最近漏洞新聞層出不窮,作為一名技術人員,我們在注意自身文件安全的同時更要學會如何防護漏洞,同時這也是企業安全策略的重要組成部分。本文將介紹 10 款開源的漏洞檢測工具,以供開發者們參考選擇。
1、Java自動化SQL注入測試工具 jSQL
jSQL是一款輕量級安全測試工具,可以檢測SQL注入漏洞。它跨平台(Windows, Linux, Mac OS X, Solaris)、開源且免費。
2、漏洞評估系統 OpenVAS
OpenVAS是開放式漏洞評估系統,也可以說它是一個包含着相關工具的網絡掃描器。其核心部件是一個服務器,包括一套網絡漏洞測試程序,可以檢測遠程系統和應用程序中的安全問題。
其架構如下圖所示:
3、漏洞檢測工具 cvechecker
cvechecker 將檢查你的系統和已安裝的軟件,並報告可能存在的漏洞。通過匹配 CVE 數據庫。
4、Web安全測試平台 Vega Platform
Vega是一個開放源代碼的web應用程序安全測試平台,Vega能夠幫助你驗證SQL注入、跨站腳本(XSS)、敏感信息泄露和其它一些安全漏洞。 Vega使用Java編寫,有GUI,可以在Linux、OS X和windows下運行。Vega類似於 Paros Proxy, Fiddler, Skipfish and ZAproxy。
5、路由器漏洞檢測及利用框架 RouterSploit
RouteSploit框架是一款開源的漏洞檢測及利用框架,其針對的對象主要為路由器等嵌入式設備。
RouteSploit框架主要由可用於滲透測試的多個功能模塊組件組成:
- Scanners:模塊功能主要為檢查目標設備是否存在可利用的安全漏洞;
- Creds:模塊功能主要針對網絡服務的登錄認證口令進行檢測;
- Exploits:模塊功能主要為識別到目標設備安全漏洞之后,對漏洞進行利用,實現提權等目的。
6、Web滲透測試 Zed Attack Proxy
Zed Attack Proxy (Zaproxy) 是一個滲透測試工具,用來使Web應用更安全。雖然 ZAP 可以自動檢測一些安全問題,它主要用於手動幫助您尋找安全漏洞。
7、基於Java的開源URL嗅探器 URL-Detector
這是一個可以檢測並規范化文本中的URL地址的Java庫。是由 Linkedin 公司 開源的一個URL探測工具。
Linkedin 在每一秒鍾,會檢查數十萬數量級的 URLs 。這些 URL 可能是來自惡意軟件或者釣魚網站的,為了保障每一個用戶有一個安全的瀏覽體驗,同時防止潛在的危險,Linkedin后端的內容檢查服務程序會檢查所有由用戶產生的內容。為了在這每秒數十萬規模的用戶內容上檢測不良的 URL,Linkedin要有能夠在快速此規模上提取文本中URL 的方法。
8、漏洞掃描工具 Nikto
Nikto是一款開放源代碼的、功能強大的WEB掃描評估軟件,能對web服務器多種安全項目進行測試的掃描軟件,能在230多種服務器上掃描出 2600多種有潛在危險的文件、CGI及其他問題,它可以掃描指定主機的WEB類型、主機名、特定目錄、COOKIE、特定CGI漏洞、返回主機允許的 http模式等等。它也使用LibWhiske庫,但通常比Whisker更新的更為頻繁。Nikto是網管安全人員必備的WEB審計工具之一。
9、漏洞掃描程序 Nessus
Nessus 號稱是"世界上最流行的漏洞掃描程序,全世界超過75,000個組織在使用它".盡管這個掃描程序可以免費下載得到,但是要從Tenable Network Security更新到所有最新的威脅信息,每年的直接訂購費用是$1,200.Linux, FreeBSD, Solaris, Mac OS X和Windows下都可以使用 Nessus。
10、容器漏洞分析服務 Clair
Clair 是一個容器漏洞分析服務。它提供一個能威脅容器漏洞的列表,並且在有新的容器漏洞發布出來后會發送通知給用戶。
如果你還用過其他更好的工具,歡迎在評論區列出。
本文由開源中國整理,轉載必須在正文中標注出處並保留原文鏈接。
轉載自:https://my.oschina.net/editorial-story/blog/1142966