51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1200|回复: 0
打印 上一主题 下一主题

15款好用的web开源安全测试工具等你来!

[复制链接]
  • TA的每日心情
    擦汗
    昨天 09:02
  • 签到天数: 1042 天

    连续签到: 4 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-8-30 11:31:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    1-Wapiti

    Wapiti作为一个高效的web项目安全测试工具,它支持用户对web应用程序进行评估。运用“黑盒测试”技术,它可以在Web应用中检查出可能存在的缺陷漏洞。
      在测试过程中,Wapiti会对网页进行扫描,并注入测试数据来查找安全隐患。Wapiti支持GET和POST方法的HTTP攻击,可确认多种类型的安全漏洞,比如:
      ·文件泄露(File disclosure)
      · 数据库注入(Database Injection)
      · 跨站脚本注入(XSS Injection)
      · 命令执行探测(Command Execution Detection)
      · CRLF注入(CRLF Injection)
      · XML外部实体注入(XXE Injection-Xml External Entity Injection)
      · 潜在危险文件(Potentially dangerous files)
      · 可被轻易绕过的 .htaccess配置
      · 备用文件造成的泄漏
      Wapiti作为一个命令行应用,对初学者来说使用有难度,但对专业人士却很有帮助。操作该软件的用户需要对命令的使用完全了解。
      下载地址:https://sourceforge.net/projects/wapiti/
      2-Zed Attack Proxy

    Zed Attack Proxy,被人们称为ZAP,是一个由OWASP开发开源软件。ZAP支持在WINdows,UNIX/LINUX和Mac OS平台上工作,它可帮助用户查找Web应用中的多种安全漏洞,即使在开发或测试过程中它仍可以使用。这款测试工具便于使用,即使是渗透测试的初学者都可以掌握。
      特性:
      · 主动扫描
      · 认证支持
      · AJAX spider扫描
      · 动态SSL证书
      · 强制浏览
      · 截取代理
      · websocket支持
      · 基于REST的API及其他
      下载地址:https://www.zaproxy.org/
      3-Vega

    Vega是一个由Java写成的开源web应用测试工具,它拥有用户交互界面,可以在Windows、linux、Mac OS上使用,它可以帮助用户查找到:
      · 寻找SQL注入
      · 验证SQL注入
      · 文件泄露
      · 跨站脚本注入(XSS)
      · 提高TLS服务器安全性
      该工具也允许用户设置偏好,比如每秒最多/最少请求数、子路径数和节点数。一旦提供了合法证书,用户就可以把Vega当做主动扫描器使用,用来拦截并扫描代理。
      下载地址:https://subgraph.com/vega/download/index.en.html
      4-W3af

    W3af是一个流行的web应用安全测试框架。它由python写成,可以提供一个高效且针对web应用的渗透测试平台。
      该工具可检测出超过200种web应用安全问题,包括SQL注入和跨站脚本注入。他改回在web应用中检测下列漏洞:
      · SQL盲注(Blind SQL Injection)
      · 缓存溢出
      · 多重跨域资源共享的错误配置(Multiple CORS misconfigurations)
      · 不安全的DAV配置
      · CSRF漏洞及其他
      W3af拥有用户交互界面和控制台界面,方便用户理解。他还支持用户使用认证模块验证网站。
      下载地址:https://sourceforge.net/projects/w3af/
      5-Skipfish
      Skipfish是一个递归爬取网站、查找每个页面的潜在漏洞并最终出具审查报告web应用安全测试工具。它由C语言编写,旨在充分使用HTTP并留下最少的CPU痕迹。
      这款软件自称可以每秒请求2千次,并且不显露CPU痕迹。它还宣称,为了提供高质量的正面效果,它会在爬取测试web应用时使用探试法。这款工具可在Linux, FreeBSD, Mac OS X, Windows.上使用。
      下载地址:https://code.google.com/archive/p/skipfish/downloads?page=1
      6-Ratproxy
      作为一个开源web项目安全测试工具,Ratproxy可被用来查找web应用中的任何漏洞,从而保证应用免受黑客攻击。该半自动型测试软件可在Linux, FreeBSD, MacOS X, Windows (Cygwin) 系统上运行。
      Ratproxy旨在解决用户在使用其他代理软件过程中常会碰到的安全问题。它可以轻易分辨CSS样式和JavaScript 代码。
      下载地址:https://code.google.com/archive/p/ratproxy/downloads
      7-SQLMap

    SQLMap是一个流行的开源web应用安全测试工具,它可以自动地在目标网站中执行检测并利用网站数据库中的SQL注入漏洞。它包含多种特性,且拥有一个强劲引擎,可以毫不费力地执行渗透并对web应用的SQL注入漏洞进行查找。
      SQLMap支持很多数据库服务,包括MySQL, Oracle, PostgreSQL, Microsoft SQL 服务器等等。并且,该测试工具支持六种SQL注入的方法。
      下载地址:https://github.com/sqlmapproject/sqlmap
      8-Wfuzz

    Wfuzz使用python开发,它被用来暴力破解web应用,拥有以下特性:
      · 多重注入点
      · 输出结果到HTML
      · cookies模糊测试
      · 多线程
      · 代理支持
      · SOCK支持
      · 认证支持
      · 全参数暴力破解(POST和GET方法)
      · 基线请求(用来过滤结果)
      · 暴力破解HTTP方法
      · 多重代理支持
      · HEAD扫描
      · POST,HEAD和认证数据暴力破解
      使用WFuzz时,用户需要在命令行界面工作,它没有可用的用户交互界面。
      下载地址:https://github.com/xmendez/wfuzz/releases/tag/v2.4.6
      9-Grendel-Scan
      该安全测试工具旨在查找web应用中的安全漏洞,支持 Windows, Linux, and Macintosh平台,使用java开发。
      它自带一个自动测试模块,可自动检测web应用中的安全漏洞,该软件同样包含很多特性,尤其针对人工渗透测试。
      下载地址:https://github.com/IFGHou/Grendel-Scan
      10-Arachni

    该开源安全测试工具旨在帮助渗透测试人员和管理员对web应用的安全程度进行评估。它被用来查找web应用的安全漏洞并使应用免受黑客入侵。Arachni可以检测出:
      · SQL注入
      · 跨站脚本注入
      · 本地文件包含
      · 远程文件包含
      · 未验证的重定向及其他
      Arachni可支持所有主流操作系统,比如MS Windows, Mac OS X, and Linux.
      下载地址:https://www.arachni-scanner.com/download/
      11-Grabber

    该软件针对小型web应用进行扫描,比如论坛或个人网站。它可以检测出下列漏洞:
     
     · 跨站脚本注入
      · SQL注入
      · 文件包含
      · 备用文件验证
      · 简单AJAX验证
      · 针对PHP应用的PHP-SAT混合分析测试
      · 为数据测试生成文件
    Grabber是一种小型测试工具,在测试大型应用时会花费更多的时间。而且,因为它设计的目的是满足个人使用,所以该扫描器没有用户交互界面和PDF报告生成功能。Grabber是用python开发的,使用者可根据需求查找源代码并修改。
      下载地址:http://rgaucher.info/beta/grabber/

      12-Acunetix
    目前流行的收费型渗透测试软件,由于现在的绿色版功能有待提高,这里不提供下载。

      13-Netsparker

    可检查出致命漏洞,比如SQL注入、跨站脚本注入等。
      特性:
      · 可扫描任何web相关应用
      · 覆盖超过1000+漏洞
      · 用户可查看代码相关错误
      · 生成合规性和web应用
      载地址(绿色版):https://www.ddosi.com/b170/


    14-Metasploit

    开源测试平台,可为安全测试工程师提供安全评估帮助,甚至更多。
      特性:
      · 该软件框架比竞品更先进
      · 拥有1500+的漏洞
      · 为离散任务创建元模块,比如网络分割测试
      · 可用于多种进程的自动化
      · 许多渗透方案模型特性
      下载地址:https://github.com/rapid7/metasp ... /Nightly-Installers


      15-Burp Suite

    虽然收费但是特性优秀:
      · 尖端的web应用爬虫
      · 覆盖100+漏洞
      · 可用来进行玻璃盒测试(IAST)
      · 在客户端javascript使用静态和动态技术对javascript进行分析,检测漏洞
      · 使用OOB技术增强常规扫描方法
      下载地址:https://www.waitalone.cn/tools/burpsuite.html














    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-8 20:47 , Processed in 0.061424 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表