Web安全漏洞掃描技術是一種用于檢測Web應用中潛在的漏洞或者安全風險的自動化測試技術。Web安全掃描工具可以模擬黑客行為,檢測常見的漏洞,例如:Sql注入、XSS、文件上傳、目錄遍歷等。Web漏洞掃描工具可以用于檢測Web應用程序中可能存在的漏洞,例如:代碼注入、代碼泄漏、跨站腳本、跨站請求偽造、會話劫持、文件傳輸?shù)取?/p>
Web安全漏洞掃描的步驟一般包括:
- 收集信息:收集目標網站的信息,如:IP地址、網站結構等。
- 創(chuàng)建安全策略:基于目標網站,結合網站信息,制定必要的掃描和隔離策略。
- 執(zhí)行掃描并確認結果:使用掃描程序對目標網站進行掃描,分析頁面、輸入、輸出,人工審核掃描結果,確認漏洞。
- 制定修復計劃:根據(jù)掃描結果,制定相應的修復計劃以及修復技術、方法。
- 修復漏洞并維護Web:處理漏洞缺陷,確保Web應用安全可靠。
目前市面上有許多Web安全漏洞掃描軟件,有商業(yè)的也有開源免費的,例如AppScan就是一個比較流行的商用Web安全掃描工具。
在這篇文章中,我主要列出一些最好的免費開源Web應用程序漏洞掃描軟件。
1.OWASP ZAP (Zed Attack Proxy)
源碼地址:https://Github.com/zaproxy/zaproxy
Zed Attack Proxy(ZAP)是最流行的開源Web應用程序安全測試工具之一。它由OWASP開發(fā),旨在在開發(fā)和測試應用程序時自動檢測Web應用程序中的安全漏洞。ZAP輸出的報告非常直觀,能夠給出明確的漏洞指示,便于深入地收集更多的信息。
另外,它還允許開發(fā)人員/質量工程師在CI/CD管道中自動執(zhí)行應用程序安全回歸測試。
2.W3af、Web應用程序審計框架
官網:https://w3af.org/
GitHub源碼地址:https://github.com/andresriancho/w3af
W3af是一個強大的開源Web應用程序攻擊和審計框架。它作為Web應用程序的滲透測試平臺,目的是識別包括SQL注入、跨站腳本等200多種Web應用程序漏洞。另外,W3af使用Python/ target=_blank class=infotextkey>Python開發(fā),工具帶有圖形和控制臺界面,易用性較好。
3.Arachni
源碼地址:https://github.com/Arachni/arachni
Arachni是一個用于現(xiàn)代Web應用程序的高性能開源工具。它能夠識別各種各樣的安全問題,如:SQL注入、XSS、本地文件包含、遠程文件包含、未經驗證的重定向等。
4.Nikto
源碼地址:https://github.com/sullo/nikto
Nikto是一款流行的開源Web服務器掃描程序,可對Web服務器進行全面測試,以檢查危險文件、過時的服務器軟件和其他潛在漏洞。
5.Skipfish
源碼地址:https://code.google.com/archive/p/skipfish/source
下載地址:https://code.google.com/archive/p/skipfish/downloads
Skipfish是一個Google的開源Web安全掃描工具。它通過抓取網站,并檢查每個頁面的各種安全威脅,之后編寫最終報告。
這個工具是用C開發(fā)的。針對HTTP處理和CPU最小化進行了高度優(yōu)化。它聲稱它每秒可以輕松地處理2000個請求,而不會增加CPU的負載。
此工具支持linux、FreeBSD、macOS X和windows系統(tǒng)。
6.SQLMap
源碼地址:https://github.com/sqlmapproject/sqlmap
SQLMap是一個流行的開源網站滲透測試工具。它可以自動查找網站數(shù)據(jù)庫中的SQL注入漏洞。具有強大的檢測引擎和許多有用的功能。
它支持一系列數(shù)據(jù)庫服務器,包括MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、MySQL和SAP MaxDB等。它完全支持六種SQL注入技術,包括:基于時間的盲測、基于布爾的盲測、基于錯誤、UNION查詢、堆棧查詢、帶外數(shù)據(jù)等。
7.Wfuzz
源碼地址:https://github.com/xmendez/wfuzz
Wfuzz是一個用于Web應用程序滲透測試的免費開源工具。可以用于執(zhí)行GET和POST帶參數(shù)的暴力測試,以檢測各種注入,如:SQL、XSS、LDAP等。它支持cookie fuzzing、多線程、SOCK、代理、身份驗證、參數(shù)暴力測試、多個代理等Web環(huán)境。缺點是此工具不提供GUI界面,必須使用命令行界面。
