最近漏洞新聞層出不窮,作為一名技術(shù)人員��,我們在注意自身文件安全的同時(shí)更要學(xué)會(huì)如何防護(hù)漏洞���,同時(shí)這也是企業(yè)安全策略的重要組成部分���。本文將介紹 10 款開源的漏洞檢測工具,以供開發(fā)者們參考選擇���。
1�����、Java自動(dòng)化SQL注入測試工具 jSQL
鏈接:http://www.oschina.net/p/jsql-tool
jSQL是一款輕量級(jí)安全測試工具��,可以檢測SQL注入漏洞�。它跨平臺(tái)(Windows, Linux, Mac OS X, Solaris)��、開源且免費(fèi)�。
2、漏洞評(píng)估系統(tǒng) OpenVAS
鏈接:http://www.oschina.net/p/openvas
OpenVAS是開放式漏洞評(píng)估系統(tǒng)���,也可以說它是一個(gè)包含著相關(guān)工具的網(wǎng)絡(luò)掃描器����。其核心部件是一個(gè)服務(wù)器����,包括一套網(wǎng)絡(luò)漏洞測試程序,可以檢測遠(yuǎn)程系統(tǒng)和應(yīng)用程序中的安全問題��。
其架構(gòu)如下圖所示:
3�、漏洞檢測工具 cvechecker
鏈接:http://www.oschina.net/p/cvechecker
cvechecker 將檢查你的系統(tǒng)和已安裝的軟件,并報(bào)告可能存在的漏洞��。通過匹配 CVE 數(shù)據(jù)庫�����。
4���、Web安全測試平臺(tái) Vega Platform
鏈接:https://www.oschina.net/p/vega
Vega是一個(gè)開放源代碼的web應(yīng)用程序安全測試平臺(tái)���,Vega能夠幫助你驗(yàn)證SQL注入、跨站腳本(XSS)�、敏感信息泄露和其它一些安全漏洞����。 Vega使用Java編寫����,有GUI,可以在Linux�����、OS X和windows下運(yùn)行�。Vega類似于 Paros Proxy, Fiddler, Skipfish and ZAproxy。
5��、路由器漏洞檢測及利用框架 RouterSploit
鏈接:https://www.oschina.net/p/routersploit
RouteSploit框架是一款開源的漏洞檢測及利用框架����,其針對的對象主要為路由器等嵌入式設(shè)備。
RouteSploit框架主要由可用于滲透測試的多個(gè)功能模塊組件組成:
Scanners:模塊功能主要為檢查目標(biāo)設(shè)備是否存在可利用的安全漏洞�����;
Creds:模塊功能主要針對網(wǎng)絡(luò)服務(wù)的登錄認(rèn)證口令進(jìn)行檢測����;
Exploits:模塊功能主要為識(shí)別到目標(biāo)設(shè)備安全漏洞之后���,對漏洞進(jìn)行利用,實(shí)現(xiàn)提權(quán)等目的�����。
6��、Web滲透測試 Zed Attack Proxy
鏈接:https://www.oschina.net/p/zap
Zed Attack Proxy (Zaproxy) 是一個(gè)滲透測試工具����,用來使Web應(yīng)用更安全���。雖然 ZAP 可以自動(dòng)檢測一些安全問題��,它主要用于手動(dòng)幫助您尋找安全漏洞�����。
7��、基于Java的開源URL嗅探器 URL-Detector
鏈接:https://www.oschina.net/p/url-detector
這是一個(gè)可以檢測并規(guī)范化文本中的URL地址的Java庫��。是由 Linkedin 公司 開源的一個(gè)URL探測工具����。
Linkedin 在每一秒鐘,會(huì)檢查數(shù)十萬數(shù)量級(jí)的 URLs �����。這些 URL 可能是來自惡意軟件或者釣魚網(wǎng)站的���,為了保障每一個(gè)用戶有一個(gè)安全的瀏覽體驗(yàn)��,同時(shí)防止?jié)撛诘奈kU(xiǎn)����,Linkedin后端的內(nèi)容檢查服務(wù)程序會(huì)檢查所有由用戶產(chǎn)生的內(nèi)容����。為了在這每秒數(shù)十萬規(guī)模的用戶內(nèi)容上檢測不良的 URL,Linkedin要有能夠在快速此規(guī)模上提取文本中URL 的方法���。
8��、漏洞掃描工具 Nikto
鏈接:https://www.oschina.net/p/nikto
Nikto是一款開放源代碼的�、功能強(qiáng)大的WEB掃描評(píng)估軟件,能對web服務(wù)器多種安全項(xiàng)目進(jìn)行測試的掃描軟件��,能在230多種服務(wù)器上掃描出 2600多種有潛在危險(xiǎn)的文件��、CGI及其他問題����,它可以掃描指定主機(jī)的WEB類型、主機(jī)名���、特定目錄、COOKIE����、特定CGI漏洞、返回主機(jī)允許的 http模式等等����。它也使用LibWhiske庫,但通常比Whisker更新的更為頻繁�����。Nikto是網(wǎng)管安全人員必備的WEB審計(jì)工具之一����。
9���、漏洞掃描程序 Nessus
鏈接:https://www.oschina.net/p/nessus
Nessus 號(hào)稱是'世界上最流行的漏洞掃描程序,全世界超過75,000個(gè)組織在使用它'.盡管這個(gè)掃描程序可以免費(fèi)下載得到,但是要從Tenable Network Security更新到所有最新的威脅信息,每年的直接訂購費(fèi)用是$1,200.Linux, FreeBSD, Solaris, Mac OS X和Windows下都可以使用 Nessus。
10����、容器漏洞分析服務(wù) Clair
鏈接:https://www.oschina.net/p/clair
Clair 是一個(gè)容器漏洞分析服務(wù)。它提供一個(gè)能威脅容器漏洞的列表�,并且在有新的容器漏洞發(fā)布出來后會(huì)發(fā)送通知給用戶。
如果你還用過其他更好的工具���,歡迎在評(píng)論區(qū)列出���。
