12種開源Web安全掃描程序

• 轉自：https://blog.csdn.net/wh211212/article/details/78620963
• 賽門鐵克的一個有趣的報告顯示，76％的被掃描網站有惡意軟件

如果您使用的是WordPress，那么SUCURI的另一份報告顯示，超過70％的被掃描網站被感染了一個或多個漏洞。

作為網絡應用程序所有者，您如何確保您的網站免受在線威脅的侵害？不泄露敏感信息？

如果您正在使用基於雲的安全解決方案，則最有可能定期進行漏洞掃描是該計划的一部分。但是，如果沒有，那么你必須執行例行掃描，並采取必要的行動來降低風險。

• 有兩種類型的掃描軟件

商業(收費) - 給你一個選項來自動掃描持續的安全，報告，警報，詳細的緩解說明等，行業中的一些已知的廠商是：

• Acunetix
• Detectify
• Qualys

開源/免費 - 您可以下載並按需執行安全掃描。但不能夠覆蓋所有漏洞，如商業漏洞。

• 看看下面的開源Web漏洞掃描器

1. Arachni

Arachni是一款基於Ruby框架構建的高性能安全掃描程序，適用於現代Web應用程序。它可用於Mac，Windows和Linux的便攜式二進制文件

Arachnin能適用於下面的平台和語言

• Windows, Solaris, Linux, BSD, Unix
• Nginx, Apache, Tomcat, IIS, Jetty
• Java, Ruby, Python, ASP, PHP
• Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

漏洞檢測有下面這些：

• NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
• Cross-site request forgery
• Path traversal
• Local/Remote File inclusions
• Response splitting
• Cross-site scripting
• Unvalidated DOM redirects
• Source code disclosure

可以選擇使用HTML，XML，文本，JSON，YAML等格式的審計報告,Arachni可以利用插件將掃描范圍擴展到下一個級別

2. XssPy

一個基於Python的XSS（跨站腳本）漏洞掃描器

3. w3af

w3af,從2006開始使用python開發的開源項目，可以用在window和linux環境下，

w3af可以將有效載荷注入到標題，URL，cookie，查詢字符串，后期數據等，以利用Web應用程序進行審計。它支持各種記錄方法進行報告。例如：

• CSV
• HTML
• Console
• Text
• XML
• Email

更多的功能可利用插件庫

4. Nikto

Netsparker贊助的開源項目旨在發現Web服務器的配置錯誤，插件和網頁漏洞。 Nikto對6500多個風險項目進行綜合測試。

它支持HTTP代理，SSL，或NTLM身份驗證等，並可以定義每個目標掃描的最大執行時間。 
Nikola也可以在Kali Linux中使用

它看起來很有希望用於Intranet解決方案來查找Web服務器的安全風險

5. Wfuzz

Wfuzz（Web Fuzzer）是針對滲透測試的應用程序評估工具。您可以對任何字段的HTTP請求中的數據進行模糊處理，以利用該Web應用程序並審核Web應用程序。 Wfuzz需要在要運行掃描的計算機上安裝Python。

6. OWASP ZAP

ZAP（Zet Attack Proxy）是全球數百名志願者積極更新的着名滲透測試工具之一。 它是跨平台的基於Java的工具，可以在Raspberry Pi上運行。 ZIP位於瀏覽器和Web應用程序之間，用於攔截和檢查消息

下面的一些值得一提的是ZAP的功能。

• Fuzzer
• Automated & passive scanner
• Supports multiple scripting languages
• Forced browsing

強烈建議查看OWASP ZAP教程視頻來學習

7. Wapiti

Wapiti掃描給定目標的網頁，並尋找腳本和表單來注入數據，看看是否有漏洞。它不是一個源代碼安全檢查，而是執行黑盒掃描。

它支持GET和POST HTTP方法，HTTP和HTTPS代理，多個認證等。

8. Vega

Vega由Subgraph開發，Subgraph是一個用Java編寫的多平台支持工具，用於查找XSS，SQLi，RFI和許多其他漏洞。 維加有良好的圖形用戶界面，並能夠通過登錄到具有給定憑據的應用程序來執行自動掃描。

如果您是開發人員，則可以利用vega API創建新的攻擊模塊

9. SQLmap

利用SQLmap可以對數據庫執行滲透測試來發現缺陷。

它適用於任何操作系統上的Python 2.6或2.7。如果你正在尋找SQL注入和利用數據庫，那么sqlmap會有幫助。

10. Grabber

它是基於Python的小工具，並且做得很不錯。一些Grabber的功能是：

• JavaScript源代碼分析器 跨站點腳本，
• SQL注入，
• 盲注SQL PHP應用程序測試使用PHP-SAT

11. Golismero

管理和運行Wfuzz，DNS recon，sqlmap，OpenVas，機器人分析器等一些流行安全工具的框架。

Golismero非常棒，它可以鞏固來自其他工具的測試反饋，並合並顯示一個單一的結果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一個用於查找和利用跨站點腳本的高級框架。它內置了三個智能模糊器，用於快速掃描和改進結果。

它有數百個功能，我們可以看看這里列出的所有。

網絡安全對於在線業務至關重要，我希望上面列出的免費/開源漏洞掃描程序可以幫助您找到風險，以便在有人利用此漏洞之前減輕風險

• 原文出自：https://geekflare.com/open-source-web-security-scanner/