滲透測試階段信息收集完成后��,需根據(jù)所收集的信息�,掃描目標(biāo)站點可能存在的漏洞�����,包括SQL注入漏洞����、跨站腳本漏洞�����、文件上傳漏洞���、文件包含漏洞及命令執(zhí)行漏洞等��,然后通過這些已知的漏洞�,尋找目標(biāo)站點存在攻擊的入口���。那么今天我們就介紹幾款常用的WEB應(yīng)用漏洞掃描工具���。
一���、AWVS
Acunetix Web Vulnerability Scanner(簡稱AWVS)是一款知名的網(wǎng)絡(luò)漏洞掃描工具,它通過網(wǎng)絡(luò)爬蟲測試你的網(wǎng)站安全�����,檢測流行安全漏洞��。在漏洞掃描實戰(zhàn)過程中�����,一般會首選AWVS��,因為這個能掃描出來的漏洞很多�����,而且使用比較簡單��。
點評:強大的漏洞掃描器�,漏洞庫大而全,可以說市面上最出色的漏洞掃描器
官方網(wǎng)站:https://www.acunetix.com/
AWVS掃描器使用說明文檔:https://www.wangan.com/docs/acunetixweb
二�、APPScan
IBM AppScan是一款非常好用且功能強大的Web 應(yīng)用安全測試工具,曾以 Watchfire AppScan 的名稱享譽業(yè)界��,Rational AppScan 可自動化 Web 應(yīng)用的安全漏洞評估工作,能掃描和檢測所有常見的 Web 應(yīng)用安全漏洞����,例如 SQL 注入(SQL-injection)、跨站點腳本攻擊(cross-site scripting)����、緩沖區(qū)溢出(buffer overflow)及最新的 Flash/Flex 應(yīng)用及 Web 2.0 應(yīng)用曝露等方面安全漏洞的掃描。
點評:AppScan 好處在于誤報是最少的�,相比WVS掃描更慢,建議配合使用
官方網(wǎng)站:https://www.hcltechsw.com/products/appscan
詳細使用說明文檔:https://www.wangan.com/docs/hcl1001
三����、Nikto
Nikto是一款開源的Web服務(wù)器掃描程序���,它可以對Web服務(wù)器的多種項目(包括3500個潛在的危險文件/CGI�����,以及超過900個服務(wù)器版本�,還有250多個服務(wù)器上的版本特定問題)進行全面的測試�。Nikto可以在短時間內(nèi)掃描服務(wù)器的多個端口,Nikto因其效率和服務(wù)器強化功能而受到青睞���。
點評:Nikto作為開源的漏洞掃描器��,基于Whisker/libwhisker完成其底層功能��。這是一款非常棒的工具���,但其軟件本身并不經(jīng)常更新�,最新和最危險的可能檢測不到�。
Github地址:https://github.com/sullo/nikto
詳細使用說明文檔:https://www.wangan.com/docs/nikto2
四、OpenVAS
OpenVAS(開放式漏洞評估系統(tǒng))是一個客戶端/服務(wù)器架構(gòu)�����,它常用來評估目標(biāo)主機上的漏洞�����。OpenVAS是Nessus開始收費后�,獨立出來的一個開源的掃描器,OpenVAS默認安裝在標(biāo)準(zhǔn)的Kali Linux上����。
點評:OpenVAS具有強大的系統(tǒng)和設(shè)備掃描器,缺點是掃描速度慢,占用磁盤空間較大�。
官方網(wǎng)站:https://www.openvas.org/
詳細使用說明文檔:https://www.wangan.com/docs/openvas
五、Xray
Xray是一款功能強大的安全評估工具����,檢測速度快(發(fā)包速度快,漏洞檢測算法高效)�����;支持范圍廣(大至 OWASP Top 10 通用漏洞檢測�,小至各種 CMS 框架 POC,均可以支持)�����;編寫代碼的人員素質(zhì)高, 通過 Code Review���、單元測試、集成測試等多層驗證來提高代碼可靠性�����。
Xray支持的漏洞檢測類型包括XSS漏洞檢測 (key: xss)���、SQL 注入檢測 (key: sqldet)��、命令/代碼注入檢測 (key: cmd-injection)�、目錄枚舉 (key: dirscan)、路徑穿越檢測 (key: path-traversal)��、XML 實體注入檢測 (key: xxe)����、文件上傳檢測 (key: upload)、弱口令檢測 (key: brute-force)���、jsonp 檢測 (key: jsonp)�����、ssrf 檢測 (key: ssrf)���、基線檢查 (key: baseline)、任意跳轉(zhuǎn)檢測 (key: redirect)���、CRLF 注入 (key: crlf-injection)���、Struts2 系列漏洞檢測 (高級版key: struts)�����、Thinkphp系列漏洞檢測 (高級版key: thinkphp)�、POC 框架 (key: phantasm)����。
點評:Xray是一款基于Go語言開發(fā)的漏洞掃描器,支持導(dǎo)入poc掃描����,不過團隊對poc的質(zhì)量要求很高,導(dǎo)致現(xiàn)在poc數(shù)量比較少��。
北京愛品特SEO網(wǎng)站優(yōu)化提供專業(yè)的網(wǎng)站SEO診斷服務(wù)�、SEO顧問服務(wù)、SEO外包服務(wù)�����,咨詢電話或微信:13811777897 袁先生 可免費獲取SEO網(wǎng)站診斷報告����。
北京網(wǎng)站優(yōu)化公司 >> SEO資訊 >> SEO常見問題 >> 滲透測試常用WEB安全漏洞掃描工具集合 本站部分內(nèi)容來源于互聯(lián)網(wǎng)���,如有版權(quán)糾紛或者違規(guī)問題���,請聯(lián)系我們刪除�����,謝謝�����!
回到首頁 
SEO案例
SEO資訊
SEO優(yōu)化方案
關(guān)于我們
聯(lián)系我們
SEO技術(shù)技巧
SEO算法解析
公司動態(tài)
公司簡介
我們的觀點
為什么選擇我們
企業(yè)文化
聯(lián)系方式
在線留言
提交意向表
在線客服
來訪路線
