@奈良山
1年前 提问
1个回答

有哪些开源 Web 应用漏洞扫描工具

安全小白成长记
1年前

有以下开源 Web 应用漏洞扫描工具:

  • Grabber:Grabber是Kali Linux集成的一款Web应用扫描工具。该工具适合中小Web应用,如个人博客、论坛等。该工具使用Python语言编写,支持常见的漏洞检测,如XSS、SQL注入、文件包含、备份文件检测、Ajax检测、Crytal Ball检测等功能。该工具只进行扫描,不实施漏洞利用。由于功能简单,所以使用非常方便,用户只要指定扫描目标和检测项目后,就可以进行扫描了。

  • Paros:Paros 是一种利用纯 java 语言开发的安全漏洞扫描工具,它主要是为了满足那些需要对自己的 web 应用程序进行安全检测的应用者而设计的。通过 Paros 的本地代理,所有在客户端与服务器端之间的 http 和 https 数据信息,包括 cookie 和表单信息都将被拦截或者是修改。

  • Nikto:Nikto是一款开源的(GPL)Web服务器扫描工具,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。

  • Wfuzz:Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。

  • OWASP ZAP:OWASP Zed攻击代理(ZAP)是一个易于使用的集成渗透测试工具,用于发现web应用程序中的漏洞。它是为具有广泛安全经验的人设计的,因此对于新接触渗透测试的开发人员和功能测试人员是理想的,并且是有经验的渗透测试人员工具箱的有用补充。OWASP_ZPA 支持截断代理,主动、被动扫描,Fuzzy,暴力破解并且提供 API。是世界上最受欢迎的免费安全工具之一。ZAP 可以帮助我们在开发和测试应用程序过程中,自动发现 Web 应用程序中的安全漏洞。

  • Wapiti:Wapiti是Web应用程序漏洞错误检查工具。它具有“暗箱操作”扫描,即它不关心Web应用程序的源代码,但它会扫描网页的部署,寻找使其能够注入数据的脚本和格式。它用于检测网页,看脚本是否脆弱的。Wapiti是一个开源的安全测试工具,可用于Web应用程序漏洞扫描和安全检测。