最好(hǎo)用的開(kāi)源Web漏洞掃描工具梳理
賽門鐵克2017年互聯網安全威脅報告中提出在他們今年掃描的網站中,有76%都(dōu)含有惡意軟件。如果你在用WordPress,SUCURI的另一份報告也顯示,超過(guò)70%的被(bèi)掃描網站也都(dōu)存在一個或多個漏洞。
如果你剛好(hǎo)是某個網絡應用程序的所有者,怎樣(yàng)才能(néng)保證你的網站是安全的、不會(huì)洩露敏感信息?
如果是基于雲的安全解決方案,那麼(me)可能(néng)隻需要進(jìn)行常規漏掃。但如果不是,我們就(jiù)必須執行例行掃描,采取必要的行動降低安全風險。
當然很多付費掃描器功能(néng)會(huì)更加全面(miàn)、嚴謹,包含報表輸出、警報、詳細的應急指南等等附加功能(néng)。
開(kāi)源工具最大的缺點是漏洞庫可能(néng)沒(méi)有付費軟件那麼(me)全面(miàn)。
1. Arachni
Arachni是一款基于Ruby框架搭建的高性能(néng)安全掃描程序,适用于現代Web應用程序。可用于Mac、Windows及Linux系統的可移植二進(jìn)制文件。
Arachni不僅能(néng)對(duì)基本的靜态或CMS網站進(jìn)行掃描,還(hái)能(néng)夠做到對(duì)以下平台指紋信息((硬盤序列号和網卡物理地址))的識别。且同時(shí)支持主動檢查和被(bèi)動檢查。
Windows、Solaris、Linux、BSD、Unix
Nginx、Apache、Tomcat、IIS、Jetty
Java、Ruby、Python、ASP、PHP
Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony
一般檢測的漏洞類型包括:
NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入
跨站請求僞造
路徑遍曆
本地/遠程文件包含
Response splitting
跨站腳本
未驗證的DOM重定向(xiàng)
源代碼披露
另外,你可以選擇輸出HTML、XML、Text、JSON、YAML等格式的審計報告。
Arachni幫助我們以插件的形式將(jiāng)掃描範圍擴展到更深層的級别。
2. XssPy
一個有力的事(shì)實是,微軟、斯坦福、摩托羅拉、Informatica等很多大型企業機構都(dōu)在用這(zhè)款基于python的XSS(跨站腳本)漏洞掃描器。它的編寫者Faizan Ahmad才華出衆,XssPy是一個非常智能(néng)的工具,不僅能(néng)檢查主頁或給定頁面(miàn),還(hái)能(néng)夠檢查網站上的所有鏈接以及子域。因此,XssPy的掃描非常細緻且範圍廣泛。
3. w3af
w3af是一個從2006年年底開(kāi)始的基于Python的開(kāi)源項目,可用于Linux和Windows系統。w3af能(néng)夠檢測200多個漏洞,包括OWASP top 10中提到的。
w3af能(néng)夠幫你將(jiāng)payload注入header、URL、cookies、字符串查詢、post-data等,利用Web應用程序進(jìn)行審計,且支持各種(zhǒng)記錄方法完成(chéng)報告,例如:
CSV
HTML
Console
Text
XML
這(zhè)個程序建立在一個插件架構上,所有可用插件地址:click here。
4. Nikto
相信很多人對(duì)Nikto并不陌生,這(zhè)是由Netsparker(專做web安全掃描器企業,總部坐标英國(guó))贊助的開(kāi)源項目,旨在發(fā)現Web服務器配置錯誤、插件和Web漏洞。Nikto對(duì)6500多個風險項目進(jìn)行過(guò)綜合測試。支持HTTP代理、SSL或NTLM身份驗證等,還(hái)能(néng)确定每個目标掃描的最大執行時(shí)間。
Nikto也适用于Kali Linux。
Nikto在企業内部網絡解決方案中查找web服務器安全風險的應用前景非常廣闊。
5. Wfuzz
Wfuzz(Web Fuzzer)也是滲透中會(huì)用到的應用程序評估工具。它可以對(duì)任何字段的HTTP請求中的數據進(jìn)行模糊處理,對(duì)Web應用程序進(jìn)行審查。
Wfuzz需要在被(bèi)掃描的計算機上安裝Python。具體的使用指南可參見這(zhè)個:鏈接。
6. OWASP ZAP
ZAP(Zet Attack Proxy)是全球數百名志願者程序員在積極更新維護的著名滲透測試工具之一。它是一款跨平台的Java工具,甚至都(dōu)可以在Raspberry Pi上運行。ZAP在浏覽器和Web應用程序之間攔截和檢查消息。
ZAP值得一提的優良功能(néng):
Fuzzer
自動與被(bèi)動掃描
支持多種(zhǒng)腳本語言
Forced browsing(強制浏覽)
7. Wapiti
Wapiti掃描特定的目标網頁,尋找能(néng)夠注入數據的腳本和表單,從而驗證其中是否存在漏洞。它不是對(duì)源代碼的安全檢查,而是執行黑盒掃描。
支持GET和POST HTTP請求方式、HTTP和HTTPS代理以及多個認證等。
8. Vega
Vega由Subgraph開(kāi)發(fā),Subgraph是一個用Java編寫的多平台支持工具,用于查找XSS,SQLi、RFI和很多其它的漏洞。
Vega的圖形用戶界面(miàn)相對(duì)來說(shuō)比較美觀。它可以通過(guò)特定的憑證登錄某個應用後(hòu)執行自動掃描。
如果你懂開(kāi)發(fā),還(hái)可以利用vega API創建新的攻擊模塊。
9. SQLmap
顧名思義,我們可以借助sqlmap對(duì)數據庫進(jìn)行滲透測試和漏洞查找。
支持所有操作系統上的Python 2.6或2.7。如果你正在查找SQL注入和數據庫漏洞利用,sqlmap是一個好(hǎo)助手。
10. Grabber
這(zhè)也是一個做得不錯的Python小工具。這(zhè)裡(lǐ)列舉一些特色功能(néng):
JavaScript源代碼分析器
跨站點腳本、SQL注入、SQL盲注
利用PHP-SAT的PHP應用程序測試
下載地址:click here。
11. Golismero
這(zhè)是一個管理和運行Wfuzz、DNS recon、sqlmap、OpenVas、機器人分析器等一些流行安全工具的框架。
Golismero非常智能(néng),能(néng)夠整合其它工具的測試反饋,輸出一個統一的結果。
12. OWASP Xenotix XSS
OWASP的Xenotix XSS是一個用于查找和利用跨站點腳本的高級框架,内置了三個智能(néng)模糊器,用于快速掃描和結果優化。
這(zhè)款工具有上百個功能(néng)
網絡安全對(duì)于在線業務至關重要,希望上面(miàn)這(zhè)些免費的漏掃程序能(néng)夠幫助各位讀者及時(shí)發(fā)現風險,在被(bèi)惡意人員利用之前即完成(chéng)漏洞修複。