下面几款免费开源的Web应用程序漏洞扫描器:
Grabber Grabber是一款免费开源的Web应用程序扫描工具,可以检测Web应用程序中的许多安全漏洞,包括跨站脚本、SQL注入、Ajax测试、文件包含、JS源代码分析器和备份文件检查等。Grabber适用于测试小型Web应用程序,因为对于大型应用程序来说扫描需要太长时间。该工具没有提供GUI界面,也无法生成PDF报告,主要面向个人使用。
下载地址:https://github.com/neuroo/grabber
Vega Vega是一个免费开源的Web漏洞扫描工具和测试平台。使用此工具,您可以对Web应用程序进行安全性测试。Vega使用Java编写,并提供基于GUI的环境,适用于OS X、Linux和Windows。它可以用于查找SQL注入、头部注入、目录列表、Shell注入、跨站脚本、文件包含和其他Web应用程序漏洞。
下载地址:https://subgraph.com/vega/
Zed Attack Proxy (ZAP) Zed Attack Proxy是由AWASP开发的开源工具,适用于Windows、Unix/Linux和Macintosh平台。它可以用于查找各种漏洞,而且使用起来非常简单。即使您对渗透测试不太熟悉,也可以使用此工具轻松开始学习Web应用程序的渗透测试。ZAP包含拦截代理、自动扫描器、蜘蛛、模糊器、Web套接字支持、即插即用支持、身份验证支持、基于REST的API、动态SSL证书、智能卡和客户端数字证书支持等关键功能。
下载地址:https://github.com/zaproxy/zaproxy
Wapiti Wapiti是一款不错的Web漏洞扫描工具,可用于审核Web应用程序的安全性。它通过扫描网页和注入数据来执行黑盒测试,尝试注入有效载荷并查看脚本是否容易受到攻击。它支持GET和POST HTTP攻击,并可以检测文件披露、文件包含、跨站脚本(XSS)、命令执行检测、CRLF注入、SEL注入和Xpath注入、.htaccess配置和备份文件披露等漏洞。
下载地址:http://wapiti.sourceforge.net/
W3af W3af是一个流行的Web应用程序攻击和审计框架,旨在提供更好的Web应用程序渗透测试平台,并使用Python进行开发。通过使用此工具,您可以识别200多种Web应用程序漏洞,包括SQL注入、跨站脚本和许多其他漏洞。
下载地址:http://w3af.org/
WebScarab WebScarab是一个基于Java的安全框架,用于分析使用HTTP或HTTPS协议的Web应用程序。通过可用的插件,可以扩展该工具的功能。它作为拦截代理使用,因此您可以查看浏览器发送到服务器的请求和响应,并在这些请求或响应到达服务器或浏览器之前对其进行修改。此工具适合对HTTP协议有很好理解并且能够编写代码的人使用,不适合初学者。
下载地址:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Skipfish Skipfish也是一个不错的Web应用程序安全工具。它抓取网站并检查每个页面是否存在安全威胁,然后生成最终报告。该工具是用C语言编写的,针对HTTP处理进行了高度优化,并且利用了最少的CPU资源。Skipfish宣称每秒可以处理2000个请求而不会给CPU增加负载。
下载地址:https://code.google.com/archive/p/skipfish/
Ratproxy Ratproxy也是一个开源的Web应用程序安全审计工具,可用于查找Web应用程序中的安全漏洞。它支持Linux、FreeBSD、MacOS X和Windows(Cygwin)环境。此工具旨在解决用户使用其他代理工具进行安全审计时通常会遇到的问题。它能够区分CSS样式表和JavaScript代码,并支持中间人攻击中的SSL解密,使您能够查看通过SSL传输的数据。
下载地址:https://code.google.com/archive/p/ratproxy/
SQLMap是一款功能强大的开源渗透测试工具,能够自动查找和利用网站数据库中的SQL注入漏洞。它拥有先进的检测引擎和一系列实用功能,使渗透测试人员能够轻松地进行SQL注入检测。
下载地址:https://github.com/sqlmapproject/sqlmap
Wfuzz是一款免费开源的Web应用程序渗透测试工具,可用于强制GET和POST参数,以测试SQL注入、XSS、LDAP等多种注入类型。它还支持Cookie模糊测试、多线程、SOCK、代理、身份验证、参数暴力破解、多代理等功能。
下载地址:https://github.com/xmendez/wfuzz
Grendel-Scan是一款开源的Web应用程序安全工具,用于自动查找Web应用程序中的安全漏洞。它提供了许多功能,也可用于手动渗透测试。该工具适用于Windows、Linux和Macintosh系统,使用Java开发。
下载地址:https://sourceforge.net/projects/grendel/
Arachni是一款开源工具,专为渗透测试环境而开发。它能够检测各种Web应用程序安全漏洞,如SQL注入、XSS、本地文件包含、远程文件包含、未经验证的重定向等等。
下载地址:http://www.arachni-scanner.com/
温馨提示:一切未经授权的渗透测试行为均为违法行为。