如果你恰好是一个web应用程序的所有者,你如何确保你的网站是安全的,不会泄露敏感信息?
如果它是基于云的安全解决方案,那么它可能只需要执行例行扫描。但如果不是,我们必须执行例行扫描,并采取必要的措施来降低安全风险。
推荐以下免费扫描仪。
1.蜘蛛纲动物
Arachni是基于Ruby框架的高性能安全扫描器,适用于现代Web应用。适用于Mac、Windows和Linux系统的可移植二进制文件。
Arachni不仅可以扫描基本的静态或CMS网站,还可以识别以下平台指纹信息((硬盘序列号和网卡物理地址))。并支持主动和被动检查。
Windows、Solaris、Linux、BSD、UnixNginx、Apache、Tomcat、IIS、JettyJava、Ruby、Python、ASP、PHPDjango、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony
检测到的常见漏洞类型包括:
NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入跨站请求伪造路径遍历本地/远程文件包含Response splitting跨站脚本未验证的DOM重定向源代码披露
此外,您可以选择以HTML、XML、文本、JSON、YAML等格式输出审计报告。
Arachni以插件的形式帮助我们将扫描范围扩展到更深的层次。
2.XssPy
一个有力的事实是,许多大型企业组织如微软、斯坦福、摩托罗拉、Informatica等。正在使用这个基于python的XSS漏洞扫描器。它的编辑Faizan Ahmad很有才华。XssPy是一个非常智能的工具,它不仅可以检查主页或给定的页面,还可以检查网站上的所有链接和子域。所以XssPy的扫描是非常细致和广泛的。
3.w3af
W3af是2006年底开始的基于Python的开源项目,可用于Linux和Windows系统。W3af可以检测200多个漏洞,包括OWASP top 10中提到的漏洞。这个程序是建立在插件架构上的。
W3af可以帮助你将有效载荷注入头、URL、cookies、字符串查询、后期数据等。·通过使用Web应用程序进行审计,并支持各种记录方式来完成报告,例如:
CSVHTMLConsoleTextXMLEmail4.尼克托
相信很多人都很熟悉Nikto,它是Netsparker(一家专门做Web安全扫描器的公司,总部在英国)发起的开源项目。它旨在发现web服务器配置错误、插件和Web漏洞。Nikto全面测试了6500多个风险项目。支持HTTP代理、SSL或NTLM认证等。,并确定每次目标扫描的最大执行时间。
Nikto也适用于Kali Linux,在企业内网解决方案中发现web服务器安全隐患的应用前景非常广阔。
5.Wfuzz
Wfuzz(Web Fuzzer)也是一个应用评估工具,将用于渗透。它可以混淆任何字段的HTTP请求中的数据,并检查Web应用程序。
Wfuzz需要在被扫描的电脑上安装Python。
6.OWASP ZAP
ZAP(Zet攻击代理)是著名的渗透测试工具之一,全球数百名志愿程序员正在积极更新和维护。它是一个跨平台的Java工具,甚至可以在Raspberry Pi上运行。ZAP拦截并检查浏览器和Web应用程序之间的消息。
ZAP的优秀特性值得一提:
Fuzzer自动与被动扫描支持多种脚本语言Forced browsing(强制浏览)7.麋鹿
Wapiti扫描特定的目标网页,寻找可以注入数据的脚本和表单,从而验证其中是否存在漏洞。不是对源代码的安全检查,而是黑盒扫描。
如果你知道如何开发,你也可以使用vega API来创建新的攻击模块。
9.文件
顾名思义,我们可以使用sqlmap对数据库进行渗透测试和漏洞搜索。
所有操作系统都支持Python 2.6或2.7。如果你正在寻找SQL注入和数据库开发,sqlmap是一个很好的助手。
10.强夺者
这也是一个做得很好的Python小工具。以下是一些功能:
JavaScript源代码分析器跨站点脚本、SQL注入、SQL盲注利用PHP-SAT的PHP应用程序测试11.戈利斯梅罗
这是一个框架,用于管理和运行一些流行的安全工具,如Wfuzz、DNS recon、sqlmap、OpenVas、robot analyzer等。
Golismero非常智能,可以整合其他工具的测试反馈,输出一个统一的结果。
12.XSS异种骨
OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架,内置了三个智能模糊器,用于快速扫描和结果优化。
这个工具有上百个功能;网络安全对网上交易非常重要。希望这些免费扫描程序能帮助读者及时发现风险,修复漏洞,以免被恶意人士利用。
转载自:FreeBuf.com
