如果像Heartbleed這樣的安全事件,蘋果公司發現了缺陷,那么POODLE攻擊已經教會了我們什么,那就是網絡安全不能掉以輕心,即便我們中最好的人也不能安全。Web 安全測試工具可用於主動檢測應用程序漏洞和保護網站免受攻擊。
以下是8種在安全測試人員中很受歡迎的開源工具:
-
Vega -這是一個用Java編寫的漏洞掃描和測試工具。它適用於OS X,Linux和Windows平台。它啟用了GUI,包括一個自動掃描程序和一個攔截代理。它可以檢測Web應用程序漏洞,如SQL注入,標頭注入,跨站點腳本等。它可以通過JavaScript API進行擴展。
https://subgraph.com/vega/
-
ZED攻擊代理(ZAP) -它由AWASP開發,可用於Windows,Unix / Linux和Macintosh平台。它易於使用。它可以用作掃描儀或攔截代理以手動測試網頁。它的主要功能是傳統和AJAX蜘蛛,Fuzzer,Web套接字支持和基於REST的API
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
-
Wapiti -它執行黑盒掃描並注入有效負載以檢查腳本是否容易受到攻擊。它支持GET和POSTHTTP攻擊方法。它可以檢測漏洞,如文件披露,文件包含,跨站點腳本(XSS),弱.htaccess配置等。
http://wapiti.sourceforge.net/
-
W3af -這是一個Web應用程序審計和攻擊框架,可以有效抵御200多個漏洞。它有一個帶有專家工具的GUI,可用於發送HTTP請求和群集HTTP響應。如果網站受到保護,它可以使用身份驗證模塊進行掃描。輸出可以記錄到控制台,文件或通過電子郵件發送。
http://w3af.org/
-
Iron Wasp -這是一個基於GUI的強大掃描工具,可以檢查超過25種Web漏洞。它可以檢測誤報和漏報。它基於Python和Ruby構建,可生成HTML和RTF報告。
https://ironwasp.org/
-
SQLMap -它檢測網站數據庫中的SQL注入漏洞。它可以在各種數據庫中使用,並支持6種SQL注入技術:基於時間的盲,基於布爾的盲,基於錯誤,UNION查詢,堆棧查詢和帶外。它可以直接連接到數據庫而無需使用SQL注入,並具有出色的數據庫指紋識別和枚舉功能。
http://sqlmap.org/
-
Google Nogotofail -它是一種網絡流量安全測試工具。它檢查應用程序是否存在已知的TLS / SSL漏洞和錯誤配置。它掃描SSL / TLS加密連接並檢查它們是否容易受到中間人(MiTM)攻擊。它可以設置為路由器,VPN服務器或代理服務器。
https://github.com/google/nogotofail
-
BeEF(瀏覽器開發框架) -它使用瀏覽器漏洞檢測應用程序漏洞。它使用客戶端攻擊向量來驗證應用程序的安全性。它可以發出瀏覽器命令,如重定向,更改URL,生成對話框等。
http://beefproject.com/