开源漏洞扫描工具有哪些
Arachni
Arachni是一款基于Ruby框架搭建的高性能安全扫描程序,适用于现代Web应用程序。可用于Mac、Windows及Linux系统的可移植二进制文件。
Wapiti
Wapiti扫描特定的目标网页,寻找能够注入数据的脚本和表单,从而验证其中是否存在漏洞。它不是对源代码的安全检查,而是执行黑盒扫描。
SQLmap
顾名思义,我们可以借助sqlmap对数据库进行渗透测试和漏洞查找。
XssPy
一个有力的事实是,微软、斯坦福、摩托罗拉、Informatica等很多大型企业机构都在用这款基于python的XSS(跨站脚本)漏洞扫描器。它的编写者Faizan Ahmad才华出众,XssPy是一个非常智能的工具,不仅能检查主页或给定页面,还能够检查网站上的所有链接以及子域。因此,XssPy的扫描非常细致且范围广泛。
w3af
w3af是一个从2006年年底开始的基于Python的开源项目,可用于Linux和Windows系统。w3af能够检测200多个漏洞,包括OWASP top 10中提到的。
Nikto
相信很多人对Nikto并不陌生,这是由Netsparker(专做web安全扫描器企业,总部坐标英国)赞助的开源项目,旨在发现Web服务器配置错误、插件和Web漏洞。Nikto对6500多个风险项目进行过综合测试。支持HTTP代理、SSL或NTLM身份验证等,还能确定每个目标扫描的最大执行时间。
OWASP Xenotix XSS
OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架,内置了三个智能模糊器,用于快速扫描和结果优化。
Wfuzz
Wfuzz(Web Fuzzer)也是渗透中会用到的应用程序评估工具。它可以对任何字段的HTTP请求中的数据进行模糊处理,对Web应用程序进行审查。
OWASP ZAP
ZAP(Zet Attack Proxy)是全球数百名志愿者程序员在积极更新维护的著名渗透测试工具之一。它是一款跨平台的Java工具,甚至都可以在Raspberry Pi上运行。ZAP在浏览器和Web应用程序之间拦截和检查消息。
Vega
Vega由Subgraph开发,Subgraph是一个用Java编写的多平台支持工具,用于查找XSS,SQLi、RFI和很多其它的漏洞。
Vega的图形用户界面相对来说比较美观。它可以通过特定的凭证登录某个应用后执行自动扫描。
Golismero
这是一个管理和运行Wfuzz、DNS recon、sqlmap、OpenVas、机器人分析器等一些流行安全工具的框架。