有哪些開源 Web 應用漏洞掃描工具

有以下開源 Web 應用漏洞掃描工具：

• Grabber：Grabber是Kali Linux集成的一款Web應用掃描工具。該工具適合中小Web應用，如個人博客、論壇等。該工具使用Python語言編寫，支持常見的漏洞檢測，如XSS、SQL注入、文件包含、備份文件檢測、Ajax檢測、Crytal Ball檢測等功能。該工具只進行掃描，不實施漏洞利用。由于功能簡單，所以使用非常方便，用戶只要指定掃描目標和檢測項目后，就可以進行掃描了。

• Paros：Paros 是一種利用純 java 語言開發的安全漏洞掃描工具，它主要是為了滿足那些需要對自己的 web 應用程序進行安全檢測的應用者而設計的。通過 Paros 的本地代理，所有在客戶端與服務器端之間的 http 和 https 數據信息，包括 cookie 和表單信息都將被攔截或者是修改。

• Nikto：Nikto是一款開源的（GPL）Web服務器掃描工具，它可以對網頁服務器進行全面的多種掃描，包含超過3300種有潛在危險的文件/CGIs；超過625種服務器版本；超過230種特定服務器問題。掃描項和插件可以自動更新（如果需要）。基于Whisker/libwhisker完成其底層功能。這是一款非常棒的工具，但其軟件本身并不經常更新，最新和最危險的可能檢測不到。

• Wfuzz：Wfuzz是一個基于Python的Web爆破程序，它支持多種方法來測試WEB應用的漏洞。你可以審計參數、登錄認證、GET/POST方式爆破的表單，并且可以發掘未公開的資源，比如目錄、文件和頭部之類的。

• OWASP ZAP：OWASP Zed攻擊代理(ZAP)是一個易于使用的集成滲透測試工具，用于發現web應用程序中的漏洞。它是為具有廣泛安全經驗的人設計的，因此對于新接觸滲透測試的開發人員和功能測試人員是理想的，并且是有經驗的滲透測試人員工具箱的有用補充。OWASP_ZPA 支持截斷代理，主動、被動掃描，Fuzzy，暴力破解并且提供 API。是世界上最受歡迎的免費安全工具之一。ZAP 可以幫助我們在開發和測試應用程序過程中，自動發現 Web 應用程序中的安全漏洞。

• Wapiti：Wapiti是Web應用程序漏洞錯誤檢查工具。它具有“暗箱操作”掃描，即它不關心Web應用程序的源代碼，但它會掃描網頁的部署，尋找使其能夠注入數據的腳本和格式。它用于檢測網頁，看腳本是否脆弱的。Wapiti是一個開源的安全測試工具，可用于Web應用程序漏洞掃描和安全檢測。

回答所涉及的環境：聯想天逸510S、Windows 10。