如果像Heartbleed这样的安全事件,苹果公司发现了缺陷,那么POODLE攻击已经教会了我们什么,那就是网络安全不能掉以轻心,即便我们中最好的人也不能安全。Web 安全测试工具可用于主动检测应用程序漏洞和保护网站免受攻击。
以下是8种在安全测试人员中很受欢迎的开源工具:
-
Vega -这是一个用Java编写的漏洞扫描和测试工具。它适用于OS X,Linux和Windows平台。它启用了GUI,包括一个自动扫描程序和一个拦截代理。它可以检测Web应用程序漏洞,如SQL注入,标头注入,跨站点脚本等。它可以通过JavaScript API进行扩展。
https://subgraph.com/vega/
-
ZED攻击代理(ZAP) -它由AWASP开发,可用于Windows,Unix / Linux和Macintosh平台。它易于使用。它可以用作扫描仪或拦截代理以手动测试网页。它的主要功能是传统和AJAX蜘蛛,Fuzzer,Web套接字支持和基于REST的API
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
-
Wapiti -它执行黑盒扫描并注入有效负载以检查脚本是否容易受到攻击。它支持GET和POSTHTTP攻击方法。它可以检测漏洞,如文件披露,文件包含,跨站点脚本(XSS),弱.htaccess配置等。
http://wapiti.sourceforge.net/
-
W3af -这是一个Web应用程序审计和攻击框架,可以有效抵御200多个漏洞。它有一个带有专家工具的GUI,可用于发送HTTP请求和群集HTTP响应。如果网站受到保护,它可以使用身份验证模块进行扫描。输出可以记录到控制台,文件或通过电子邮件发送。
http://w3af.org/
-
Iron Wasp -这是一个基于GUI的强大扫描工具,可以检查超过25种Web漏洞。它可以检测误报和漏报。它基于Python和Ruby构建,可生成HTML和RTF报告。
https://ironwasp.org/
-
SQLMap -它检测网站数据库中的SQL注入漏洞。它可以在各种数据库中使用,并支持6种SQL注入技术:基于时间的盲,基于布尔的盲,基于错误,UNION查询,堆栈查询和带外。它可以直接连接到数据库而无需使用SQL注入,并具有出色的数据库指纹识别和枚举功能。
http://sqlmap.org/
-
Google Nogotofail -它是一种网络流量安全测试工具。它检查应用程序是否存在已知的TLS / SSL漏洞和错误配置。它扫描SSL / TLS加密连接并检查它们是否容易受到中间人(MiTM)攻击。它可以设置为路由器,VPN服务器或代理服务器。
https://github.com/google/nogotofail
-
BeEF(浏览器开发框架) -它使用浏览器漏洞检测应用程序漏洞。它使用客户端攻击向量来验证应用程序的安全性。它可以发出浏览器命令,如重定向,更改URL,生成对话框等。
http://beefproject.com/