12種開源Web安全掃描程序 - 網安 - 專業的網絡安全產業、社區、知識平臺

1. Arachni

Arachni是一款基于Ruby框架構建的高性能安全掃描程序，適用于現代Web應用程序。它可用于Mac，Windows和Linux的便攜式二進制文件

Arachnin能適用于下面的平臺和語言

漏洞檢測有下面這些：

可以選擇使用HTML，XML，文本，JSON，YAML等格式的審計報告,Arachni可以利用插件將掃描范圍擴展到下一個級別

一個基于Python的XSS（跨站腳本）漏洞掃描器

w3af,從2006開始使用python開發的開源項目，可以用在window和linux環境下，

w3af可以將有效載荷注入到標題，URL，cookie，查詢字符串，后期數據等，以利用Web應用程序進行審計。它支持各種記錄方法進行報告。例如：

更多的功能可利用插件庫

Netsparker贊助的開源項目旨在發現Web服務器的配置錯誤，插件和網頁漏洞。Nikto對6500多個風險項目進行綜合測試。

它支持HTTP代理，SSL，或NTLM身份驗證等，并可以定義每個目標掃描的最大執行時間。

Nikola也可以在Kali Linux中使用

它看起來很有希望用于Intranet解決方案來查找Web服務器的安全風險

Wfuzz（Web Fuzzer）是針對滲透測試的應用程序評估工具。您可以對任何字段的HTTP請求中的數據進行模糊處理，以利用該Web應用程序并審核Web應用程序。Wfuzz需要在要運行掃描的計算機上安裝Python。

ZAP（Zet Attack Proxy）是全球數百名志愿者積極更新的著名滲透測試工具之一。它是跨平臺的基于Java的工具，可以在Raspberry Pi上運行。ZIP位于瀏覽器和Web應用程序之間，用于攔截和檢查消息

下面的一些值得一提的是ZAP的功能。

強烈建議查看OWASP ZAP教程視頻來學習

Wapiti掃描給定目標的網頁，并尋找腳本和表單來注入數據，看看是否有漏洞。它不是一個源代碼安全檢查，而是執行黑盒掃描。

它支持GET和POST HTTP方法，HTTP和HTTPS代理，多個認證等。

Vega由Subgraph開發，Subgraph是一個用Java編寫的多平臺支持工具，用于查找XSS，SQLi，RFI和許多其他漏洞。維加有良好的圖形用戶界面，并能夠通過登錄到具有給定憑據的應用程序來執行自動掃描。

如果您是開發人員，則可以利用vega API創建新的攻擊模塊

利用SQLmap可以對數據庫執行滲透測試來發現缺陷。

它適用于任何操作系統上的Python 2.6或2.7。如果你正在尋找SQL注入和利用數據庫，那么sqlmap會有幫助。

它是基于Python的小工具，并且做得很不錯。一些Grabber的功能是：

管理和運行Wfuzz，DNS recon，sqlmap，OpenVas，機器人分析器等一些流行安全工具的框架。

Golismero非常棒，它可以鞏固來自其他工具的測試反饋，并合并顯示一個單一的結果。

OWASP的Xenotix XSS是一個用于查找和利用跨站點腳本的高級框架。它內置了三個智能模糊器，用于快速掃描和改進結果。

它有數百個功能，我們可以看看這里列出的所有。

網絡安全對于在線業務至關重要，我希望上面列出的免費/開源漏洞掃描程序可以幫助您找到風險，以便在有人利用此漏洞之前減輕風險