当前位置:首页 > 天道酬勤 > 正文内容

在线web漏洞扫描(java漏洞扫描器源码)

张世龙2021年12月20日 18:12天道酬勤580

在赛门铁克2017年的互联网安全威胁报告中,今年扫描的网站中有76%含有恶意软件。 如果使用WordPress,SUCURI的另一份报告显示,70%以上的被扫描站点也存在一个或多个漏洞。

如果你正好是某个网络APP的所有者,怎么才能确保网站安全、不泄露机密信息呢?

对于基于云的安全解决方案,可能只需要常规扫描泄漏。 否则,必须进行定期扫描,并采取必要的操作以降低安全风险。

当然,许多收费扫描仪功能将更加全面和严格,包括报告输出、警报和详细的紧急指南等附加功能。

开源工具最大的缺点是漏洞库可能不像收费软件那样全面。

1. Arachni

Arachni是一个基于Ruby框架构建的高性能安全扫描程序,适用于现代网络APP。 可移植的二进制文件,可用于Mac、Windows和Linux系统。

Arachni不仅可以扫描基本的静态或CMS站点,还可以识别以下平台的指纹信息()硬盘序列号和网卡的物理地址) ) ) )。 同时支持主动检查和被动检查。

Windows、Solaris、Linux、BSD、Unix

Nginx、Apache、Tomcat、IIS、Jetty

Ava、Ruby、Python、ASP、PHP

Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

一般检测到的漏洞类型包括:

o注入SQL/blind/SQL /代码/LDAP /命令/XPath

跨车站要求伪造

遍历性

本地/远程文件包括

响应剥离

跨网站订阅

未经验证的DOM重定向

源代码的公开

也可以输出HTML、XML、Text、JSON、YAML等形式的鉴定报告。

作为一个插件,Arachni帮助将扫描范围扩展到了更深的级别。

2. XssPy

的一个有力事实是,微软、斯坦福、摩托罗拉、Informatica等多家大公司都在使用基于python的跨网站脚本(XSS )漏洞扫描仪。 其作者Faizan Ahmad很有才华,XssPy是一个非常聪明的工具,不仅可以检查主页和给定的页面,还可以检查网站上的所有链接和子域。 因此,XssPy的扫描非常精细,范围很广。

3. w3af

w3af从2006年末开始是基于Python的开源项目,可以在Linux和Windows系统上使用。 w3af可以检测200多个漏洞,如OWASP top 10中提到的。

w3af帮助将payload注入到header、URL、cookies、字符串查询、后期数据等中,利用网络APP进行身份验证,并通过多种记录方法完成报告,包括

中央电视台

HTML

控制台

文本

XML

邮件

该程序构建在插件体系结构上,所有可用的插件地址均为click here。

我想很多人对

4. Nikto

NikTo不太了解。 这是一个开源项目,由net sparker (网络安全扫描仪专用公司,总部坐标英国)赞助,以发现web服务器的配置错误、插件和web漏洞。 Nikto对6500多个风险项目进行了综合测试。 支持HTTP代理、SSL、NTLM认证等,还决定了各目标扫描的最大执行时间。

Nikto也适用于Kali Linux。

Nikto在公司内部网络解决方案中寻找web服务器安全风险的应用前景非常广阔。

5. Wfuzz

wfuzz(webfuzzer )也是渗透过程中使用的APP评估工具。 可以对任何字段的HTTP请求中的数据进行模糊处理,并查看web APP。

Wfuzz需要在扫描的计算机上安装Python。 的具体使用指南见此。 链接。

6. OWASP ZAP

zap(zetattackproxy )是全球数百名志愿者程序员积极更新维护的著名渗透测试工具之一。 这是一个跨平台的Java工具,也可以在Raspberry Pi上运行。 ZAP在浏览器和web APP之间拦截和检查消息。

p26.toutiaoimg.com/origin/4b020000162a9645886f.png?from=pc">

ZAP值得一提的优良功能:

Fuzzer

自动与被动扫描

支持多种脚本语言

Forced browsing(强制浏览)

7. Wapiti

Wapiti扫描特定的目标网页,寻找能够注入数据的脚本和表单,从而验证其中是否存在漏洞。它不是对源代码的安全检查,而是执行黑盒扫描。

支持GET和POST HTTP请求方式、HTTP和HTTPS代理以及多个认证等。

8. Vega

Vega由Subgraph开发,Subgraph是一个用Java编写的多平台支持工具,用于查找XSS,SQLi、RFI和很多其它的漏洞。

Vega的图形用户界面相对来说比较美观。它可以通过特定的凭证登录某个应用后执行自动扫描。

如果你懂开发,还可以利用vega API创建新的攻击模块。

9. SQLmap

舒适的枫叶,我们可以借助sqlmap对数据库进行渗透测试和漏洞查找。

支持所有操作系统上的Python 2.6或2.7。如果你正在查找SQL注入和数据库漏洞利用,sqlmap是一个好助手。

10. Grabber

这也是一个做得不错的Python小工具。这里列举一些特色功能:

JavaScript源代码分析器

跨站点脚本、SQL注入、SQL盲注

利用PHP-SAT的PHP应用程序测试

下载地址:click here。

11. Golismero

这是一个管理和运行Wfuzz、DNS recon、sqlmap、OpenVas、机器人分析器等一些流行安全工具的框架。

Golismero非常智能,能够整合其它工具的测试反馈,输出一个统一的结果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架,内置了三个智能模糊器,用于快速扫描和结果优化。

这款工具有上百个功能

网络安全对于在线业务至关重要,希望上面这些免费的漏扫程序能够帮助各位读者及时发现风险,在被恶意人员利用之前即完成漏洞修复。

扫描二维码推送至手机访问。

版权声明:本文由花开半夏のブログ发布,如需转载请注明出处。

本文链接:https://www.zhangshilong.cn/work/25792.html

分享给朋友:

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。