WEB漏洞扫描的开源工具

      很多受欢迎的网站都曾遭到过黑客入侵而蒙受经济损失，web 漏洞扫描器是一种软件程序，可在 Web 应用程序上执行自动黑盒测试并识别安全漏洞，扫描程序不访问源代码，只执行功能测试并尝试查找安全漏洞。在这篇文章中，我们列出了 14 个免费开源 Web 应用程序漏洞扫描器，排名不分先后。

1.Grabber
       Grabber 是一款免费开源的 Web 应用程序扫描程序，可以检测 Web 应用程序中的大多数安全漏洞，可以检测以下漏洞：跨站脚本，SQL 注入，Ajax 测试，文件包含，JS 源代码分析器，备份文件检查。Grabbe 仅用于测试小型 Web 应用程序，因为扫描大型应用程序需要花费太多时间。此工具不提供任何 GUI 界面，也无法创建任何 PDF 报告。该工具主要面向个人使用。
      下载地址：https://github.com/neuroo/grabber

2.Vega
      Vega 是一个免费开源 Web 漏洞扫描程序和测试平台。使用此工具，您可以执行 Web 应用程序的安全性测试。该工具用 Java 编写，并提供基于 GUI 的环境，适用于 OS X，Linux 和 Windows。可用于查找 SQL 注入，标头注入，目录列表，shell 注入，跨站点脚本，文件包含和其他 Web 应用程序漏洞。
      下载地址：https://subgraph.com/vega/

3.Zed Attack Proxy
      Zed Attack Proxy 是开源的，由 AWASP 开发。适用于 Windows，Unix / Linux 和 Macintosh 平台。可用于在 Web 应用程序中查找各种漏洞，该工具简单易用。即使您不熟悉渗透测试，也可以轻松使用此工具开始学习 Web 应用程序的渗透测试。ZAP 包含以下关键功能：拦截代理，自动扫描仪，蜘蛛，模糊器，Web 套接字支持，即插即用支持，身份验证支持，基于 REST 的 API，动态 SSL 证书，智能卡和客户端数字证书支持。
       下载地址：https://github.com/zaproxy/zaproxy

4.Wapiti
      Wapiti 是一个不错的 Web 漏洞扫描程序，可审核 Web 应用程序的安全性。通过扫描网页和注入数据来执行黑盒测试，尝试注入有效负载并查看脚本是否容易受到攻击，支持 GET 和 POSTHTTP 攻击并检测多个漏洞。可以检测以下漏洞：文件披露，文件包含，跨站点脚本（XSS），命令执行检测，CRLF 注射，SEL 注射和 Xpath 注射，.htaccess 配置，备份文件披露等。
      下载地址：http://wapiti.sourceforge.net/

5.W3af
      W3af 是一种流行的 Web 应用程序攻击和审计框架。该框架旨在提供更好的 Web 应用程序渗透测试平台，使用 Python 开发。通过使用此工具，您能够识别 200 多种 Web 应用程序漏洞，包括 SQL 注入，跨站点脚本和许多其他漏洞。
      下载地址：http://w3af.org/

6.WebScarab
      WebScarab 是一个基于 Java 的安全框架，用于使用 HTTP 或 HTTPS 协议分析 Web 应用程序。使用可用的插件，可以扩展该工具的功能。此工具用作拦截代理。因此，您可以查看来自浏览器并转到服务器的请求和响应，还可以在服务器或浏览器收到请求或响应之前修改它们。此工具不适合初学者，此工具专为那些对 HTTP 协议有很好理解并且可以编写代码的人而设计。
 下载地址：https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

7.Skipfish
     Skipfish 也是一个不错的 Web 应用程序安全工具。它抓取网站，然后检查每个页面是否存在各种安全威胁，然后准备最终报告。该工具用 C 语言编写。针对 HTTP 处理进行了高度优化，并且利用了最少的 CPU。Skipfish 声称每秒可以轻松处理 2000 个请求而无需在 CPU 上添加负载。
      下载地址：https://code.google.com/archive/p/skipfish/

8.Ratproxy
     Ratproxy 也是一个开源 Web 应用程序安全审计工具，可用于查找 Web 应用程序中的安全漏洞。它支持 Linux，FreeBSD，MacOS X 和 Windows（Cygwin）环境。此工具旨在克服用户在使用其他代理工具进行安全审核时通常会遇到的问题。它能够区分 CSS 样式表和 JavaScript 代码。它还支持中间人攻击中的 SSL 人员，这意味着您还可以看到通过 SSL 传递的数据。
      下载地址：https://code.google.com/archive/p/ratproxy/

9.SQLMap
      SQLMap 是一种开源渗透测试工具，它可以自动执行在网站数据库中查找和利用 SQL 注入漏洞的过程。它具有强大的检测引擎和一些有用的功能。因此，渗透测试人员可以轻松地在网站上执行 SQL 注入检查。
       下载地址：https://github.com/sqlmapproject/sqlmap

10.Wfuzz
      Wfuzz 是一个免费开源的 Web 应用程序渗透测试工具，可用于强制 GET 和 POST 参数，以便针对 SQL，XSS，LDAP 等许多类型的注入进行测试。它还支持 cookie 模糊测试，多线程，SOCK，代理，身份验证，参数暴力破解，多代理等。
      下载地址：https://github.com/xmendez/wfuzz

11.Grendel-Scan
     Grendel-Scan 是一个开源 Web 应用程序安全工具，是一种用于在 Web 应用程序中查找安全漏洞的自动工具。许多功能也可用于手动渗透测试。此工具适用于 Windows，Linux 和 Macintosh，该工具用 Java 开发。
      下载地址：https://sourceforge.net/projects/grendel/

12.Watcher
      Watcher 是一种被动的网络安全扫描程序，它不会攻击大量请求或爬网目标网站。它是 Fiddler 的附加组件，所以你需要先安装 Fiddler 然后安装 Watcher 才能使用它。
      下载地址：http://websecuritytool.codeplex.com/

13.X5S
      X5s 也是 Fiddler 的一个附加组件，旨在提供一种查找跨站点脚本漏洞的方法。这不是一个自动工具，您需要手动查找注入点，然后检查 XSS 在应用程序中的位置。
      下载地址：https://archive.codeplex.com/?p=xss

14.Arachni
     Arachni 是一个开源工具，专为提供渗透测试环境而开发。此工具可以检测各种 Web 应用程序安全漏洞。它可以检测各种漏洞，如 SQL 注入，XSS，本地文件包含，远程文件包含，未经验证的重定向等等。
       下载地址：http://www.arachni-scanner.com/

结论
     这是一些比较常见的开源 Web 应用程序安全测试工具，我尽力列出在线提供的所有工具。如果您想开始渗透测试，我建议使用为渗透测试创建的 Linux 发行版。

博客：wuchangsoft

原文链接：https://www.cnblogs.com/wuchangsoft/p/10950879.html

本文始发于微信公众号（LemonSec）：WEB漏洞扫描的开源工具