目前比较好用的工具主要有以下这些:
1、Arachni (Ruby)
Arachni 能适用于多平台和多语言,开源的,全面的、模块化的Web漏洞扫描框架,具有良好的可扩展性,通过添加插件可以增加它的扫描范围和深度。
2、Xsspy (python)
主要针对XSS漏洞的漏洞扫描器,Xsspy不仅仅检查一个页面,它可以便利网站,以及子域名。之后,它开始扫描每一个页面,发现可能存在的跨站点脚本漏洞。Xsspy采用了许多小而有效的payload,可以有效的扫描网站存在的XSS漏洞。
3、W3af (python)
可用于linux和window(但是在最新的版本中windows不再更新)的漏洞扫描器,可检测超200种漏洞,w3af框架具有图形用户界面和控制用户界面,只需要单击5次即可,并且使用与定义的配置文件,可以审核web应用程序的安全性。
4、Nikto (集成在kali中的一款漏洞扫描器)
Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描
5、Wfuzz (python)
主要是做web模糊测试的工具,Wfuzz是一个完全模块化的框架,有很好的可扩展性,使用简单。
6、ZAP (java) 攻击代理服务器
世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞
7、SQLmap (python2脚本)
最常用的数据库漏洞及sql注入工具
8、Grabber (python)
是Kali Linux集成的一款Web应用扫描工具。该工具适合中小Web应用,如个人博客、论坛等,支持常见的漏洞检测,如XSS、SQL注入、文件包含、备份文件检测、Ajax检测、Crytal Ball检测等功能。该工具只进行扫描,不实施漏洞利用。由于功能简单,所以使用非常方便,用户只要指定扫描目标和检测项目后,就可以进行扫描了。
9、Wapiti (python)
Wapiti是针对Web应用程序的漏洞扫描程序。它能准确扫描存储型XSS,SQL和XPath注入,文件包含,命令执行,XXE注入,CRLF注入等漏洞。
10、Golismero
GoLismero是安全性测试的开源框架。它是目前面向网络的安全性,但它可以很容易地扩展到其他类型的扫描。
11、OWASP Xenotix
XSS 是一个高效的跨站脚本漏洞(XSS)检测和攻击测试框架。它通过特有的三大浏览器引擎(包括Trident, WebKit和Gecko)进行安全扫描检测,并且其号称拥有全世界第二大的XSS测试Payload,同时具有WAF绕过能力。
12、Vega
Vega是一个免费的开源扫描和测试平台,用于测试Web应用程序的安全性。Vega可以帮助您查找和验证SQL注入,跨站点脚本(XSS),泄露的敏感信息以及其他漏洞。它基于Java编写,基于GUI,可在Linux,OS X和Windows上运行
最后,推荐使用ZAP
ZAP 全程OWASP Zed Attack Proxy攻击代理服务器是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
ZAP以架设代理的形式来实现渗透性测试,类似于fiddler抓包机制。他将自己置于用户浏览器和服务器中间,充当一个中间人的角色,浏览器所有与服务器的交互都要经过ZAP,这样ZAP就可以获得所有这些交互的信息,并且可以对他们进行分析、扫描,甚至是改包再发送。可进行本地代理、主动扫描、被动扫描、Fuzzy、暴力破解等。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
1043
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
