今天要跟大家分享的文章是關(guān)于開源Web應(yīng)用的安全測(cè)試工具匯總�����。Web應(yīng)用安全測(cè)試可對(duì)Web應(yīng)用程序執(zhí)行功能測(cè)試�����,找到盡可能多的安全問題,大大降低黑客入侵幾率�����。
在研究并推薦一些最 佳的開源Web應(yīng)用安全測(cè)試工具之前�,讓我們首先了解一下安全測(cè)試的定義、功用和價(jià)值���。
一����、安全測(cè)試的定義
安全測(cè)試可以提高信息系統(tǒng)中的數(shù)據(jù)安全性����,防止未經(jīng)批準(zhǔn)的用戶訪問。在Web應(yīng)用安全范疇中��,成功的安全測(cè)試可以保護(hù)Web應(yīng)用程序免受嚴(yán)重的惡意軟件和其他惡意威脅的侵害����,這些惡意軟件和惡意威脅可能導(dǎo)致Web應(yīng)用程序崩潰或產(chǎn)生意外行為����。
安全測(cè)試有助于在初始階段解決Web應(yīng)用程序的各種漏洞和缺陷�����。此外�,它還有助于測(cè)試應(yīng)用程序的代碼安全性��。Web安全測(cè)試涵蓋的主要領(lǐng)域是:
·認(rèn)證方式
·授權(quán)書
·可用性
·保密
·一致性
·不可否認(rèn)
二����、安全測(cè)試的目的
全球范圍內(nèi)的組織和專業(yè)人員都使用安全測(cè)試來確保其Web應(yīng)用程序和信息系統(tǒng)的安全性。實(shí)施安全測(cè)試的主要目的是:
·幫助提高產(chǎn)品的安全性和保質(zhì)期
·在開發(fā)初期識(shí)別并修復(fù)各種安全問題
·評(píng)估當(dāng)前狀態(tài)下的穩(wěn)定性
三���、為什么我們需要重視Web安全測(cè)試
·避免性能不一致
·避免失去客戶信任
·避免以安全漏洞的形式丟失重要信息
·防止身份不明的用戶盜竊信息
·從意外故障中恢復(fù)
·節(jié)省解決安全問題所需的額外費(fèi)用
目前市場(chǎng)上有很多免費(fèi)���、付費(fèi)和開源工具可用來檢查Web應(yīng)用程序中的漏洞和缺陷。關(guān)于開源工具���,除了免費(fèi)之外���,最 大的優(yōu)點(diǎn)是可以自定義它們,以符合您的特定要求����。
以下�����,是我們推薦的十大開源安全測(cè)試列表:
1�����、Arachni
Arachni面向滲透測(cè)試人員和管理員的旨在識(shí)別Web應(yīng)用程序中的安全問題����。該開源安全測(cè)試工具能夠發(fā)現(xiàn)許多漏洞���,包括:
·無效的重定向
·本地和遠(yuǎn)程文件包含
·SQL注入
·XSS注射
主要亮點(diǎn):
·即時(shí)部署
·模塊化���,高性能Ruby框架
·多平臺(tái)支持
2、劫掠者
便攜式Grabber旨在掃描小型Web應(yīng)用程序���,包括論壇和個(gè)人網(wǎng)站���。輕量級(jí)的安全測(cè)試工具沒有GUI界面,并且使用Python編寫�����。Grabber發(fā)現(xiàn)的漏洞包括:
·備份文件驗(yàn)證
·跨站腳本
·文件包含
·簡(jiǎn)單的AJAX驗(yàn)證
·SQL注入
主要亮點(diǎn):
·生成統(tǒng)計(jì)分析文件
·簡(jiǎn)單便攜
·支持JS代碼分析
3����、Iron Wasp
Iron Wasp是一種開放源代碼,功能強(qiáng)大的掃描工具���,能夠發(fā)現(xiàn)25種以上的Web應(yīng)用程序漏洞���。此外,它還可以檢測(cè)誤報(bào)和誤報(bào)����。Iron Wasp可幫助暴露各種漏洞,包括:
·身份驗(yàn)證失敗
·跨站腳本
·CSRF
·隱藏參數(shù)
·特權(quán)提升
主要亮點(diǎn):
·通過插件或模塊可擴(kuò)展地用C#�、Python、Ruby或VB.NET編寫
·基于GUI
·以HTML和RTF格式生成報(bào)告
4�����、Nogotofail
Nogotofail是Google開發(fā)的網(wǎng)絡(luò)流量安全測(cè)試工具�,一款輕量級(jí)的應(yīng)用程序,能夠檢測(cè)TLS / SSL漏洞和配置錯(cuò)誤����。Nogotofail暴露的漏洞包括:
·MiTM攻擊
·SSL證書驗(yàn)證問題
·SSL注入
·TLS注入
主要亮點(diǎn):
·易于使用
·輕巧的
·易于部署
·支持設(shè)置為路由器����、代理或VPN服務(wù)器
5���、SonarQube
另一個(gè)值得推薦的開源安全測(cè)試工具是SonarQube�。除了公開漏洞外��,它還用于衡量Web應(yīng)用程序的源代碼質(zhì)量����。盡管使用Java編寫,SonarQube仍能夠分析20多種編程語(yǔ)言���。此外�,它可以通過持續(xù)集成工具輕松地集成到Jenkins之類的產(chǎn)品中�。SonarQube發(fā)現(xiàn)的問題以綠色或紅色突出顯示。前者代表低風(fēng)險(xiǎn)的漏洞和問題�����,而后者則代表嚴(yán)重的漏洞和問題�。對(duì)于高級(jí)用戶�����,可以通過命令提示符進(jìn)行訪問。對(duì)于那些相對(duì)較新的測(cè)試人員���,有一個(gè)交互式GUI���。SonarQube暴露的一些漏洞包括:
·跨站腳本
·拒絕服務(wù)(DoS)攻擊
·HTTP響應(yīng)拆分
·內(nèi)存損壞
·SQL注入
主要亮點(diǎn):
·檢測(cè)棘手的問題
·DevOps集成
·設(shè)置pull requests請(qǐng)求分析
·支持短期和長(zhǎng)期代碼分支的質(zhì)量跟蹤
·提供Quality Gate
·可視化項(xiàng)目歷史
6、SQLMap
SQLMap完全免費(fèi)���,可以實(shí)現(xiàn)網(wǎng)站數(shù)據(jù)庫(kù)中SQL注入漏洞檢測(cè)和利用過程的自動(dòng)化���。該安全測(cè)試工具附帶一個(gè)功能強(qiáng)大的測(cè)試引擎,能夠支持6種類型的SQL注入技術(shù):
·基于布爾的盲注
·基于錯(cuò)誤
·帶外
·堆疊查詢
·基于時(shí)間的盲注
·UNION查詢
主要亮點(diǎn):
·自動(dòng)化查找SQL注入漏洞的過程
·也可以用于網(wǎng)站的安全測(cè)試
·強(qiáng)大的檢測(cè)引擎
·支持多種數(shù)據(jù)庫(kù)�,包括MySQL、Oracle和PostgreSQL
7�����、W3af
W3af是最受Python開發(fā)者喜歡的Web應(yīng)用程序安全測(cè)試框架之一�。該工具覆蓋Web應(yīng)用程序中超過200多種類型的安全問題,包括:
·SQL盲注
·緩沖區(qū)溢出
·跨站腳本
·CSRF
·不安全的DAV配置
主要亮點(diǎn):
·認(rèn)證支持
·易于上手
·提供直觀的GUI界面
·輸出可以記錄到控制臺(tái)����,文件或電子郵件中
8��、Wapiti
Wapiti是領(lǐng) 先的Web應(yīng)用程序安全測(cè)試工具之一����,它是SourceForge和devloop提供的免費(fèi)的開源項(xiàng)目�����。Wapiti可執(zhí)行黑盒測(cè)試��,檢查Web應(yīng)用程序是否存在安全漏洞���。由于是命令行應(yīng)用程序����,因此了解Wapiti使用的各種命令非常重要�����。Wapiti對(duì)于經(jīng)驗(yàn)豐富的人來說易于使用���,但對(duì)于新手來說卻是一個(gè)的考驗(yàn)����。但請(qǐng)放心,您可以在官方文檔中找到所有Wapiti說明�。為了檢查腳本是否易受攻擊,Wapiti注入了有效負(fù)載��。該開源安全測(cè)試工具同時(shí)支持GET和POSTHTTP攻擊方法�。Wapiti暴露的漏洞包括:
·命令執(zhí)行檢測(cè)
·CRLF注射
·數(shù)據(jù)庫(kù)注入
·檔案披露
·Shellshock或Bash錯(cuò)誤
·SSRF(服務(wù)器端請(qǐng)求偽造)
·可以繞開的.htaccess弱配置
·XSS注入
·XXE注入
主要亮點(diǎn):
·允許通過不同的方法進(jìn)行身份驗(yàn)證����,包括Kerberos和NTLM
·帶有buster模塊,可以暴力破解目標(biāo)Web服務(wù)器上的目錄和文件名
·操作類似fuzzer
·同時(shí)支持GET和POSTHTTP方法進(jìn)行攻擊
9��、Wfuzz
Wfuzz是用Python開發(fā)的���,普遍用于暴力破解Web應(yīng)用程序��。該開源安全測(cè)試工具沒有GUI界面����,只能通過命令行使用���。Wfuzz暴露的漏洞包括:
·LDAP注入
·SQL注入
·XSS注入
主要亮點(diǎn):
·認(rèn)證支持
·Cookies fuzzing
·多線程
·多注入點(diǎn)
·支持代理和SOCK
10�����、Zed攻擊代理(ZAP)
ZAP或Zed Attack Proxy由OWASP(開放Web應(yīng)用程序安全項(xiàng)目)開發(fā)����,是一種跨多平臺(tái),開放源代碼Web應(yīng)用程序安全測(cè)試工具����。ZAP用于在開發(fā)和測(cè)試階段查找Web應(yīng)用程序中的許多安全漏洞。由于其直觀的GUI����,新手和專家都可以輕松使用Zed Attach Proxy。安全測(cè)試工具支持高級(jí)用戶的命令行訪問����。 除了是最著 名的OWASP 項(xiàng)目之一,ZAP還是當(dāng)之無愧的Web安全測(cè)試旗艦產(chǎn)品��。ZAP用Java編寫����。除了用作掃描程序外,ZAP還可以用來攔截代理以手動(dòng)測(cè)試網(wǎng)頁(yè)。ZAP暴露的漏洞包括:
·應(yīng)用錯(cuò)誤披露
·非HttpOnly Cookie標(biāo)識(shí)
·缺少反CSRF令牌和安全標(biāo)頭
·私人IP披露
·URL重寫中的會(huì)話ID
·SQL注入
·XSS注入
主要亮點(diǎn):
·自動(dòng)掃描
·易于使用
·多平臺(tái)
·基于休息的API
·支持身份驗(yàn)證
·使用傳統(tǒng)而強(qiáng)大的AJAX蜘蛛
粵公網(wǎng)安備 44010602004272號(hào)