1.Arachni
Arachni是一款基於Ruby框架構建的高性能安全掃描程序,適用於現代Web應用程序。它可用於Mac,Windows和Linux的便攜式二進制文件
- Arachnin能適用於下面的平台和語言
- Windows, Solaris, Linux, BSD, Unix
- Nginx, Apache, Tomcat, IIS, Jetty
- Java, Ruby, Python, ASP, php
- Django, Rails, CherryPy, Cakephp, ASP.NET MVC, Symfony
漏洞檢測有下面這些:
- NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
- Cross-site request forgery
- Path traversal
- Local/Remote File inclusions
- Response splitting
- Cross-site scripting
- Unvalidated DOM redirects
- Source code disclosure
可以選擇使用html,XML,文本,jsON,YAML等格式的審計報告,Arachni可以利用插件將掃描范圍擴展到下一個級別
2.XssPy
一個基於Python的XSS(跨站腳本)漏洞掃描器
3.w3af
w3af,從2006開始使用python開發的開源項目,可以用在window和linux環境下,
w3af可以將有效載荷注入到標題,URL,cookie,查詢字符串,后期數據等,以利用Web應用程序進行審計。它支持各種記錄方法進行報告。
例如:
- CSV
- html
- Console
- Text
- XML
更多的功能可利用插件庫
4.Nikto
Netsparker贊助的開源項目旨在發現Web服務器的配置錯誤,插件和網頁漏洞。 Nikto對6500多個風險項目進行綜合測試。
它支持HTTP代理,SSL,或NTLM身份驗證等,並可以定義每個目標掃描的最大執行時間。
Nikola也可以在Kali Linux中使用,它看起來很有希望用於Intranet解決方案來查找Web服務器的安全風險
5.Wfuzz
Wfuzz(Web Fuzzer)是針對滲透測試的應用程序評估工具。您可以對任何字段的HTTP請求中的數據進行模糊處理,以利用該Web應用程序並審核Web應用程序。 Wfuzz需要在要運行掃描的計算機上安裝Python。
6.OWASP ZAP
ZAP(Zet Attack Proxy)是全球數百名志願者積極更新的着名滲透測試工具之一。 它是跨平台的基於Java的工具,可以在Raspberry Pi上運行。 ZIP位於瀏覽器和Web應用程序之間,用於攔截和檢查消息
下面的一些值得一提的是ZAP的功能。
- Fuzzer
- Automated & passive scanner
- Supports multiple scripting languages
- Forced browsing
強烈建議查看OWASP ZAP教程視頻來學習
7.Wapiti
Wapiti掃描給定目標的網頁,並尋找腳本和表單來注入數據,看看是否有漏洞。它不是一個源代碼安全檢查,而是執行黑盒掃描。
它支持GET和POST HTTP方法,HTTP和HTTPS代理,多個認證等。
8.Vega
Vega由Subgraph開發,Subgraph是一個用Java編寫的多平台支持工具,用於查找XSS,SQLi,RFI和許多其他漏洞。 維加有良好的圖形用戶界面,並能夠通過登錄到具有給定憑據的應用程序來執行自動掃描。
如果您是開發人員,則可以利用vega API創建新的攻擊模塊
9.SQLmap
利用SQLmap可以對數據庫執行滲透測試來發現缺陷。
它適用於任何操作系統上的Python 2.6或2.7。如果你正在尋找SQL注入和利用數據庫,那么sqlmap會有幫助。
資源搜索網站大全 http://www.szhdn.com 廣州VI設計公司https://www.houdianzi.com
10.Grabber
它是基於Python的小工具,並且做得很不錯。一些Grabber的功能是:
JavaScript源代碼分析器 跨站點腳本,
SQL注入,
盲注SQL PHP應用程序測試使用PHP-SAT
11.Golismero
管理和運行Wfuzz,DNS recon,sqlmap,OpenVas,機器人分析器等一些流行安全工具的框架。
Golismero非常棒,它可以鞏固來自其他工具的測試反饋,並合並顯示一個單一的結果。
12.OWASP Xenotix XSS
OWASP的Xenotix XSS是一個用於查找和利用跨站點腳本的高級框架。它內置了三個智能模糊器,用於快速掃描和改進結果。
它有數百個功能,我們可以看看這里列出的所有。