ZPA 支持截断代理,主动、被动扫描,Fuzzy,暴力破解并且提供 API。是世界上最受欢迎的免费安全工具之一。ZAP 可以帮助我们在开发和测试应用程序过程中,自动发现 Web 应用程序中的安全漏洞。

    • Wapiti:Wapiti是Web应用程序漏洞错误检查工具。它具有“暗箱操作”扫描,即它不关心Web应用程序的源代码,但它会扫描网页的部署,寻找使其能够注入数据的脚本和格式。它用于检测网页,看脚本是否脆弱的。Wapiti是一个开源的安全测试工具,可用于Web应用程序漏洞扫描和安全检测。

    分享
    微信二维码
    • 推荐文章
    相关问题
    热门回答
    写回答
    © 2022 WANGAN.COM 帮助网安从业者成长;关注产业发展,做网络安全忠诚卫士!