以下是几款免费开源的 Web 应用程序漏洞扫描器:
Grabber Grabber は、多くのセキュリティの脆弱性を検出することができる、無料のオープンソースの Web アプリケーションスキャンツールです。クロスサイトスクリプティング、SQL インジェクション、Ajax テスト、ファイルインクルード、JS ソースコードアナライザー、バックアップファイルチェックなどが含まれます。Grabber は、小規模な Web アプリケーションのテストに適していますが、大規模なアプリケーションではスキャンに時間がかかります。このツールには GUI インターフェースも提供されておらず、PDF レポートも生成できません。主に個人向けです。
ダウンロードリンク:https://github.com/neuroo/grabber
Vega Vega は、無料のオープンソースの Web 脆弱性スキャンツールおよびテストプラットフォームです。このツールを使用すると、Web アプリケーションのセキュリティテストを実行できます。Vega は Java で書かれており、GUI ベースの環境を提供しており、OS X、Linux、Windows に対応しています。SQL インジェクション、ヘッダーインジェクション、ディレクトリリスト、シェルインジェクション、クロスサイトスクリプティング、ファイルインクルード、その他の Web アプリケーションの脆弱性を検出することができます。
ダウンロードリンク:https://subgraph.com/vega/
Zed Attack Proxy (ZAP) Zed Attack Proxy は、AWASP によって開発されたオープンソースのツールで、Windows、Unix/Linux、Macintosh プラットフォームに対応しています。さまざまな脆弱性を検出することができ、使用も非常に簡単です。ペネトレーションテストに詳しくない場合でも、このツールを使用して Web アプリケーションのペネトレーションテストを簡単に始めることができます。ZAP には、インターセプトプロキシ、自動スキャナー、スパイダー、ファズ、Web ソケットサポート、プラグアンドプレイサポート、認証サポート、REST ベースの API、ダイナミック SSL 証明書、スマートカード、クライアントデジタル証明書サポートなどの重要な機能が含まれています。
ダウンロードリンク:https://github.com/zaproxy/zaproxy
Wapiti Wapiti は優れた Web アプリケーションセキュリティスキャンツールで、Web アプリケーションのセキュリティを監査するために使用できます。ウェブページをスキャンし、有効なペイロードを注入してスクリプトが攻撃を受けやすいかどうかを確認します。GET および POST の HTTP 攻撃をサポートし、ファイルの公開、ファイルのインクルード、クロスサイトスクリプティング(XSS)、コマンドの実行の検出、CRLF インジェクション、SEL インジェクション、Xpath インジェクション、.htaccess の構成、バックアップファイルの公開などの脆弱性を検出することができます。
ダウンロードリンク:http://wapiti.sourceforge.net/
W3af W3af は人気のある Web アプリケーション攻撃および監査フレームワークであり、より優れた Web アプリケーションペネトレーションテストプラットフォームを提供するために Python で開発されています。このツールを使用すると、SQL インジェクション、クロスサイトスクリプティングなど、200 種類以上の Web アプリケーションの脆弱性を特定することができます。
ダウンロードリンク:http://w3af.org/
WebScarab WebScarab は、HTTP または HTTPS プロトコルを使用する Web アプリケーションの分析に使用される Java ベースのセキュリティフレームワークです。利用可能なプラグインにより、このツールの機能を拡張することができます。インターセプトプロキシとして使用されるため、ブラウザがサーバーに送信するリクエストとレスポンスを表示し、それらのリクエストまたはレスポンスを変更することができます。このツールは、HTTP プロトコルに理解があり、コードを書くことができる人に適していますが、初心者には向いていません。
ダウンロードリンク:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Skipfish Skipfish も優れた Web アプリケーションセキュリティツールです。ウェブサイトをクロールし、各ページがセキュリティ上の脅威を持っているかどうかをチェックし、最終的なレポートを生成します。このツールは C 言語で書かれており、HTTP 処理に最適化されており、最小限の CPU リソースを使用します。Skipfish は、CPU に負荷をかけずに 1 秒間に 2000 リクエストを処理できると主張しています。
ダウンロードリンク:https://code.google.com/archive/p/skipfish/
Ratproxy Ratproxy もオープンソースの Web アプリケーションセキュリティ監査ツールであり、Web アプリケーションのセキュリティ脆弱性を検出するために使用できます。Linux、FreeBSD、MacOS X、Windows(Cygwin)環境をサポートしています。このツールは、通常他のプロキシツールを使用してセキュリティ監査を行う際に遭遇する問題を解決することを目的としています。CSS スタイルシートと JavaScript コードを区別することができ、中間者攻撃での SSL 復号化をサポートしており、SSL で送信されるデータを表示することができます。
ダウンロードリンク:https://code.google.com/archive/p/ratproxy/
SQLMap は、強力なオープンソースのペネトレーションテストツールであり、ウェブサイトのデータベースに存在する SQL インジェクションの脆弱性を自動的に検出および利用することができます。高度な検出エンジンと便利な機能を備えており、ペネトレーションテストの専門家が SQL インジェクションの検出を簡単に行うことができます。
ダウンロードリンク:https://github.com/sqlmapproject/sqlmap
Wfuzz は、強制的に GET および POST パラメータをテストするための無料のオープンソースの Web アプリケーションペネトレーションテストツールであり、SQL インジェクション、XSS、LDAP などのさまざまなインジェクションタイプをテストすることができます。また、Cookie のファジングテスト、マルチスレッド、SOCK、プロキシ、認証、パラメータのブルートフォース攻撃、マルチプロキシなどの機能もサポートしています。
ダウンロードリンク:https://github.com/xmendez/wfuzz
Grendel-Scan は、Web アプリケーションのセキュリティ脆弱性を自動的に検出するためのオープンソースのツールです。多くの機能を提供し、手動のペネトレーションテストにも使用することができます。このツールは、Windows、Linux、Macintosh システムで使用することができ、Java で開発されています。
ダウンロードリンク:https://sourceforge.net/projects/grendel/
Arachni は、ペネトレーションテスト環境向けに開発されたオープンソースのツールです。SQL インジェクション、XSS、ローカルファイルインクルード、リモートファイルインクルード、未検証のリダイレクトなど、さまざまな Web アプリケーションのセキュリティ脆弱性を検出することができます。
ダウンロードリンク:http://www.arachni-scanner.com/