12个开源Web安全扫描程序以查找漏洞

本文概述

• Arachni
• XssPy
• w3af
• Nikto
• Wfuzz
• OWASP ZAP
• Wapiti
• Vega
• SQLmap
• Grabber
• Golismero
• OWASP Xenotix XSS

赛门铁克一份有趣的报告显示, 十分之十的网站中有一个或多个恶意代码。

而且, 如果你使用的是WordPress, 那么在SUCURI的另一份报告中显示, 有49％的扫描网站已过时。

作为Web应用程序所有者, 你如何确保自己的网站受到在线威胁的保护？不泄漏敏感信息吗？

如果你使用的是基于云的安全解决方案, 则定期漏洞扫描很可能是该计划的一部分。但是, 如果没有, 则必须执行例行扫描并采取必要的措施来减轻风险。

扫描仪有两种类型。

商业版–你可以选择自动进行扫描以获取连续的安全性, 报告, 警报, 详细的缓解说明等。行业中一些知名的名称是：

• Acunetix
• 侦查
• Qualys

开源/免费-你可以按需下载并执行安全扫描。并非所有这些漏洞都能像商业漏洞一样涵盖广泛的漏洞。

我们来看看以下开源网络漏洞扫描器。

Arachni

Arachni, 一种基于Ruby框架的高性能安全扫描程序, 用于现代Web应用程序。它以可移植的二进制文件的形式提供, 适用于Mac, Windows和Linux。

不仅是基本的静态网站或CMS网站, Arachni还能跟踪平台指纹。它同时执行主动和被动检查。

• Windows, Solaris, Linux, BSD, Unix
• Nginx, Apache, Tomcat, IIS, Jetty
• Java, Ruby, Python, ASP, PHP
• Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

一些漏洞检测包括：

• NoSQL / Blind / SQL / Code / LDAP / Command / XPath注入
• 跨站点伪造
• 路径遍历
• 本地/远程文件包含
• 响应拆分
• 跨站脚本
• 未经验证的DOM重定向
• 源代码公开

你可以选择以HTML, XML, 文本, JSON, YAML等格式生成审核报告。

Arachni使你可以利用插件将扫描范围扩展到一个新的水平。查看完整的Arachni功能并下载以体验它。

XssPy

许多组织使用基于python的XSS(跨站点脚本)漏洞扫描程序, 包括Microsoft, Stanford, Motorola, Informatica等。

Faizan Ahmad的XssPy是一个智能工具。它做得很好。它不仅检查主页或给定页面, 还检查网站上的整个链接。

XssPy还会检查子域, 因此不会遗漏任何内容。

w3af

w3af是一个开放源代码项目, 始于2006年底, 由Python支持, 可在Linux和Windows OS上使用。 w3af能够检测200多个漏洞, 其中包括OWASP排名前10位的漏洞。

w3af允许你将有效负载注入标头, URL, Cookie, 查询字符串, 后数据等, 以利用Web应用程序进行审计。它支持各种日志记录方法进行报告。例如：

例如：

• CSV
• 的HTML
• 安慰
• 文本
• XML格式
• 电子邮件

它基于插件架构, 你可以在此处查看所有可用的插件。

Nikto

由Netsparker赞助的一个开源项目旨在发现Web服务器配置错误, 插件和Web漏洞。 Nikto对6500多个风险项目进行了全面测试。

它支持HTTP代理, SSL或NTLM身份验证等, 并且可以定义每次目标扫描的最大执行时间。

Nikto也可以在Kali Linux中使用。

Intranet解决方案发现Web服务器安全风险看起来很有希望。

Wfuzz

Wfuzz(Web Fuzzer)是用于渗透测试的应用程序评估工具。你可以对任何字段的HTTP请求中的数据进行模糊处理, 以利用Web应用程序并审核Web应用程序。

Wfuzz要求在要运行扫描的计算机上安装Python。它提供了出色的文档供你入门。

OWASP ZAP

ZAP(Zet攻击代理)是著名的渗透测试工具之一, 已被全球数百名志愿者积极更新。

这是一个基于Java的跨平台工具, 甚至可以在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间, 用于拦截和检查消息

以下是值得一提的ZAP功能。

• 模糊器
• 自动和被动扫描仪
• 支持多种脚本语言
• 强制浏览

我强烈建议你查看OWASP ZAP教程视频以开始使用。

Wapiti

Wapiti扫描给定目标的网页, 并查找脚本和表单以注入数据以查看是否容易受到攻击。它不是源代码安全检查；它不是源代码安全检查。而是执行黑盒扫描。

它支持GET和POST HTTP方法, HTTP和HTTPS代理, 多种身份验证等。

Vega

Vega由Subgraph开发, Subgraph是用Java编写的一种受多平台支持的工具, 用于查找XSS, SQLi, RFI和许多其他漏洞。

Vega拥有不错的GUI, 并且能够通过使用给定凭据登录到应用程序中来执行自动扫描。

如果你是开发人员, 则可以利用vega API创建新的攻击模块。

SQLmap

顾名思义, 借助sqlmap, 你可以对数据库执行渗透测试以发现缺陷。

它可以在任何操作系统上与Python 2.6或2.7一起使用。如果要查找SQL注入并利用数据库, 则sqlmap将很有帮助。

Grabber

这是一个基于Python的小型工具, 在某些方面做得很好。 Grabber的一些功能包括：

• JavaScript源代码分析器
• 跨站点脚本编写, SQL注入, 盲SQL注入
• 使用PHP-SAT的PHP应用程序测试

Golismero

一个框架, 用于管理和运行一些流行的安全工具, 例如Wfuzz, DNS侦察, sqlmap, OpenVas, 机械手分析器等)。

Golismero很聪明；它可以合并来自其他工具的测试反馈并合并以显示单个结果。

OWASP Xenotix XSS

OWASP的Xenotix XSS是用于查找和利用跨站点脚本的高级框架。它内置了三个智能模糊器, 可快速扫描并改善结果。

它具有数百种功能, 你可以在此处查看所有列出的功能。

总结

Web安全对任何在线业务都至关重要, 我希望上面列出的免费/开源漏洞扫描程序可以帮助你发现风险, 以便在有人利用它之前就可以减轻风险。如果你有兴趣学习渗透测试, 请查看此在线课程。