您现在的位置: 首页 > 推荐 > 如何扫描网站漏洞(漏洞扫描利用及分析概览)(图文)

如何扫描网站漏洞(漏洞扫描利用及分析概览)(图文)

发布时间:2020-11-23 17:37:38 作者:编辑 栏目:推荐 阅读量:()

如果你刚好是某个网络应用程序的所有者,怎样才能保证你的网站是安全的、不会泄露敏感信息?

如果是基于云的安全解决方案,那么可能只需要进行常规漏扫。但如果不是,我们就必须执行例行扫描,采取必要的行动降低安全风险。

下面推荐几款免费的扫描器。

1. Arachni

Arachni是一款基于Ruby框架搭建的高性能安全扫描程序,适用于现代Web应用程序。可用于Mac、Windows及Linux系统的可移植二进制文件。

12款免费好用的开源Web漏洞扫描工具

Arachni不仅能对基本的静态或CMS网站进行扫描,还能够做到对以下平台指纹信息((硬盘序列号和网卡物理地址))的识别。且同时支持主动检查和被动检查。

  • Windows、Solaris、Linux、BSD、Unix
  • Nginx、Apache、Tomcat、IIS、Jetty
  • Java、Ruby、Python、ASP、PHP
  • Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

一般检测的漏洞类型包括:

  • NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入
  • 跨站请求伪造
  • 路径遍历
  • 本地/远程文件包含
  • Response splitting
  • 跨站脚本
  • 未验证的DOM重定向
  • 源代码披露

另外,你可以选择输出HTML、XML、Text、JSON、YAML等格式的审计报告。

Arachni帮助我们以插件的形式将扫描范围扩展到更深层的级别。

2. XssPy

一个有力的事实是,微软、斯坦福、摩托罗拉、Informatica等很多大型企业机构都在用这款基于python的XSS(跨站脚本)漏洞扫描器。它的编写者Faizan Ahmad才华出众,XssPy是一个非常智能的工具,不仅能检查主页或给定页面,还能够检查网站上的所有链接以及子域。因此,XssPy的扫描非常细致且范围广泛。

3. w3af

w3af是一个从2006年年底开始的基于Python的开源项目,可用于Linux和Windows系统。w3af能够检测200多个漏洞,包括OWASP top 10中提到的。这个程序建立在一个插件架构上的。

12款免费好用的开源Web漏洞扫描工具

w3af能够帮你将payload注入header、URL、cookies、字符串查询、post-data等,利用Web应用程序进行审计,且支持各种记录方法完成报告,例如:

  • CSV
  • HTML
  • Console
  • Text
  • XML
  • Email

4. Nikto

相信很多人对Nikto并不陌生,这是由Netsparker(专做web安全扫描器企业,总部坐标英国)赞助的开源项目,旨在发现Web服务器配置错误、插件和Web漏洞。Nikto对6500多个风险项目进行过综合测试。支持HTTP代理、SSL或NTLM身份验证等,还能确定每个目标扫描的最大执行时间。

12款免费好用的开源Web漏洞扫描工具

Nikto也适用于Kali Linux,在企业内部网络解决方案中查找web服务器安全风险的应用前景非常广阔。

5. Wfuzz

Wfuzz(Web Fuzzer)也是渗透中会用到的应用程序评估工具。它可以对任何字段的HTTP请求中的数据进行模糊处理,对Web应用程序进行审查。

Wfuzz需要在被扫描的计算机上安装Python。

6. OWASP ZAP

ZAP(Zet Attack Proxy)是全球数百名志愿者程序员在积极更新维护的著名渗透测试工具之一。它是一款跨平台的Java工具,甚至都可以在Raspberry Pi上运行。ZAP在浏览器和Web应用程序之间拦截和检查消息。

12款免费好用的开源Web漏洞扫描工具

ZAP值得一提的优良功能:

  • Fuzzer
  • 自动与被动扫描
  • 支持多种脚本语言
  • Forced browsing(强制浏览)

7. Wapiti

Wapiti扫描特定的目标网页,寻找能够注入数据的脚本和表单,从而验证其中是否存在漏洞。它不是对源代码的安全检查,而是执行黑盒扫描。

12款免费好用的开源Web漏洞扫描工具

如果你懂开发,还可以利用vega API创建新的攻击模块。

9. SQLmap

顾名思义,我们可以借助sqlmap对数据库进行渗透测试和漏洞查找。

12款免费好用的开源Web漏洞扫描工具

支持所有操作系统上的Python 2.6或2.7。如果你正在查找SQL注入和数据库漏洞利用,sqlmap是一个好助手。

10. Grabber

这也是一个做得不错的Python小工具。这里列举一些特色功能:

  • JavaScript源代码分析器
  • 跨站点脚本、SQL注入、SQL盲注
  • 利用PHP-SAT的PHP应用程序测试

11. Golismero

这是一个管理和运行Wfuzz、DNS recon、sqlmap、OpenVas、机器人分析器等一些流行安全工具的框架。

12款免费好用的开源Web漏洞扫描工具

Golismero非常智能,能够整合其它工具的测试反馈,输出一个统一的结果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架,内置了三个智能模糊器,用于快速扫描和结果优化。

12款免费好用的开源Web漏洞扫描工具

这款工具有上百个功能;网络安全对于在线业务至关重要,希望上面这些免费的漏扫程序能够帮助各位读者及时发现风险,在被恶意人员利用之前即完成漏洞修复。

关键字: 漏洞

最新版权声明:叽叽歪歪吧提醒您:在浏览本本网站关于如何扫描网站漏洞(漏洞扫描利用及分析概览)(图文)文章时,请您务必阅读并理解本声明。本站部分内容来源于网络或者网友投稿,如果您认为本站不应该展示与您相关的信息,请及时与我们取得联系,我们会当天作出处理。

相关文章

拓展阅读

电脑剪切快捷键在哪里设置 手把手教你设置快捷键(图文)
电脑剪切快捷键在哪里设置 手把手教你设置快捷键截至2020年,短视频用户规模超8.2亿,越来越多的人进入到视频剪辑这个行业,很多新人学习一段时间后,发现自己剪辑效率很低,经常是一天结束了,视频还没剪出来,很是苦恼。这篇文章主要介绍剪辑老司机的Pr快捷键设置,让你的剪辑效率通过快捷键的使用飞
2020-12-15 14:02:09 阅读(1001)
2020年笔记本电脑买什么牌子的好 最值入手的电脑品牌及3个选购技巧(图文)
2020年笔记本电脑买什么牌子的好 最值入手的电脑品牌及3个选购技巧温馨提示:本文为每月更新内容,篇幅较长。正好也到了开学季,想必很多同学都要在入学前和父母一起挑选一款适合自己的笔记本电脑,所以也来详细讲解一下目前选购的一些攻略。全文大纲一、购机小技巧分享1.需要关注哪些参数?2.笔记本都
2020-12-15 14:01:52 阅读(747)
2020年自己开网店的步骤 小白必知开店6步骤(图文)
2020年自己开网店的步骤 小白必知开店6步骤开设在线商店已成为一种普遍做法。许多人想开店,赚钱或做生意,但他们感到麻烦。他们在开始之前就已经结束,扼杀在萌芽状态。实际上,开设在线商店非常简单。以下是开设在线商店的一些基本步骤。1.淘宝和支付宝注册如果您已经注册,如果没有注册,就可以直接登
2020-12-15 14:01:49 阅读(278)
一光年是多少年多少米 一光年定义及单位解说(图文)
一光年是多少年多少米 一光年定义及单位解说光年就是光在一年的时间里所经过的距离,光年是一个非常庞大的距离,因为在地球上一般以千米计就可以了,如果以千米来衡量一光年的话是9460730472580.8千米,也许各位数数字就已经数晕了!那么这个光年是怎么来的呢?天文上为什么要用如此庞大的距离单
2020-12-15 14:01:41 阅读(412)
2020年中国米其林餐厅名单分布 米其林餐厅最新分布(图文)
2020年中国米其林餐厅名单分布 米其林餐厅最新分布刚刚,《米其林指南2020北京》正式发布。这份榜单上,最高等级的米其林三星餐厅一家,米其林二星餐厅两家,米其林一星餐厅21家。其中,三星餐厅为新荣记(新源南路);二星餐厅是京兆尹和屋里厢。另外,还有一星餐厅21家——
2020-12-15 14:01:39 阅读(665)

热门精选文章

最好的音乐手机是哪款 这6款音乐手机你值得拥有(图文)
2020-11-04 19:40:53
2020剑灵哪个职业厉害 2020剑灵职业大盘点(图文)
2020-11-04 21:00:46
宝塔镇河妖下一句涵义 全面解析其涵义(图文)
2020-11-04 21:01:36
2020剑网三新手职业推荐 新手推荐2大职业(图文)
2020-11-04 22:08:17
哪个网站看电影好 免费分享6款追剧网站(图文)
2020-11-04 21:00:39
手机上facebook的方法 免费教你玩转Facebook(图文)
2020-11-04 22:07:27
微信朋友圈怎么转发别人的说说 教你转发别人微信朋友圈说说(图文)
2020-11-04 23:09:18
蓝翔挖掘机学费多少钱 浅谈蓝翔技校学费细则(图文)
2020-11-04 23:09:32
玩游戏买什么台式电脑好 推荐5款台式电脑(图文)
2020-11-04 19:39:45
中专是什么文化程度 全方面解读中专文化程度(图文)
2020-11-05 15:06:16
扎西德勒是什么意思 西藏解释扎西德勒(图文)
2020-11-10 17:33:37
华为手机开不了机怎么办 手把手教你解决步骤(图文)
2020-11-12 17:33:42
壁挂炉阿里斯顿怎么样 带你全方面了解壁挂炉阿里斯顿(图文)
2020-11-04 21:01:22
空军中校是什么级别干部 全面解析空军级别(图文)
2020-11-05 14:29:52
最近什么电影好看搞笑 分享5部搞笑喜剧片(图文)
2020-11-06 17:04:11
怕什么来什么是什么定律 曝光其定律的全面解析(图文)
2020-11-05 00:33:02
视频码率是什么意思 浅析视频码率的定义(图文)
2020-11-06 16:57:33
火影忍者木叶丸的爸爸是谁 浅谈火影忍者木叶丸的爸爸(图文)
2020-11-06 16:58:25
童星面试黑幕 曝光童星面试黑幕细则(图文)
2020-11-06 17:38:52
十大直播电商平台薇娅 分享2020最新薇娅带货榜内况(图文)
2020-11-05 14:29:07