如果你剛好是某個網(wǎng)絡(luò)應(yīng)用程序的所有者，怎樣才能保證你的網(wǎng)站是安全的、不會泄露敏感信息？

如果是基于云的安全解決方案，那么可能只需要進(jìn)行常規(guī)漏掃。但如果不是，我們就必須執(zhí)行例行掃描，采取必要的行動降低安全風(fēng)險。

當(dāng)然很多付費(fèi)掃描器功能會更加全面、嚴(yán)謹(jǐn)，包含報表輸出、警報、詳細(xì)的應(yīng)急指南等等附加功能。

開源工具最大的缺點(diǎn)是漏洞庫可能沒有付費(fèi)軟件那么全面。

1. Arachni

Arachni是一款基于Ruby框架搭建的高性能安全掃描程序，適用于現(xiàn)代Web應(yīng)用程序。可用于Mac、Windows及Linux系統(tǒng)的可移植二進(jìn)制文件。

Arachni不僅能對基本的靜態(tài)或CMS網(wǎng)站進(jìn)行掃描，還能夠做到對以下平臺指紋信息（(硬盤序列號和網(wǎng)卡物理地址)）的識別。且同時支持主動檢查和被動檢查。

Windows、Solaris、Linux、BSD、Unix

Nginx、Apache、Tomcat、IIS、Jetty

Java、Ruby、Python、ASP、PHP

Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

一般檢測的漏洞類型包括：

NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入

跨站請求偽造

路徑遍歷

本地/遠(yuǎn)程文件包含

Response splitting

跨站腳本

未驗(yàn)證的DOM重定向

源代碼披露

另外，你可以選擇輸出HTML、XML、Text、JSON、YAML等格式的審計報告。

2. XssPy

一個有力的事實(shí)是，微軟、斯坦福、摩托羅拉、Informatica等很多大型企業(yè)機(jī)構(gòu)都在用這款基于python的XSS（跨站腳本）漏洞掃描器。它的編寫者Faizan Ahmad才華出眾，XssPy是一個非常智能的工具，不僅能檢查主頁或給定頁面，還能夠檢查網(wǎng)站上的所有鏈接以及子域。因此，XssPy的掃描非常細(xì)致且范圍廣泛。

3. w3af

w3af是一個從2006年年底開始的基于Python的開源項(xiàng)目，可用于Linux和Windows系統(tǒng)。w3af能夠檢測200多個漏洞，包括OWASP top 10中提到的。

w3af能夠幫你將payload注入header、URL、cookies、字符串查詢、post-data等，利用Web應(yīng)用程序進(jìn)行審計，且支持各種記錄方法完成報告，例如：

CSV

HTML

Console

Text

XML

Email

4. Nikto

相信很多人對Nikto并不陌生，這是由Netsparker（專做web安全掃描器企業(yè)，總部坐標(biāo)英國）贊助的開源項(xiàng)目，旨在發(fā)現(xiàn)Web服務(wù)器配置錯誤、插件和Web漏洞。Nikto對6500多個風(fēng)險項(xiàng)目進(jìn)行過綜合測試。支持HTTP代理、SSL或NTLM身份驗(yàn)證等，還能確定每個目標(biāo)掃描的最大執(zhí)行時間。

Nikto也適用于Kali Linux。

Nikto在企業(yè)內(nèi)部網(wǎng)絡(luò)解決方案中查找web服務(wù)器安全風(fēng)險的應(yīng)用前景非常廣闊。

5. Wfuzz

Wfuzz（Web Fuzzer）也是滲透中會用到的應(yīng)用程序評估工具。它可以對任何字段的HTTP請求中的數(shù)據(jù)進(jìn)行模糊處理，對Web應(yīng)用程序進(jìn)行審查。

Wfuzz需要在被掃描的計算機(jī)上安裝Python。

6. OWASP ZAP

ZAP（Zet Attack Proxy）是全球數(shù)百名志愿者程序員在積極更新維護(hù)的著名滲透測試工具之一。它是一款跨平臺的Java工具，甚至都可以在Raspberry Pi上運(yùn)行。ZAP在瀏覽器和Web應(yīng)用程序之間攔截和檢查消息。

ZAP值得一提的優(yōu)良功能：

Fuzzer

自動與被動掃描

支持多種腳本語言

Forced browsing（強(qiáng)制瀏覽）

7. Wapiti

Wapiti掃描特定的目標(biāo)網(wǎng)頁，尋找能夠注入數(shù)據(jù)的腳本和表單，從而驗(yàn)證其中是否存在漏洞。它不是對源代碼的安全檢查，而是執(zhí)行黑盒掃描。

支持GET和POST HTTP請求方式、HTTP和HTTPS代理以及多個認(rèn)證等。

8. Vega

Vega由Subgraph開發(fā)，Subgraph是一個用Java編寫的多平臺支持工具，用于查找XSS，SQLi、RFI和很多其它的漏洞。

Vega的圖形用戶界面相對來說比較美觀。它可以通過特定的憑證登錄某個應(yīng)用后執(zhí)行自動掃描。

如果你懂開發(fā)，還可以利用vega API創(chuàng)建新的攻擊模塊。

9. SQLmap

顧名思義，我們可以借助sqlmap對數(shù)據(jù)庫進(jìn)行滲透測試和漏洞查找。

支持所有操作系統(tǒng)上的Python 2.6或2.7。如果你正在查找SQL注入和數(shù)據(jù)庫漏洞利用，sqlmap是一個好助手。

10. Grabber

這也是一個做得不錯的Python小工具。這里列舉一些特色功能：

JavaScript源代碼分析器

跨站點(diǎn)腳本、SQL注入、SQL盲注

利用PHP-SAT的PHP應(yīng)用程序測試

11. Golismero

這是一個管理和運(yùn)行Wfuzz、DNS recon、sqlmap、OpenVas、機(jī)器人分析器等一些流行安全工具的框架。

Golismero非常智能，能夠整合其它工具的測試反饋，輸出一個統(tǒng)一的結(jié)果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一個用于查找和利用跨站點(diǎn)腳本的高級框架，內(nèi)置了三個智能模糊器，用于快速掃描和結(jié)果優(yōu)化。

網(wǎng)絡(luò)安全對于在線業(yè)務(wù)至關(guān)重要，希望上面這些免費(fèi)的漏掃程序能夠幫助各位讀者及時發(fā)現(xiàn)風(fēng)險，在被惡意人員利用之前即完成漏洞修復(fù)。

*參考來源：geekflare，F(xiàn)B小編柚子編譯，文章來自FreeBuf.COM，如有侵權(quán)請聯(lián)系刪除