WEB漏洞掃描的開源工具

很多受歡迎的網站都曾遭到過黑客入侵而蒙受經濟損失，web 漏洞掃描器是一種軟件程序，可在 Web 應用程序上執行自動黑盒測試並識別安全漏洞，掃描程序不訪問源代碼，只執行功能測試並嘗試查找安全漏洞。在這篇文章中，我們列出了 14 個免費開源 Web 應用程序漏洞掃描器，排名不分先后。
1.Grabber

Grabber 是一款免費開源的 Web 應用程序掃描程序，可以檢測 Web 應用程序中的大多數安全漏洞，可以檢測以下漏洞：跨站腳本，SQL 注入，Ajax 測試，文件包含，JS 源代碼分析器，備份文件檢查。Grabbe 僅用於測試小型 Web 應用程序，因為掃描大型應用程序需要花費太多時間。此工具不提供任何 GUI 界面，也無法創建任何 PDF 報告。該工具主要面向個人使用。
下載地址：https://github.com/neuroo/grabber
也想出現在這里？聯系我們吧
WordPress 主題
2.Vega

Vega 是一個免費開源 Web 漏洞掃描程序和測試平台。使用此工具，您可以執行 Web 應用程序的安全性測試。該工具用 Java 編寫，並提供基於 GUI 的環境，適用於 OS X，Linux 和 Windows。可用於查找 SQL 注入，標頭注入，目錄列表，shell 注入，跨站點腳本，文件包含和其他 Web 應用程序漏洞。
下載地址：https://subgraph.com/vega/
3.Zed Attack Proxy

Zed Attack Proxy 是開源的，由 AWASP 開發。適用於 Windows，Unix / Linux 和 Macintosh 平台。可用於在 Web 應用程序中查找各種漏洞，該工具簡單易用。即使您不熟悉滲透測試，也可以輕松使用此工具開始學習 Web 應用程序的滲透測試。ZAP 包含以下關鍵功能：攔截代理，自動掃描儀，蜘蛛，模糊器，Web 套接字支持，即插即用支持，身份驗證支持，基於 REST 的 API，動態 SSL 證書，智能卡和客戶端數字證書支持。
下載地址：https://github.com/zaproxy/zaproxy
4.Wapiti

Wapiti 是一個不錯的 Web 漏洞掃描程序，可審核 Web 應用程序的安全性。通過掃描網頁和注入數據來執行黑盒測試，嘗試注入有效負載並查看腳本是否容易受到攻擊，支持 GET 和 POSTHTTP 攻擊並檢測多個漏洞。可以檢測以下漏洞：文件披露，文件包含，跨站點腳本（XSS），命令執行檢測，CRLF 注射，SEL 注射和 Xpath 注射，.htaccess 配置，備份文件披露等。
下載地址：http://wapiti.sourceforge.net/
5.W3af

W3af 是一種流行的 Web 應用程序攻擊和審計框架。該框架旨在提供更好的 Web 應用程序滲透測試平台，使用 Python 開發。通過使用此工具，您能夠識別 200 多種 Web 應用程序漏洞，包括 SQL 注入，跨站點腳本和許多其他漏洞。
下載地址：http://w3af.org/
6.WebScarab

WebScarab 是一個基於 Java 的安全框架，用於使用 HTTP 或 HTTPS 協議分析 Web 應用程序。使用可用的插件，可以擴展該工具的功能。此工具用作攔截代理。因此，您可以查看來自瀏覽器並轉到服務器的請求和響應，還可以在服務器或瀏覽器收到請求或響應之前修改它們。此工具不適合初學者，此工具專為那些對 HTTP 協議有很好理解並且可以編寫代碼的人而設計。
下載地址：https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
7.Skipfish

Skipfish 也是一個不錯的 Web 應用程序安全工具。它抓取網站，然后檢查每個頁面是否存在各種安全威脅，然后准備最終報告。該工具用 C 語言編寫。針對 HTTP 處理進行了高度優化，並且利用了最少的 CPU。Skipfish 聲稱每秒可以輕松處理 2000 個請求而無需在 CPU 上添加負載。
下載地址：https://code.google.com/archive/p/skipfish/
8.Ratproxy

Ratproxy 也是一個開源 Web 應用程序安全審計工具，可用於查找 Web 應用程序中的安全漏洞。它支持 Linux，FreeBSD，MacOS X 和 Windows（Cygwin）環境。此工具旨在克服用戶在使用其他代理工具進行安全審核時通常會遇到的問題。它能夠區分 CSS 樣式表和 JavaScript 代碼。它還支持中間人攻擊中的 SSL 人員，這意味着您還可以看到通過 SSL 傳遞的數據。
下載地址：https://code.google.com/archive/p/ratproxy/
9.SQLMap

SQLMap 是一種開源滲透測試工具，它可以自動執行在網站數據庫中查找和利用 SQL 注入漏洞的過程。它具有強大的檢測引擎和一些有用的功能。因此，滲透測試人員可以輕松地在網站上執行 SQL 注入檢查。
下載地址：https://github.com/sqlmapproject/sqlmap
10.Wfuzz

Wfuzz 是一個免費開源的 Web 應用程序滲透測試工具，可用於強制 GET 和 POST 參數，以便針對 SQL，XSS，LDAP 等許多類型的注入進行測試。它還支持 cookie 模糊測試，多線程，SOCK，代理，身份驗證，參數暴力破解，多代理等。
下載地址：https://github.com/xmendez/wfuzz
11.Grendel-Scan

Grendel-Scan 是一個開源 Web 應用程序安全工具，是一種用於在 Web 應用程序中查找安全漏洞的自動工具。許多功能也可用於手動滲透測試。此工具適用於 Windows，Linux 和 Macintosh，該工具用 Java 開發。
下載地址：https://sourceforge.net/projects/grendel/
12.Watcher

Watcher 是一種被動的網絡安全掃描程序，它不會攻擊大量請求或爬網目標網站。它是 Fiddler 的附加組件，所以你需要先安裝 Fiddler 然后安裝 Watcher 才能使用它。
下載地址：http://websecuritytool.codeplex.com/
13.X5S

X5s 也是 Fiddler 的一個附加組件，旨在提供一種查找跨站點腳本漏洞的方法。這不是一個自動工具，您需要手動查找注入點，然后檢查 XSS 在應用程序中的位置。
下載地址：https://archive.codeplex.com/?p=xss
14.Arachni

Arachni 是一個開源工具，專為提供滲透測試環境而開發。此工具可以檢測各種 Web 應用程序安全漏洞。它可以檢測各種漏洞，如 SQL 注入，XSS，本地文件包含，遠程文件包含，未經驗證的重定向等等。
下載地址：http://www.arachni-scanner.com/
結論

這是一些比較常見的開源 Web 應用程序安全測試工具，我盡力列出在線提供的所有工具。如果您想開始滲透測試，我建議使用為滲透測試創建的 Linux 發行版。