与其他安全扫描仪相比,它的速度不是很快,但它简单且便携。它只能用于测试小型 Web 应用程序,因为大型应用程序需要很长时间才能扫描。该工具不提供任何 GUI 界面。它也无法生成PDF报告。该工具设计简单且适合个人使用。如果您考虑将其用于专业用途,我不会推荐它。该工具是用Python开发的,如果您需要,也可以使用可执行版本。源代码可用,因此您可以修改它以满足您的需要。主要脚本是grabber.py,一旦执行就会调用其他模块,例如sql.py、xss.py或其他模块。
织女星
Vega 是另一个免费开源的 Web 漏洞扫描器和测试平台。您可以使用该工具来执行Web应用程序安全测试。该工具是用 Java 编写的,并提供基于 GUI 的环境。它适用于 OS X、Linux 和Windows。它 爱沙尼亚数据电报 可用于查找 SQL 注入、标头注入、目录列表、shell 注入、跨站点脚本、文件包含和其他 Web 应用程序漏洞。该工具还可以使用用 JavaScript 编写的强大API进行扩展。使用该工具时,您可以设置多个参数,例如路径的子路径总数、节点的子路径数、深度和每秒最大请求数。您可以使用 Vega Scanner、Vega Proxy 和 Proxy Scanner,并使用凭据进行扫描。
Zed 攻击代理
Zed 攻击代理也称为 ZAP。它是OWASP开发的开源工具。它可用于 Windows、Unix/Linux 和 Macintosh 平台。我个人很喜欢这个工具。它可用于查找 Web 应用程序中的各种漏洞。该工具非常简单且易于使用。即使您是渗透测试新手,您也可以轻松使用此工具开始学习Web 应用程序渗透测试。 ZAP的主要功能如下:
拦截代理
自动扫描仪
传统但强大的蜘蛛
模糊器
Websocket 支持
即插即用支持
认证支持
基于 REST 的 API
动态SSL证书
支持智能卡和客户端数字证书
您可以使用该工具作为爬虫,通过输入 URL 来执行扫描,也可以使用该工具作为拦截代理,在特定页面上手动运行测试。
麋鹿
Wapiti 是一款 Web 漏洞扫描器,可让您审核Web 应用程序的安全性。它通过抓取网页和注入数据来执行黑盒测试。它尝试注入有效负载并检查脚本是否容易受到攻击。它支持GET 和 POSTHTTP攻击并检测许多漏洞。它可以检测以下漏洞:
文件披露
包括文件
跨站脚本(XSS)
命令执行检测
回车换行注入
SEL 注入和 XPath 注入
.htaccess配置较弱
发现备份文件
还有很多其他人
Wapiti 是一个命令行应用程序,因此对于初学者来说可能并不容易。但对于专家来说,它会运作良好。使用这个工具需要学习很多命令,这些命令可以在官方文档中找到。
W3af
W3af 是用于攻击和审核 Web 应用程序的流行平台。该框架旨在为 Web 应用程序的渗透测试提供最佳平台。它是使用 Python 开发的。使用此工具,您可以识别 200 多种类型的 Web 应用程序漏洞,包括 SQL 注入、跨站点脚本攻击等。它带有图形和控制台界面。由于其简单的界面,您可以轻松使用它。如果您使用的是 GUI ,我认为这个工具不会有任何问题。您只需选择选项,然后启动扫描仪。如果站点需要身份验证,您还可以使用身份验证模块来爬网受会话保护的页面。我们已经在之前有关 W3af的系列文章中详细介绍了该工具。您可以阅读这些文章以了解有关此工具的更多信息。
- Board index
- All times are UTC
- Delete cookies
- Contact us