Grabber
Grabber 是一款免費開源的 Web 應用程序掃描程序���,可以檢測 Web 應用程序中的大多數(shù)安全漏洞,可以檢測以下漏洞:跨站腳本����,SQL 注入,Ajax 測試����,文件包含,JS 源代碼分析器����,備份文件檢查。Grabbe 僅用于測試小型 Web 應用程序���,因為掃描大型應用程序需要花費太多時間����。此工具不提供任何 GUI 界面��,也無法創(chuàng)建任何 PDF 報告�����。該工具主要面向個人使用。
下載地址:https://github.com/neuroo/grabber
2.Vega
Vega 是一個免費開源 Web 漏洞掃描程序和測試平臺�。使用此工具,您可以執(zhí)行 Web 應用程序的安全性測試�����。該工具用 Java 編寫��,并提供基于 GUI 的環(huán)境�����,適用于 OS X����,Linux 和 Windows�。可用于查找 SQL 注入���,標頭注入����,目錄列表��,shell 注入,跨站點腳本����,文件包含和其他 Web 應用程序漏洞。
下載地址:https:///vega/ 3.Zed Attack Proxy
Zed Attack Proxy 是開源的����,由 AWASP 開發(fā)。適用于 Windows�,Unix / Linux 和 Macintosh 平臺?�?捎糜谠?Web 應用程序中查找各種漏洞��,該工具簡單易用����。即使您不熟悉滲透測試,也可以輕松使用此工具開始學習 Web 應用程序的滲透測試��。ZAP 包含以下關鍵功能:攔截代理�����,自動掃描儀,蜘蛛����,模糊器,Web 套接字支持���,即插即用支持���,身份驗證支持,基于 REST 的 API��,動態(tài) SSL 證書���,智能卡和客戶端數(shù)字證書支持。
下載地址:https://github.com/zaproxy/zaproxy 4.Wapiti
Wapiti 是一個不錯的 Web 漏洞掃描程序��,可審核 Web 應用程序的安全性�����。通過掃描網頁和注入數(shù)據來執(zhí)行黑盒測試����,嘗試注入有效負載并查看腳本是否容易受到攻擊,支持 GET 和 POSTHTTP 攻擊并檢測多個漏洞?�?梢詸z測以下漏洞:文件披露���,文件包含���,跨站點腳本(XSS),命令執(zhí)行檢測����,CRLF 注射,SEL 注射和 Xpath 注射�����,.htaccess 配置��,備份文件披露等�����。
下載地址:http://wapiti./ 5.W3af
W3af 是一種流行的 Web 應用程序攻擊和審計框架�。該框架旨在提供更好的 Web 應用程序滲透測試平臺,使用 Python 開發(fā)�。通過使用此工具,您能夠識別 200 多種 Web 應用程序漏洞,包括 SQL 注入���,跨站點腳本和許多其他漏洞�����。
下載地址:http:/// 6.WebScarab
WebScarab 是一個基于 Java 的安全框架��,用于使用 HTTP 或 HTTPS 協(xié)議分析 Web 應用程序��。使用可用的插件�����,可以擴展該工具的功能����。此工具用作攔截代理��。因此����,您可以查看來自瀏覽器并轉到服務器的請求和響應�����,還可以在服務器或瀏覽器收到請求或響應之前修改它們。此工具不適合初學者��,此工具專為那些對 HTTP 協(xié)議有很好理解并且可以編寫代碼的人而設計����。
下載地址:https://www./index.php/Category:OWASP_WebScarab_Project 7.Skipfish
Skipfish 也是一個不錯的 Web 應用程序安全工具。它抓取網站�����,然后檢查每個頁面是否存在各種安全威脅��,然后準備最終報告�����。該工具用 C 語言編寫����。針對 HTTP 處理進行了高度優(yōu)化,并且利用了最少的 CPU����。Skipfish 聲稱每秒可以輕松處理 2000 個請求而無需在 CPU 上添加負載����。
下載地址:https://code.google.com/archive/p/skipfish/ 8.Ratproxy
Ratproxy 也是一個開源 Web 應用程序安全審計工具�,可用于查找 Web 應用程序中的安全漏洞。它支持 Linux��,F(xiàn)reeBSD�����,MacOS X 和 Windows(Cygwin)環(huán)境���。此工具旨在克服用戶在使用其他代理工具進行安全審核時通常會遇到的問題���。它能夠區(qū)分 CSS 樣式表和 JavaScript 代碼。它還支持中間人攻擊中的 SSL 人員���,這意味著您還可以看到通過 SSL 傳遞的數(shù)據���。
下載地址:https://code.google.com/archive/p/ratproxy/
9.SQLMap
SQLMap 是一種開源滲透測試工具,它可以自動執(zhí)行在網站數(shù)據庫中查找和利用 SQL 注入漏洞的過程����。它具有強大的檢測引擎和一些有用的功能。因此����,滲透測試人員可以輕松地在網站上執(zhí)行 SQL 注入檢查。
下載地址:https://github.com/sqlmapproject/sqlmap 10.Wfuzz
Wfuzz 是一個免費開源的 Web 應用程序滲透測試工具����,可用于強制 GET 和 POST 參數(shù),以便針對 SQL���,XSS�,LDAP 等許多類型的注入進行測試���。它還支持 cookie 模糊測試���,多線程,SOCK����,代理��,身份驗證�����,參數(shù)暴力破解��,多代理等��。
下載地址:https://github.com/xmendez/wfuzz
11.Grendel-Scan
Grendel-Scan 是一個開源 Web 應用程序安全工具�,是一種用于在 Web 應用程序中查找安全漏洞的自動工具��。許多功能也可用于手動滲透測試�����。此工具適用于 Windows�����,Linux 和 Macintosh�,該工具用 Java 開發(fā)。
下載地址:https:///projects/grendel/
12.Watcher
Watcher 是一種被動的網絡安全掃描程序��,它不會攻擊大量請求或爬網目標網站�。它是 Fiddler 的附加組件,所以你需要先安裝 Fiddler 然后安裝 Watcher 才能使用它�����。
下載地址:http://websecuritytool./
13.X5S
X5s 也是 Fiddler 的一個附加組件,旨在提供一種查找跨站點腳本漏洞的方法���。這不是一個自動工具,您需要手動查找注入點���,然后檢查 XSS 在應用程序中的位置�����。
下載地址:https://archive./?p=xss
14.Arachni
Arachni 是一個開源工具��,專為提供滲透測試環(huán)境而開發(fā)�����。此工具可以檢測各種 Web 應用程序安全漏洞��。它可以檢測各種漏洞�����,如 SQL 注入��,XSS���,本地文件包含��,遠程文件包含�����,未經驗證的重定向等等��。
下載地址:http://www./
結論
這是一些比較常見的開源 Web 應用程序安全測試工具�,我盡力列出在線提供的所有工具�。如果您想開始滲透測試,我建議使用為滲透測試創(chuàng)建的 Linux 發(fā)行版���。
原文鏈接:https://www.cnblogs.com/wuchangsoft/p/10950879.html
|
