网站的安全是我们做站长最关注的事情;
虽然做一个网站、一个博客是很简单的,但是里面有我们很多的内容在,为了创造这些内容,花了我们大量的心血;
而有时候,我们的一个网站如果受到了攻击或者是入侵,那么我们的损失是非常严重的;
对于我们规模不是很大的小网站来说,相对于被黑客专门针对去入侵的风险还是比较小;
但是凡事都要做后最充分的准备,就不会被突如其来的状况给杀个措手不及;
那么今天介绍的这些web漏洞扫描工具,就可以彻查自己的网站是否有漏洞,只需要简单地执行,就可以轻松找出网站的安全漏洞了;
1.Grabber
Grabber是一款免费开源的Web应用程序扫描程序,可以检测Web应用程序中的大多数安全漏洞,可以检测以下漏洞:跨站脚本,SQL注入,Ajax测试,文件包含,JS源代码分析器,备份文件检查。
Grabbe仅用于测试小型Web应用程序,因为扫描大型应用程序需要花费太多时间。此工具不提供任何GUI界面,也无法创建任何PDF报告。目前只要是面对个人使用;
2.Vega
该工具用Java编写,并提供基于GUI的环境,可用于OS X,Linux和Windows。
同时vega也是一个免费开源Web漏洞扫描程序和测试平台。使用此工具,您可以执行Web应用程序的安全性测试。
可用于查找SQL注入,标头注入,目录列表,shell注入,跨站点脚本,文件包含和其他Web应用程序漏洞。
3.Zed Attack Proxy
Zed Attack Proxy是开源的,由AWASP开发。适用于Windows,Unix / Linux和mac平台。可用于在Web应用程序中查找各种漏洞,该工具简单易用。即使您不熟悉渗透测试,也可以轻松使用此工具开始学习Web应用程序的渗透测试。
ZAP包含以下关键功能:拦截代理,自动扫描仪,蜘蛛,模糊器,Web套接字支持,即插即用支持,身份验证支持,基于REST的API,动态SSL证书,智能卡和客户端数字证书支持。
4.Wapiti
Wapiti可审核Web应用程序的安全性。通过扫描网页和注入数据来执行黑盒测试,尝试注入有效负载并查看脚本是否容易受到攻击,支持GET和POSTHTTP攻击并检测多个漏洞。
可以检测以下漏洞:文件披露,文件包含,跨站点脚本(XSS),命令执行检测,
CRLF注射,SEL注射和Xpath注射,.htaccess配置,备份文件披露等。
5.W3af
W3af是一种流行的Web应用程序攻击和审计框架。该框架旨在提供渗透测试平台,使用Python开发。通过使用此工具,您能够识别200多种Web应用程序漏洞,包括SQL注入,跨站点脚本和许多其他漏洞。
6.WebScarab
WebScarab是一个基于Java的安全框架,用于使用HTTP或HTTPS协议分析Web应用程序。使用可用的插件,可以扩展该工具的功能。此工具用作拦截代理。因此,您可以查看来自浏览器并转到服务器的请求和响应,还可以在服务器或浏览器收到请求或响应之前修改它们。
7.Skipfish
Skipfish也是一个不错的Web应用程序安全工具。它抓取网站,然后检查每个页面是否存在各种安全威胁,然后准备最终报告。该工具用C语言编写。针对HTTP处理进行了高度优化,并且利用了最少的CPU。Skipfish声称每秒可以轻松处理2000个请求而无需在CPU上添加负载。
8.Ratproxy
Ratproxy用于查找Web应用程序中的web安全漏洞。它支持Linux,FreeBSD,MacOS X和Windows(Cygwin)环境。
此工具旨在克服用户在使用其他代理工具进行安全审核时通常会遇到的问题。它能够区分CSS样式表和JavaScript代码。它还支持中间人攻击中的SSL人员,这意味着您还可以看到通过SSL传递的数据。
以上就是常用的web漏洞扫描器,目前列出了中的,用户可根据自己的需求进行测试;
