99er久久国产精品先锋_亚洲丰满少妇撒尿BBo_老外和中国女人毛片免费视频_思思热在线视频网站_av无码不卡高清_国产 激情 自拍_激情综合色婷婷激情丁香_少妇与子乱A级全毛片_男人捅女人的软件_日本欧美日韩

賽門鐵克2017年互聯(lián)網(wǎng)安全威脅報(bào)告中提出在他們今年掃描的網(wǎng)站中，有76%都含有惡意軟件。如果你在用WordPress，SUCURI的另一份報(bào)告也顯示，超過70％的被掃描網(wǎng)站也都存在一個(gè)或多個(gè)漏洞。

如果你剛好是某個(gè)網(wǎng)絡(luò)應(yīng)用程序的所有者，怎樣才能保證你的網(wǎng)站是安全的、不會(huì)泄露敏感信息？

如果是基于云的安全解決方案，那么可能只需要進(jìn)行常規(guī)漏掃。但如果不是，我們就必須執(zhí)行例行掃描，采取必要的行動(dòng)降低安全風(fēng)險(xiǎn)。

當(dāng)然很多付費(fèi)掃描器功能會(huì)更加全面、嚴(yán)謹(jǐn)，包含報(bào)表輸出、警報(bào)、詳細(xì)的應(yīng)急指南等等附加功能。

開源工具最大的缺點(diǎn)是漏洞庫可能沒有付費(fèi)軟件那么全面。

1. Arachni

Arachni是一款基于Ruby框架搭建的高性能安全掃描程序，適用于現(xiàn)代Web應(yīng)用程序?？捎糜贛ac、Windows及Linux系統(tǒng)的可移植二進(jìn)制文件。

Arachni不僅能對(duì)基本的靜態(tài)或CMS網(wǎng)站進(jìn)行掃描，還能夠做到對(duì)以下平臺(tái)指紋信息（(硬盤序列號(hào)和網(wǎng)卡物理地址)）的識(shí)別。且同時(shí)支持主動(dòng)檢查和被動(dòng)檢查。

Windows、Solaris、Linux、BSD、Unix

Nginx、Apache、Tomcat、IIS、Jetty

Java、Ruby、Python、ASP、PHP

Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

一般檢測(cè)的漏洞類型包括：

NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入

跨站請(qǐng)求偽造

路徑遍歷

本地/遠(yuǎn)程文件包含

Response splitting

跨站腳本

未驗(yàn)證的DOM重定向

源代碼披露

另外，你可以選擇輸出HTML、XML、Text、JSON、YAML等格式的審計(jì)報(bào)告。

Arachni幫助我們以插件的形式將掃描范圍擴(kuò)展到更深層的級(jí)別。

2. XssPy

一個(gè)有力的事實(shí)是，微軟、斯坦福、摩托羅拉、Informatica等很多大型企業(yè)機(jī)構(gòu)都在用這款基于python的XSS（跨站腳本）漏洞掃描器。它的編寫者Faizan Ahmad才華出眾，XssPy是一個(gè)非常智能的工具，不僅能檢查主頁或給定頁面，還能夠檢查網(wǎng)站上的所有鏈接以及子域。因此，XssPy的掃描非常細(xì)致且范圍廣泛。

3. w3af

w3af是一個(gè)從2006年年底開始的基于Python的開源項(xiàng)目，可用于Linux和Windows系統(tǒng)。w3af能夠檢測(cè)200多個(gè)漏洞，包括OWASP top 10中提到的。

w3af能夠幫你將payload注入header、URL、cookies、字符串查詢、post-data等，利用Web應(yīng)用程序進(jìn)行審計(jì)，且支持各種記錄方法完成報(bào)告，例如：

CSV

HTML

Console

Text

XML

Email

這個(gè)程序建立在一個(gè)插件架構(gòu)上，所有可用插件地址：click here。

4. Nikto

相信很多人對(duì)Nikto并不陌生，這是由Netsparker（專做web安全掃描器企業(yè)，總部坐標(biāo)英國）贊助的開源項(xiàng)目，旨在發(fā)現(xiàn)Web服務(wù)器配置錯(cuò)誤、插件和Web漏洞。Nikto對(duì)6500多個(gè)風(fēng)險(xiǎn)項(xiàng)目進(jìn)行過綜合測(cè)試。支持HTTP代理、SSL或NTLM身份驗(yàn)證等，還能確定每個(gè)目標(biāo)掃描的最大執(zhí)行時(shí)間。

Nikto也適用于Kali Linux。

Nikto在企業(yè)內(nèi)部網(wǎng)絡(luò)解決方案中查找web服務(wù)器安全風(fēng)險(xiǎn)的應(yīng)用前景非常廣闊。

5. Wfuzz

Wfuzz（Web Fuzzer）也是滲透中會(huì)用到的應(yīng)用程序評(píng)估工具。它可以對(duì)任何字段的HTTP請(qǐng)求中的數(shù)據(jù)進(jìn)行模糊處理，對(duì)Web應(yīng)用程序進(jìn)行審查。

Wfuzz需要在被掃描的計(jì)算機(jī)上安裝Python。具體的使用指南可參見這個(gè)：鏈接。

6. OWASP ZAP

ZAP（Zet Attack Proxy）是全球數(shù)百名志愿者程序員在積極更新維護(hù)的著名滲透測(cè)試工具之一。它是一款跨平臺(tái)的Java工具，甚至都可以在Raspberry Pi上運(yùn)行。ZAP在瀏覽器和Web應(yīng)用程序之間攔截和檢查消息。

ZAP值得一提的優(yōu)良功能：

Fuzzer

自動(dòng)與被動(dòng)掃描

支持多種腳本語言

Forced browsing（強(qiáng)制瀏覽）

7. Wapiti

Wapiti掃描特定的目標(biāo)網(wǎng)頁，尋找能夠注入數(shù)據(jù)的腳本和表單，從而驗(yàn)證其中是否存在漏洞。它不是對(duì)源代碼的安全檢查，而是執(zhí)行黑盒掃描。

支持GET和POST HTTP請(qǐng)求方式、HTTP和HTTPS代理以及多個(gè)認(rèn)證等。

8. Vega

Vega由Subgraph開發(fā)，Subgraph是一個(gè)用Java編寫的多平臺(tái)支持工具，用于查找XSS，SQLi、RFI和很多其它的漏洞。

Vega的圖形用戶界面相對(duì)來說比較美觀。它可以通過特定的憑證登錄某個(gè)應(yīng)用后執(zhí)行自動(dòng)掃描。

如果你懂開發(fā)，還可以利用vega API創(chuàng)建新的攻擊模塊。

9. SQLmap

顧名思義，我們可以借助sqlmap對(duì)數(shù)據(jù)庫進(jìn)行滲透測(cè)試和漏洞查找。

支持所有操作系統(tǒng)上的Python 2.6或2.7。如果你正在查找SQL注入和數(shù)據(jù)庫漏洞利用，sqlmap是一個(gè)好助手。

10. Grabber

這也是一個(gè)做得不錯(cuò)的Python小工具。這里列舉一些特色功能：

JavaScript源代碼分析器

跨站點(diǎn)腳本、SQL注入、SQL盲注

利用PHP-SAT的PHP應(yīng)用程序測(cè)試

下載地址：click here。

11. Golismero

這是一個(gè)管理和運(yùn)行Wfuzz、DNS recon、sqlmap、OpenVas、機(jī)器人分析器等一些流行安全工具的框架。

Golismero非常智能，能夠整合其它工具的測(cè)試反饋，輸出一個(gè)統(tǒng)一的結(jié)果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一個(gè)用于查找和利用跨站點(diǎn)腳本的高級(jí)框架，內(nèi)置了三個(gè)智能模糊器，用于快速掃描和結(jié)果優(yōu)化。

這款工具有上百個(gè)功能

網(wǎng)絡(luò)安全對(duì)于在線業(yè)務(wù)至關(guān)重要，希望上面這些免費(fèi)的漏掃程序能夠幫助各位讀者及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，在被惡意人員利用之前即完成漏洞修復(fù)。