14种开源的流行扫描器介绍

序言

过去许多热门网站都被黑客入侵，这样看来黑客现在是活跃的，总是试图破解网站和泄漏数据。这就是为什么Web应用程序的安全测试非常重要的原因，而这里也是web应用安全扫描器的角色，Web应用程序安全扫描器是一种软件程序，可在Web应用程序上执行自动黑匣子测试，并识别安全漏洞。扫描器不访问源代码，它们只执行功能测试并尝试查找安全漏洞。

各种付费和免费的Web应用程序漏洞扫描器都可以使用。在这篇文章中，我们列出了最好的免费开源Web应用程序漏洞扫描程序。我以随机顺序写了这些相关的软件，所以请不要以为它是工具的排名。

我只是添加可用于在Web应用程序中查找安全漏洞的开源工具，我没有写怎样使用工具来查找服务器漏洞。并且不要混淆免费工具和开源工具。因为还有其他各种可用的工具可以免费使用，但是并不为其他开发人员提供源代码。开源工具是向开发人员提供源代码的工具，以便开发人员可以修改工具或进一步开发帮助。

这些是最好的开源Web应用程序渗透测试工具：

Grabber

Grabber是一个很好的Web应用程序扫描器，可以检测Web应用程序中的许多安全漏洞。它执行扫描并告知漏洞在哪里。它可以检测以下漏洞：

• 跨站脚本攻击
• SQL注入
• Ajax测试
• 文件包含
• JS源代码分析器
• 备份文件检查
  与其他安全扫描仪相比，速度并不快，但是它简单便携。这应该仅用于测试小型Web应用程序，因为扫描大型应用程序需要太多时间。

此工具不提供任何GUI界面。它也不能创建任何PDF报告。这个工具的设计是简单和个人使用。你可以尝试这个工具，供个人使用。如果您正在考虑专业使用，我将永远不会推荐它。

这个工具是用Python开发的。如果需要，也可以使用可执行版本。源代码可用，因此您可以根据需要进行修改。主要脚本是grabber.py，它曾经执行过调用其他模块，如sql.py，xss.py或其他模块。

在这里下载：http : //rgaucher.info/beta/grabber/
Github上的源代码：https：//github.com/neuroo/grabber

Vega

Vega是另一个免费的开源Web漏洞扫描器和测试平台。使用此工具，您可以执行Web应用程序的安全测试。该工具是用Java编写的，并提供了一个基于GUI的环境。它适用于OS X，Linux和Windows。

它可以用于查找SQL注入，头注入，目录列表，shell注入，跨站点脚本，文件包含和其他Web应用程序漏洞。此工具也可以使用JavaScript编写的强大的API进行扩展。

在使用该工具时，可以让您设置一些首选项，如路径级别的总数，节点的子路径数，每秒的深度和最大请求数。您可以使用Vega扫描仪，Vega代理，代理扫描仪和扫描仪与凭据。如果需要帮助，可以在文档部分找到资源：

文档：https：//subgraph.com/vega/documentation/index.en.html
下载Vega：
https : //subgraph.com/vega/

Zed Attack Proxy

Zed Attack Proxy也被称为ZAP。这个工具是开源的，由AWASP开发。它适用于Windows，Unix / Linux和Macintosh平台。我个人喜欢这个工具。它可用于在Web应用程序中查找各种漏洞。该工具非常简单易用。即使您是新进入的渗透测试者，您也可以轻松使用此工具开始学习Web应用程序的渗透测试。

这些是ZAP的关键功能：

• 拦截代理
• 自动扫描仪
• 传统但强大的蜘蛛
• 模糊器
• Web Socket支持
• 即插即用支持
• 验证支持
• 基于REST的API
• 动态SSL证书
• 智能卡和客户端数字证书支持
  您可以通过输入URL进行扫描，将此工具用作扫描器，也可以使用此工具作为拦截代理手动对特定页面执行测试。

  下载ZAP：http : //code.google.com/p/zaproxy/

  Wapiti

  Wapiti也是一个不错的网络漏洞扫描器，可让您审核Web应用程序的安全性。它通过扫描网页和注入数据进行黑盒测试。它尝试注入有效载荷并查看脚本是否易受攻击。它支持GET和POST HTTP攻击，并检测多个漏洞。

它可以检测以下漏洞：

• 信息泄漏
• 文件包含
• 跨站脚本（XSS）
• 命令执行检测
• CRLF注射
• sql注射和Xpath注射
• 弱的.htaccess配置
• 备份文件扫描

Wapiti是一个命令行应用程序。所以初学者可能并不容易。但对于专家来说，表现会很好。对于使用此工具，您需要学习更多的知识的话，可在官方文档中找到的命令。

下载Wapiti与源代码：http ://wapiti.sourceforge.net/

W3af

W3af是一个流行的Web应用程序攻击和审计框架。该框架旨在提供一个更好的Web应用程序渗透测试平台。它是使用Python开发的。通过使用此工具，您将能够识别超过200种Web应用程序漏洞，包括SQL注入，跨站点脚本和许多其他漏洞。

它附带一个图形和控制台界面。您可以通过使用易于理解的界面轻松使用它。

如果您使用图形界面，我不认为您将面临该工具的任何问题。您只需选择选项，然后启动扫描仪。如果网站需要身份验证，您还可以使用身份验证模块来扫描受会话保护的网页。

您可以阅读这些文章，以了解有关此工具的更多信息。

您可以在Github仓库访问源代码：https：//github.com/andresriancho/w3af/
从官方网站下载：http：//w3af.org/

WebScarab

WebScarab是一个基于Java的安全框架，用于使用HTTP或HTTPS协议分析Web应用程序。使用可用的插件，您可以扩展该工具的功能。此工具可作为拦截代理。因此，您可以查看来到浏览器的请求和响应，并转到服务器。您也可以在服务器或浏览器接收请求或响应之前修改请求或响应。

如果你是初学者，这个工具不适合你。该工具专为那些对HTTP协议有较好了解而且可以编写代码的用户而设计。

Webscarab提供了许多功能，可以帮助渗透测试人员在Web应用程序上紧密合作，并发现安全漏洞。它有一个蜘蛛，可以自动找到目标网站的新URL。它可以轻松地提取页面的脚本和HTML。代理监视服务器和浏览器之间的流量，您可以通过使用可用的插件来控制请求和响应。可用的模块可以轻松检测大多数常见漏洞，如SQL注入，XSS 和许多其他漏洞。

该工具的源代码可在Github上获得：https：//github.com/OWASP/OWASP-WebScarab
下载WebScarab：https：//www.owasp.org/index.php/Category: OWASP_WebScarab_Project

Skipfish

Skipfish也是一个很好的Web应用程序安全工具。它抓取网站，然后检查每个页面的各种安全威胁，最终准备最终报告。该工具是用C编写的。它对HTTP处理和利用最小CPU进行了高度优化。它声称它可以轻松处理每秒2000个请求，而不会增加CPU负载。它在浏览和测试网页时使用启发式方法。该工具还声称提供高质量和较少的假阳性。
此工具适用于Linux，FreeBSD，MacOS X和Windows。

从GOogle代码下载Skipfish或代码：http : //code.google.com/p/skipfish/

Ratproxy

Ratproxy也是一个开源Web应用程序安全审核工具，可用于查找Web应用程序中的安全漏洞。它支持Linux，FreeBSD，MacOS X和Windows（Cygwin）环境。

此工具旨在克服用户通常面临的问题，同时使用其他代理工具进行安全审核。它能够区分CSS样式表和JavaScript代码。它还支持中间攻击中的SSL人员，这意味着您还可以看到通过SSL的数据。您可以在这里阅读有关此工具的更多信息：http : //code.google.com/p/ratproxy/wiki/RatproxyDoc

下载http://code.google.com/p/ratproxy/

sqlmap

SQLMap是另一种流行的开放源码渗透测试工具。它自动化在网站数据库中查找和利用SQL注入漏洞的过程。它具有强大的检测引擎和许多有用的功能。因此，渗透测试人员可以轻松地在网站上执行SQL注入检查。

它支持数据库服务器，包括MySQL，Oracle，PostgreSQL，Microsoft SQL Server，Microsoft Access，IBM DB2，SQLite，Firebird，Sybase和SAP MaxDB。它全面支持6种SQL注入技术：基于时间的盲人，基于布尔的盲人，基于错误的UNION查询，堆叠查询和带外。

访问Github资源库中的源代码：https：//github.com/sqlmapproject/sqlmap
在这里下载SQLMap：https：//github.com/sqlmapproject/sqlmap

Wfuzz

Wfuzz是Web应用程序渗透测试的另一个免费开放源代码工具。它可用于强制使用GET和POST参数进行各种注射，如SQL，XSS，LDAP等等。它还支持cookie模糊，多线程，SOCK，代理，认证，强制强制，多代理等诸多功能。您可以在这里阅读有关该工具功能的更多信息：

http : //code.google.com/p/wfuzz/

该工具不提供GUI界面，因此您必须在命令行界面上工作。

从code.google.com下载Wfuzz：http : //code.google.com/p/wfuzz/

Grendel-Scan

Grendel-Scan是另一个很好的开源Web应用程序安全工具。这是一种在Web应用程序中查找安全漏洞的自动工具。许多功能也可用于手动渗透测试。此工具适用于Windows，Linux和Macintosh。这个工具是用Java开发的。

下载工具和源代码：http : //sourceforge.net/projects/grendel/

Watcher

Watcher是一种被动的Web安全扫描器。它不会遇到大量请求或爬网目标网站。它不是一个单独的工具，而是一个附加的Fiddler。所以你需要先安装Fiddler，然后安装Watcher来使用它。
它静态地分析用户交互的请求和响应，然后对应用程序进行报告。由于它是被动扫描仪，它不会影响网站的托管或云基础架构。

下载观察者及其源代码：http : //websecuritytool.codeplex.com/

X5S

X5s也是一个Fiddler附件，旨在提供一种查找跨站点脚本漏洞的方法。这不是一个自动的工具。因此，您需要了解编码问题如何导致XSS。您需要手动查找注入点，然后检查XSS在应用程序中的位置。

我们已经在上一篇文章中介绍了X5S。因此，您可以参考该文章来阅读有关X5S和XSS的更多信息。

从codeplex下载X5S和源代码：http ://xss.codeplex.com/
您还可以参考本官方指南了解如何使用X5S：http ://xss.codeplex.com/wikipage?title=tutorial

Arachni

Arachni是开发用于提供渗透测试环境的开源工具。此工具可以检测各种Web应用程序安全漏洞。它可以检测各种漏洞，如SQL注入，XSS，本地文件包含，远程文件包含，未验证的重定向等等。

在此下载此工具：http : //www.arachni-scanner.com/

写在最后

这些是最好的开源Web应用程序安全测试工具。我尽力列出在线可用的所有工具，如果一个工具很多年没有更新，我不会在这里提到。因为如果一个工具超过10年，它可能会在最近的环境中创建兼容性问题。如果您是开发人员，您还可以加入开发人员的这些工具的社区，并帮助这些工具增长。通过帮助来一起改善这些工具，您还将增加您的知识和专业知识。

如果要开始渗透测试，我将建议使用已经为渗透测试者创建的Linux发行版。这些环境是backtrack，gnacktrack，backbox和blackbuntu。所有这些工具都有各种免费和开源工具，用于网站渗透测试。所以，你可以去使用这些环境。

文章出处： 椰树 杂术馆