用于测试常见WEB安全漏洞的扫描工具集-曦曦SEO

用于测试常见WEB安全漏洞的扫描工具集

成都SEO作者:曦曦SEO时间:2023-01-19来源:成都seo浏览:13

  渗透阶段的信息收录完成后,需要根据收录到的信息扫描目标站点可能存在的漏洞,收录SQL注入漏洞、跨站点脚本漏洞、文件上传漏洞、文件收录漏洞和命令执行漏洞等。然后,通过这些已知的漏洞,我们可以找到目标地点的攻击入口。所以今天,成都SEO将介绍几种常用的WEB应用程序漏洞扫描工具。

  一、 自动驾驶汽车

  Acunetix Web漏洞扫描器(简称AWVS)是一种著名的网络漏洞扫描工具,它通过网络爬虫测试网站的安全性,并检测流行的安全漏洞。在漏洞扫描的实际过程中,AWVS通常是首选的,因为可以扫描的漏洞很多,而且使用起来相对简单。

  评论:强大的漏洞扫描器,拥有一个庞大而完整的漏洞数据库,可以说是市场上最好的漏洞扫描器。

  二、APPScan

  IBMAppScan是一种非常易于使用且功能强大的Web应用程序安全测试工具,在业界曾被称为WatchfireAppScan。RationalAppScan可以自动化Web应用程序的安全漏洞评估,并扫描和检测所有常见的Web应用程序安全漏洞。例如,SQL注入、跨站点脚本、缓冲区溢出以及最新的Flash/Flex应用程序和Web 2.0应用程序公开。

  评论:AppScan的优点是误报最少,而且比WVS扫描慢。建议一起使用。

  三、Nikto

  Nikto是一个开源的Web服务器扫描器,它可以全面测试各种Web服务器项目(收录3500个潜在危险的文件/CGI、900多个服务器版本和250多个服务器上的版本特定问题)。Nikto可以在短时间内扫描服务器的多个端口,Nikto因其效率和服务器增强而备受青睐。

  评论:作为一个开源漏洞扫描器,Nikto基于Whisker/libsaw完成了其底层功能。这是一个很棒的工具,但它的软件本身并不经常更新,最新和最危险的软件可能无法检测到。

  四、打开VAS

  OpenVAS(打开漏洞评估系统)是一种客户端/服务器架构,通常用于评估目标主机上的漏洞。OpenVAS是Nessus开始充电的开源扫描仪。OpenVAS默认安装在标准Kali Linux上。

  评论:OpenVAS具有强大的系统和设备扫描仪,但其缺点是扫描速度慢和磁盘空间大。

  五、Xray

  Xray是一个强大的安全评估工具,具有快速的检测速度(快速的收缩速度和高效的漏洞检测算法);广泛的支持(从OWASP Top 10通用漏洞检测到各种CMS框架的POC);代码编写者的质量很高,通过代码审查、单元测试和集成测试等多层验证提高了代码的可靠性。

  Xray支持的漏洞检测类型收录XSS漏洞检测(key:XSS)、SQL注入检测(key:sqldet)、命令/代码注入检测(key:cmd注入)、目录枚举(key:dirscan)、路径遍历检测(key:路径遍历)、XML注入测试(key:xxe)、文件上传测试(key:上传)、弱密码测试,jsonp测试(key:jsonp)、ssrf测试(key:ssrf)、基线测试(key:baseline)、任意跳转检测(key:redirect)、CRLF注入(key:CRLF注入)、Struts2系栏目漏洞检测(高级key:strus)、Thinkphp系栏目漏洞检测。

  评论:Xray是基于Go语言开发的漏洞扫描程序,支持导入poc扫描。然而,团队对poc质量的高要求导致现在poc的数量相对较少。

  以上五种WEB应用程序漏洞扫描工具是日常工作中实用的扫描器。

文章作者:曦曦SEO
文章标题:用于测试常见WEB安全漏洞的扫描工具集
文章链接:http://www.snjkrh.cn/3791.html

相关文章

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。