15个针对web项目的开源安全测试工具

原文地址:https://www.testbytes.net/blog/open-source-security-testing-tools/

简介不翻译,直接进入正文
下载地址在发文之日均可使用

1-Wapiti

wapiti.png

Wapiti作为一个高效的web项目安全测试工具,它支持用户对web应用程序进行评估。运用“黑盒测试”技术,它可以在Web应用中检查出可能存在的缺陷漏洞。

在测试过程中,Wapiti会对网页进行扫描,并注入测试数据来查找安全隐患。Wapiti支持GET和POST方法的HTTP攻击,可确认多种类型的安全漏洞,比如:

  • 文件泄露(File disclosure)
  • 数据库注入(Database Injection)
  • 跨站脚本注入(XSS Injection)
  • 命令执行探测(Command Execution Detection)
  • CRLF注入(CRLF Injection)
  • XML外部实体注入(XXE Injection-Xml External Entity Injection)
  • 潜在危险文件(Potentially dangerous files)
  • 可被轻易绕过的 .htaccess配置
  • 备用文件造成的泄漏

Wapiti作为一个命令行应用,对初学者来说使用有难度,但对专业人士却很有帮助。操作该软件的用户需要对命令的使用完全了解。

下载地址:https://sourceforge.net/projects/wapiti/

2-Zed Attack Proxy

zap.png

Zed Attack Proxy,被人们称为ZAP,是一个由OWASP开发开源软件。ZAP支持在WINdows,UNIX/LINUX和Mac OS平台上工作,它可帮助用户查找Web应用中的多种安全漏洞,即使在开发或测试过程中它仍可以使用。这款测试工具便于使用,即使是渗透测试的初学者都可以掌握。

特性:

  • 主动扫描
  • 认证支持
  • AJAX spider扫描
  • 动态SSL证书
  • 强制浏览
  • 截取代理
  • websocket支持
  • 基于REST的API及其他

下载地址:https://www.zaproxy.org/

3-Vega

vega.png

Vega是一个由Java写成的开源web应用测试工具,它拥有用户交互界面,可以在Windows、linux、Mac OS上使用,它可以帮助用户查找到:

  • 寻找SQL注入
  • 验证SQL注入
  • 文件泄露
  • 跨站脚本注入(XSS)
  • 提高TLS服务器安全性

该工具也允许用户设置偏好,比如每秒最多/最少请求数、子路径数和节点数。一旦提供了合法证书,用户就可以把Vega当做主动扫描器使用,用来拦截并扫描代理。

下载地址:https://subgraph.com/vega/download/index.en.html

4-W3af

w3af.png

W3af是一个流行的web应用安全测试框架。它由python写成,可以提供一个高效且针对web应用的渗透测试平台。

该工具可检测出超过200种web应用安全问题,包括SQL注入和跨站脚本注入。他改回在web应用中检测下列漏洞:

  • SQL盲注(Blind SQL Injection)
  • 缓存溢出
  • 多重跨域资源共享的错误配置(Multiple CORS misconfigurations)
  • 不安全的DAV配置
  • CSRF漏洞及其他

W3af拥有用户交互界面和控制台界面,方便用户理解。他还支持用户使用认证模块验证网站。

下载地址:https://sourceforge.net/projects/w3af/

5-Skipfish

Skipfish是一个递归爬取网站、查找每个页面的潜在漏洞并最终出具审查报告web应用安全测试工具。它由C语言编写,旨在充分使用HTTP并留下最少的CPU痕迹。

这款软件自称可以每秒请求2千次,并且不显露CPU痕迹。它还宣称,为了提供高质量的正面效果,它会在爬取测试web应用时使用探试法。这款工具可在Linux, FreeBSD, Mac OS X, Windows.上使用。

下载地址:https://code.google.com/archive/p/skipfish/downloads?page=1

6-Ratproxy

作为一个开源web项目安全测试工具,Ratproxy可被用来查找web应用中的任何漏洞,从而保证应用免受黑客攻击。该半自动型测试软件可在Linux, FreeBSD, MacOS X, Windows (Cygwin) 系统上运行。

Ratproxy旨在解决用户在使用其他代理软件过程中常会碰到的安全问题。它可以轻易分辨CSS样式和JavaScript 代码。

下载地址:https://code.google.com/archive/p/ratproxy/downloads

7-SQLMap

sqlmap.png

SQLMap是一个流行的开源web应用安全测试工具,它可以自动地在目标网站中执行检测并利用网站数据库中的SQL注入漏洞。它包含多种特性,且拥有一个强劲引擎,可以毫不费力地执行渗透并对web应用的SQL注入漏洞进行查找。

SQLMap支持很多数据库服务,包括MySQL, Oracle, PostgreSQL, Microsoft SQL 服务器等等。并且,该测试工具支持六种SQL注入的方法。

下载地址:https://github.com/sqlmapproject/sqlmap

8-Wfuzz

wfuzz.png

Wfuzz使用python开发,它被用来暴力破解web应用,拥有以下特性:

  • 多重注入点
  • 输出结果到HTML
  • cookies模糊测试
  • 多线程
  • 代理支持
  • SOCK支持
  • 认证支持
  • 全参数暴力破解(POST和GET方法)
  • 基线请求(用来过滤结果)
  • 暴力破解HTTP方法
  • 多重代理支持
  • HEAD扫描
  • POST,HEAD和认证数据暴力破解

使用WFuzz时,用户需要在命令行界面工作,它没有可用的用户交互界面。

下载地址:https://github.com/xmendez/wfuzz/releases/tag/v2.4.6

9-Grendel-Scan

该安全测试工具旨在查找web应用中的安全漏洞,支持 Windows, Linux, and Macintosh平台,使用java开发。

它自带一个自动测试模块,可自动检测web应用中的安全漏洞,该软件同样包含很多特性,尤其针对人工渗透测试。

下载地址:https://github.com/IFGHou/Grendel-Scan

10-Arachni

arachni.png

该开源安全测试工具旨在帮助渗透测试人员和管理员对web应用的安全程度进行评估。它被用来查找web应用的安全漏洞并使应用免受黑客入侵。Arachni可以检测出:

  • SQL注入
  • 跨站脚本注入
  • 本地文件包含
  • 远程文件包含
  • 未验证的重定向及其他

Arachni可支持所有主流操作系统,比如MS Windows, Mac OS X, and Linux.

下载地址:https://www.arachni-scanner.com/download/

11-Grabber

grabber.png

该软件针对小型web应用进行扫描,比如论坛或个人网站。它可以检测出下列漏洞:

  • 跨站脚本注入
  • SQL注入
  • 文件包含
  • 备用文件验证
  • 简单AJAX验证
  • 针对PHP应用的PHP-SAT混合分析测试
  • 为数据测试生成文件

Grabber是一种小型测试工具,在测试大型应用时会花费更多的时间。而且,因为它设计的目的是满足个人使用,所以该扫描器没有用户交互界面和PDF报告生成功能。Grabber是用python开发的,使用者可根据需求查找源代码并修改。

下载地址:http://rgaucher.info/beta/grabber/

12-Acunetix

目前流行的收费型渗透测试软件,由于现在的绿色版功能有待提高,这里不提供下载。

13-Netsparker

netsparker.png

可检查出致命漏洞,比如SQL注入、跨站脚本注入等。

特性:

  • 可扫描任何web相关应用
  • 覆盖超过1000+漏洞
  • 用户可查看代码相关错误
  • 生成合规性和web应用

下载地址(绿色版):https://www.ddosi.com/b170/

14-Metasploit

metasploit.png

开源测试平台,可为安全测试工程师提供安全评估帮助,甚至更多。
特性:

  • 该软件框架比竞品更先进
  • 拥有1500+的漏洞
  • 为离散任务创建元模块,比如网络分割测试
  • 可用于多种进程的自动化
  • 许多渗透方案模型特性

下载地址:https://github.com/rapid7/metasploit-framework/wiki/Nightly-Installers

15-Burp Suite

burpsuite.png

虽然收费但是特性优秀:

  • 尖端的web应用爬虫
  • 覆盖100+漏洞
  • 可用来进行玻璃盒测试(IAST)
  • 在客户端javascript使用静态和动态技术对javascript进行分析,检测漏洞
  • 使用OOB技术增强常规扫描方法

下载地址:https://www.waitalone.cn/tools/burpsuite.html

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,293评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,604评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,958评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,729评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,719评论 5 366
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,630评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,000评论 3 397
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,665评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,909评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,646评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,726评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,400评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,986评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,959评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,996评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,481评论 2 342