用于测试常见WEB安全漏洞的扫描工具集

作者：曦曦SEO时间：2023-01-19来源：成都seo浏览：52

　　渗透阶段的信息收录完成后，需要根据收录到的信息扫描目标站点可能存在的漏洞，收录SQL注入漏洞、跨站点脚本漏洞、文件上传漏洞、文件收录漏洞和命令执行漏洞等。然后，通过这些已知的漏洞，我们可以找到目标地点的攻击入口。所以今天，成都SEO将介绍几种常用的WEB应用程序漏洞扫描工具。

　　一、 自动驾驶汽车

　　Acunetix Web漏洞扫描器（简称AWVS）是一种著名的网络漏洞扫描工具，它通过网络爬虫测试网站的安全性，并检测流行的安全漏洞。在漏洞扫描的实际过程中，AWVS通常是首选的，因为可以扫描的漏洞很多，而且使用起来相对简单。

　　评论：强大的漏洞扫描器，拥有一个庞大而完整的漏洞数据库，可以说是市场上最好的漏洞扫描器。

　　二、APPScan

　　IBMAppScan是一种非常易于使用且功能强大的Web应用程序安全测试工具，在业界曾被称为WatchfireAppScan。RationalAppScan可以自动化Web应用程序的安全漏洞评估，并扫描和检测所有常见的Web应用程序安全漏洞。例如，SQL注入、跨站点脚本、缓冲区溢出以及最新的Flash/Flex应用程序和Web 2.0应用程序公开。

　　评论：AppScan的优点是误报最少，而且比WVS扫描慢。建议一起使用。

　　三、Nikto

　　Nikto是一个开源的Web服务器扫描器，它可以全面测试各种Web服务器项目（收录3500个潜在危险的文件/CGI、900多个服务器版本和250多个服务器上的版本特定问题）。Nikto可以在短时间内扫描服务器的多个端口，Nikto因其效率和服务器增强而备受青睐。

　　评论：作为一个开源漏洞扫描器，Nikto基于Whisker/libsaw完成了其底层功能。这是一个很棒的工具，但它的软件本身并不经常更新，最新和最危险的软件可能无法检测到。

　　四、打开VAS

　　OpenVAS（打开漏洞评估系统）是一种客户端/服务器架构，通常用于评估目标主机上的漏洞。OpenVAS是Nessus开始充电的开源扫描仪。OpenVAS默认安装在标准Kali Linux上。

　　评论：OpenVAS具有强大的系统和设备扫描仪，但其缺点是扫描速度慢和磁盘空间大。

　　五、Xray

　　Xray是一个强大的安全评估工具，具有快速的检测速度（快速的收缩速度和高效的漏洞检测算法）；广泛的支持（从OWASP Top 10通用漏洞检测到各种CMS框架的POC）；代码编写者的质量很高，通过代码审查、单元测试和集成测试等多层验证提高了代码的可靠性。

　　Xray支持的漏洞检测类型收录XSS漏洞检测（key:XSS）、SQL注入检测（key:sqldet）、命令/代码注入检测（key：cmd注入）、目录枚举（key:dirscan）、路径遍历检测（key:路径遍历）、XML注入测试（key:xxe）、文件上传测试（key:上传）、弱密码测试，jsonp测试（key:jsonp）、ssrf测试（key:ssrf）、基线测试（key:baseline）、任意跳转检测（key:redirect）、CRLF注入（key:CRLF注入）、Struts2系栏目漏洞检测（高级key:strus）、Thinkphp系栏目漏洞检测。

　　评论：Xray是基于Go语言开发的漏洞扫描程序，支持导入poc扫描。然而，团队对poc质量的高要求导致现在poc的数量相对较少。

　　以上五种WEB应用程序漏洞扫描工具是日常工作中实用的扫描器。