5. Web vulnerability scanners (网页漏洞扫描器 20个)

Burp Suite是攻击Web应用程序的集成平台。 它包含各种工具,它们之间有许多接口,旨在方便和加快攻击应用程序的过程。 所有这些工具为处理和显示HTTP消息,持久性,身份验证,代理,日志记录,警报和可扩展性共享相同框架。 有一个有限制的免费版本,还有Burp Suite Professional(每位用户每年299美元)。

Nikto是一个开源(GPL)Web服务器扫描程序,可针对多个项目对Web服务器执行全面测试,包括超过6400个潜在危险文件/ CGI,检查超过1200个服务器的过时版本,以及超过270个服务器上的特定于版本的问题。 它还检查服务器配置项目,例如是否存在多个索引文件,HTTP服务器选项,并将尝试识别已安装的Web服务器和软件。 扫描项目和插件经常更新,可以自动更新。

W3af是一个非常受欢迎,功能强大且灵活的框架,用于查找和利用Web应用程序漏洞。 它易于使用和扩展,并具有数十个Web评估和开发插件。 在某些方面,它就像一个以网络为中心的Metasploit

用于评估Web应用程序漏洞的基于Java的Web代理。 它支持在运行时编辑/查看HTTP / HTTPS消息,以更改Cookie和表单字段等项。 它包括网络流量记录器,网络蜘蛛,哈希计算器和用于测试常见的Web应用程序攻击(如SQL注入和跨站点脚本)的扫描程序。

在最简单的形式下,WebScarab记录它所观察到的对话(请求和响应),并允许操作员以各种方式对它们进行检查。 WebScarab旨在成为任何一个需要暴露基于HTTP(S)的应用程序的工作方式的工具,无论是允许开发人员调试其他难题,还是允许安全专家以应用程序的方式识别漏洞,都已被设计或实施在里面。

sqlmap是一个开放源码渗透测试工具,可自动检测和利用SQL注入漏洞和接管后端数据库服务器的处理。 它具有广泛的功能,从数据库指纹识别到从数据库获取数据,甚至访问底层文件系统,并通过带外连接执行OS命令。 作者建议从Subversion版本库中使用开发版本。

skipfish是一个活跃的Web应用安全侦察工具。 它通过执行递归爬网和基于字典的探针为目标网站准备一个交互式站点地图。 然后,生成的映射将从多个安全检查活动中(但希望无中断)的输出进行注释。 该工具生成的最终报告旨在作为专业Web应用程序安全性评估的基础。

Acunetix是一个Web漏洞扫描程序,可自动检查Web应用程序的漏洞,例如SQL注入,跨站点脚本,任意文件创建/删除以及验证页面上的弱密码强度。 它拥有一个舒适的GUI,创建专业的安全审计和合规报告的能力,以及高级手动webapp测试的工具。

AppScan在整个应用程序开发生命周期中提供安全测试,在开发阶段可以提前放宽单元测试和安全保证。 Appscan扫描许多常见漏洞,例如跨站点脚本,HTTP响应拆分,参数篡改,隐藏字段操作,后门/调试选项,缓冲区溢出等。 2007年IBM收购了其早期开发人员(Watchfire)后,AppScan被并入IBM的Rational部门。

Netsparker是一个Web应用程序安全扫描程序,支持检测和利用漏洞。 它的目标是通过在成功利用或以其他方式测试漏洞之后报告确认的漏洞来收费(false positive–free)

WebInspect是一个Web应用程序安全评估工具,可帮助识别Web应用程序层中的已知和未知的漏洞。 它还可以帮助检查Web服务器是否正确配置,并尝试常见的Web攻击,如参数注入,跨站点脚本,目录遍历等。 它是由Spidynamics制作的,它现在是HP的部门。

Wikto是一种检测网络服务器漏洞的工具。 它提供与Nikto大致相同的功能,但添加了各种有趣的功能,例如后端矿工和关闭Google集成。 Wikto是针对MS .NET环境编写的,需要注册才能下载二进制 和/或 源代码。

Samurai Web测试框架是一个的live linux环境,已经预先配置为用作Web渗透测试环境。 CD包含最好的开源和免费工具,专注于测试和攻击网站。 武士包括许多其他工具,如WebScarab,ratproxy,w3af,Burp Suite和BeEF。

Firebug是Firefox的附件,可以访问浏览器内部。 它具有HTML和CSS的实时编辑,DOM查看器和JavaScript调试器。 Web应用程序安全测试人员欣赏能够看到浏览器幕后发生的情况能力。

Ratproxy是一种半自动化,很大程度上被动的Web应用程序安全审计工具。 旨在补充更常用于此任务的主动爬虫和手动代理,为精确和敏感的检测和自动注释特殊优化, 潜在问题和安全相关设计模式基于在复杂的Web 2.0环境中存在的用户起始流量观察。

Websecurify是一个强大的Web应用程序安全测试环境,从底部向上开始,提供自动和手动漏洞测试技术的最佳组合。

Grendel-Scan是一款开源Web应用程序安全测试工具。 它具有用于检测常见Web应用程序漏洞的自动化测试模块,以及辅助手动渗透测试安排的功能。

DirBuster在Web服务器上搜索隐藏的页面和目录。 有时候,开发人员会留下访问页面,但是没有链接; DirBuster旨在发现这些潜在的漏洞。 这是OWASP开发的一个Java应用程序。

Wfuzz是一个强化Web应用程序的工具,它可用于查找没有链接的资源(目录,servlet,脚本等),强制执行不同类型注入(SQL,XSS,LDAP等)的GET和POST参数,强制提交表单参数(用户/密码),模糊测试等。

Wapiti允许您审核Web应用程序的安全性。 它执行“黑匣子”扫描; 即,它不研究应用程序的源代码,但会扫描部署有webapp的网页,寻找可以注入数据的脚本和表单。 一旦得到这个列表,Wapiti就像一个fuzzer,注入有效负载,看看脚本是否易受攻击。

5. Web vulnerability scanners (网页漏洞扫描器 20个)的更多相关文章

  1. 6. Vulnerability scanners (漏洞扫描器 11个)

    Nessus是最流行和最有能力的漏洞扫描程序之一,特别为UNIX系统. 它最初是免费的和开源的,但是他们在2005年关闭了源代码,并在2008年删除了免费的“注册Feed”版本.现在要每年花费2,19 ...

  2. Acunetix Web Vulnerability Scanner(WVS)(Acunetix网络漏洞扫描器)

    Acunetix网络漏洞扫描软件检测您网络的安全性安全测试工具Acunetix Web Vulnerability Scanner(WVS) (Acunetix网络漏洞扫描器)技术 网络应用安全扫描技 ...

  3. 小陈WEB漏洞扫描器 V2.0

    小陈WEB漏洞扫描器 V2.0 小陈WEB漏洞扫描器 V2.0 https://pan.baidu.com/s/1NSmFCyxowEa3YlOuhvtwwQ

  4. web网络漏洞扫描器编写

    这两天看了很多web漏洞扫描器编写的文章,比如W12scan以及其前身W8scan,还有猪猪侠的自动化攻击背景下的过去.现在与未来,以及网上很多优秀的扫描器和博客,除了之前写了一部分的静湖ABC段扫描 ...

  5. Back Track 5 之 Web踩点 && 网络漏洞

    Web踩点 CMS程序版本探测 Blindelephant 针对WORDPRESS程序的踩点工具,通过比较插件等一系列的指纹,判断版本. 格式: Python Blindelephant.py [参数 ...

  6. qqzoneQQ空间漏洞扫描器的设计attilax总结

    qqzoneQQ空间漏洞扫描器的设计attilax总结 1.1. 获取对方qq(第三方,以及其他机制)1 1.2. QQ空间的html流程1 1.3. 判断是否有权限1 1.4. 2015年度Web服 ...

  7. 经典网页设计:20个华丽的 iPhone 应用程序演示网站

    一个物品销售很好,重要的原因之一是它的包装,因为这是最重要的细节,可以把一个人转变成购买者.一个好的包装设计和良好的表现比产品本身更重要,因此被分配了大量的金钱和资源,以创造伟大的东西. 因此,为了销 ...

  8. Acunetix Web Vulnerability Scanner Python辅助脚本

    WvsScannerQueue.pyVersion: Python 2.7.* Acunetix Web Vulnerability Scanner 辅助Python脚本的第一个版本.功能:扫描URL ...

  9. AWVS11使用教程——Acunetix Web Vulnerability Scanner 11.x

    AWVS11使用教程 一:普通扫描. 二:报告生成. 三:登陆扫描. Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测 ...

随机推荐

  1. 在servlet中跳转问题

    跳转有重定向和转发 1重定向 2转发

  2. 使用Selenium IDE和webDriver进行自动化软件测试

    1.Selenium IDE 在Chrome浏览器上登录谷歌应用商店可以安装Selenium IDE插件(3.0以上版本的Selenium IDE不支持录制的脚本导出,所以这里使用到的是应用商店上的另 ...

  3. 在eclispe上git 代码滚回

    1.项目 - 鼠标右键 - team - show in history: 2.history窗口 - 选择需要回滚到的版本 - reset - hard:3.项目 - 鼠标右键 - team - p ...

  4. 关于Django的配置

    一. 下载与安装Django             登录Django的官网,https://www.djangoproject.com/download/,在网页的左边有下载压缩包,下载后解压在py ...

  5. eclipse 打开时一闪而过解决办法

    编辑文件:eclipse.ini,在 -vmargs 上一行添加: -vmC:/Program Files/Java/jdk1.8.0_131/jre/bin “C:/Program Files/Ja ...

  6. jquery.validate.js使用实例

    一.常用方式: $('form').validate({  rules: {},        messages: { },        submitHandler: function () {}) ...

  7. c# word interop encrypt with password protect with password

    public static void EncryptWithPassword(string unEncryptedWordPath, string password) { Word.Applicati ...

  8. seckill(1)秒杀系统主要步骤

  9. SpringBoot统一异常处理

    /** * 异常处理器 */ @RestControllerAdvice // public class BDExceptionHandler { private Logger logger = Lo ...

  10. Java中返回类型方法名

    继承父类,子类含有两个分别为boy.Girl类名. 返回是需要返回方法 则返回变量名Person class Person { void eat() {} void speak() {} } clas ...