Andrew
2
CISP-PTE
CISM-WSE
Andrew2
CISP-PTE
CISM-WSE
Arachni
Arachni是一款基于Ruby框架搭建的高性能安全掃描程序,適用于現代Web應用程序。可用于Mac、Windows及Linux系統的可移植二進制文件。
Wapiti
Wapiti掃描特定的目標網頁,尋找能夠注入數據的腳本和表單,從而驗證其中是否存在漏洞。它不是對源代碼的安全檢查,而是執行黑盒掃描。
SQLmap
顧名思義,我們可以借助sqlmap對數據庫進行滲透測試和漏洞查找。
XssPy
一個有力的事實是,微軟、斯坦福、摩托羅拉、Informatica等很多大型企業機構都在用這款基于python的XSS(跨站腳本)漏洞掃描器。它的編寫者Faizan Ahmad才華出眾,XssPy是一個非常智能的工具,不僅能檢查主頁或給定頁面,還能夠檢查網站上的所有鏈接以及子域。因此,XssPy的掃描非常細致且范圍廣泛。
w3af
w3af是一個從2006年年底開始的基于Python的開源項目,可用于Linux和Windows系統。w3af能夠檢測200多個漏洞,包括OWASP top 10中提到的。
Nikto
相信很多人對Nikto并不陌生,這是由Netsparker(專做web安全掃描器企業,總部坐標英國)贊助的開源項目,旨在發現Web服務器配置錯誤、插件和Web漏洞。Nikto對6500多個風險項目進行過綜合測試。支持HTTP代理、SSL或NTLM身份驗證等,還能確定每個目標掃描的最大執行時間。
OWASP Xenotix XSS
OWASP的Xenotix XSS是一個用于查找和利用跨站點腳本的高級框架,內置了三個智能模糊器,用于快速掃描和結果優化。
Wfuzz
Wfuzz(Web Fuzzer)也是滲透中會用到的應用程序評估工具。它可以對任何字段的HTTP請求中的數據進行模糊處理,對Web應用程序進行審查。
OWASP ZAP
ZAP(Zet Attack Proxy)是全球數百名志愿者程序員在積極更新維護的著名滲透測試工具之一。它是一款跨平臺的Java工具,甚至都可以在Raspberry Pi上運行。ZAP在瀏覽器和Web應用程序之間攔截和檢查消息。
Vega
Vega由Subgraph開發,Subgraph是一個用Java編寫的多平臺支持工具,用于查找XSS,SQLi、RFI和很多其它的漏洞。
Vega的圖形用戶界面相對來說比較美觀。它可以通過特定的憑證登錄某個應用后執行自動掃描。
Golismero
這是一個管理和運行Wfuzz、DNS recon、sqlmap、OpenVas、機器人分析器等一些流行安全工具的框架。
推薦文章
