有哪些 Web 渗透相关工具
WebSmart:一款独立开发的Web应用安全测试工具,能够扫描和检测所有常见的 Web应用安全漏洞,例如 SQL注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、敏感目录、敏感文件等,程序采用模块化程序设计,便于扩展功能。
IBM Rational Appscan:一款领先的Web应用安全测试工具,曾以Watchfire AppScan的名称享誉业界。Rational AppScan可进行自动化 Web应用安全漏洞评估工作,扫描和检测所有常见的Web应用安全漏洞,例如 SQL注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)、最新的Flash/Flex应用,以及Web 2.0应用暴露等方面。
Acunetix Web Vulnerability Scanner(AWVS):一款知名的网络漏洞扫描工具。70%的网站都有Web应用方面的漏洞,这些漏洞将导致敏感信息泄漏、数据被篡改等。AWVS则以模拟黑客攻击的方法来检测用户的Web应用安全,主动找出Web应用的漏洞。
安恒MatriXay Webscan明鉴Web应用弱点扫描器(简称:MatriXay 5.0):是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞和流行攻击技术基础上研制而成,不仅具有精确的“取证式”扫描功能,还提供了强大的安全审计、渗透测试功能,误报率和漏报率等各项关键指标均达到国际领先水平。
Immunity CANVAS CANVAS:是美国ImmunitySec公司出品的安全漏洞检测工具,包含了480多个以上的漏洞利用,是一款针对对象广泛的自动化漏洞利用工具,对于渗透测试人员来说,CANVAS是比较专业的安全漏洞利用框架,也常被用于对IDS和IPS的检测能力的测试。
SQLMap:是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是 MS-SQL、MySQL、Oracle和 PostgreSQL。SQLMap采用四种独特的SQL注入技术,分别是盲推理SQL注入、UNION查询SQL注入、堆查询和基于时间的 SQL盲注入。其广泛的功能和选项包括数据库指纹、枚举、数据库提取、访问目标文件系统,并在获取完全操作权限时实行任意命令。
nc:在网络工具中有“瑞士军刀”的美誉,它短小精悍、功能强大,可以发送数据包到服务器。
FireFox插件Hackbar:Hackbar包含一些常用的工具,比如:SQL injection、XSS、加密等。
Fiddler:Fiddler是一个http协议调试代理工具,它能够记录并检查你的计算机和互联网之间的所有http通信,设置断点,查看所有的“进出”Fiddler的数据(指Cookie、html等文件,都可以修改的意思)。Fiddler 要比其他的网络调试器更加简单,因为它不仅仅暴露了HTTP通信还提供了一个用户友好的格式。