下面幾款免費開源的 Web 應用程式漏洞掃描器:
Grabber Grabber 是一款免費開源的 Web 應用程式掃描工具,可以檢測 Web 應用程式中的許多安全漏洞,包括跨站腳本、SQL 注入、Ajax 測試、檔案包含、JS 原始碼分析器和備份檔案檢查等。Grabber 適用於測試小型 Web 應用程式,因為對於大型應用程式來說掃描需要太長時間。該工具沒有提供 GUI 介面,也無法生成 PDF 報告,主要面向個人使用。
下載地址:https://github.com/neuroo/grabber
Vega Vega 是一個免費開源的 Web 漏洞掃描工具和測試平台。使用此工具,您可以對 Web 應用程式進行安全性測試。Vega 使用 Java 編寫,並提供基於 GUI 的環境,適用於 OS X、Linux 和 Windows。它可以用於查找 SQL 注入、頭部注入、目錄列表、Shell 注入、跨站腳本、檔案包含和其他 Web 應用程式漏洞。
下載地址:https://subgraph.com/vega/
Zed Attack Proxy (ZAP) Zed Attack Proxy 是由 AWASP 開發的開源工具,適用於 Windows、Unix/Linux 和 Macintosh 平台。它可以用於查找各種漏洞,而且使用起來非常簡單。即使您對滲透測試不太熟悉,也可以使用此工具輕鬆開始學習 Web 應用程式的滲透測試。ZAP 包含攔截代理、自動掃描器、蜘蛛、模糊器、Web 套接字支援、即插即用支援、身份驗證支援、基於 REST 的 API、動態 SSL 證書、智能卡和客戶端數字證書支援等關鍵功能。
下載地址:https://github.com/zaproxy/zaproxy
Wapiti Wapiti 是一款不錯的 Web 漏洞掃描工具,可用於審核 Web 應用程式的安全性。它通過掃描網頁和注入資料來執行黑盒測試,嘗試注入有效載荷並查看腳本是否容易受到攻擊。它支援 GET 和 POST HTTP 攻擊,並可以檢測檔案披露、檔案包含、跨站腳本(XSS)、命令執行檢測、CRLF 注入、SEL 注入和 Xpath 注入、.htaccess 配置和備份檔案披露等漏洞。
下載地址:http://wapiti.sourceforge.net/
W3af W3af 是一個流行的 Web 應用程式攻擊和審計框架,旨在提供更好的 Web 應用程式滲透測試平台,並使用 Python 進行開發。通過使用此工具,您可以識別 200 多種 Web 應用程式漏洞,包括 SQL 注入、跨站腳本和許多其他漏洞。
下載地址:http://w3af.org/
WebScarab WebScarab 是一個基於 Java 的安全框架,用於分析使用 HTTP 或 HTTPS 協議的 Web 應用程式。通過可用的插件,可以擴展該工具的功能。它作為攔截代理使用,因此您可以查看瀏覽器發送到伺服器的請求和回應,並在這些請求或回應到達伺服器或瀏覽器之前對其進行修改。此工具適合對 HTTP 協議有很好理解並且能夠編寫程式的人使用,不適合初學者。
下載地址:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Skipfish Skipfish 也是一個不錯的 Web 應用程式安全工具。它抓取網站並檢查每個頁面是否存在安全威脅,然後生成最終報告。該工具是用 C 語言編寫的,針對 HTTP 處理進行了高度優化,並且利用了最少的 CPU 資源。Skipfish 宣稱每秒可以處理 2000 個請求而不會給 CPU 增加負載。
下載地址:https://code.google.com/archive/p/skipfish/
Ratproxy Ratproxy 也是一個開源的 Web 應用程式安全審計工具,可用於查找 Web 應用程式中的安全漏洞。它支援 Linux、FreeBSD、MacOS X 和 Windows(Cygwin)環境。此工具旨在解決使用其他代理工具進行安全審計時通常會遇到的問題。它能夠區分 CSS 樣式表和 JavaScript 程式碼,並支援中間人攻擊中的 SSL 解密,使您能夠查看通過 SSL 傳輸的資料。
下載地址:https://code.google.com/archive/p/ratproxy/
SQLMap 是一款功能強大的開源滲透測試工具,能夠自動查找和利用網站資料庫中的 SQL 注入漏洞。它擁有先進的檢測引擎和一系列實用功能,使滲透測試人員能夠輕鬆地進行 SQL 注入檢測。
下載地址:https://github.com/sqlmapproject/sqlmap
Wfuzz 是一款免費開源的 Web 應用程式滲透測試工具,可用於強制 GET 和 POST 參數,以測試 SQL 注入、XSS、LDAP 等多種注入類型。它還支援 Cookie 模糊測試、多線程、SOCK、代理、身份驗證、參數暴力破解、多代理等功能。
下載地址:https://github.com/xmendez/wfuzz
Grendel-Scan 是一款開源的 Web 應用程式安全工具,用於自動查找 Web 應用程式中的安全漏洞。它提供了許多功能,也可用於手動滲透測試。該工具適用於 Windows、Linux 和 Macintosh 系統,使用 Java 開發。
下載地址:https://sourceforge.net/projects/grendel/
Arachni 是一款開源工具,專為滲透測試環境而開發。它能夠檢測各種 Web 應用程式安全漏洞,如 SQL 注入、XSS、本地檔案包含、遠程檔案包含、未經驗證的重定向等等。