如今,從小型餐廳到大型商超��,從小型企業(yè)到大型聯(lián)邦機構(gòu)��,網(wǎng)絡(luò)攻擊者總在無時不刻地尋找著窺探以及獲取目標用戶個人身份信息(PII)的隱蔽機會�����。無論是Facebook還是Erimax(譯者注:一家提供合同承包解決方案的公司)的安全系統(tǒng),任何一個微小的漏洞���、或是細微的系統(tǒng)缺陷���,都會讓他們在財務(wù)和聲譽上蒙受損失����。
成都創(chuàng)新互聯(lián)是一家專業(yè)提供深澤企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站設(shè)計制作�����、成都網(wǎng)站制作����、H5高端網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)�����。10年已為深澤眾多企業(yè)�����、政府機構(gòu)等服務(wù)���。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進行中���。
可見���,安全事件隨時都可能在企業(yè)系統(tǒng)中發(fā)生,我們應(yīng)當對于網(wǎng)絡(luò)安全存有敬畏之心�。毫不夸張地說:我們需要具有“筑起萬里長堤抵御百年一遇海嘯”的態(tài)度。因此�,我們需要通過Web安全測試工具,主動檢測應(yīng)用程序的漏洞�����、并在網(wǎng)站服務(wù)免受惡意攻擊方面發(fā)揮有效的作用���。
通常��,在評估網(wǎng)站的安全態(tài)勢方面,我們會用到兩種有效的方法����,它們分別是漏洞評估和滲透測試。下面�,我們來看看安全測試人員常用的十種優(yōu)秀的開源工具:
1. NetSparker
作為一款一站式的工具,NetSparker能夠滿足絕大多數(shù)網(wǎng)絡(luò)的安全需求。它既可以被用在宿主機上����,又可以被作為自托管解決方案的一部分。該平臺能夠非常容易地完全集成到�,現(xiàn)有的任何一種測試環(huán)境或開發(fā)環(huán)境中。通過使用專利技術(shù)����,即:基于證據(jù)的掃描(Proof-Based-Scanning),NetSparker能夠自動化地識別各種漏洞�����,并通過驗證假陽性(false positive)��,來削減安全人員花費在二次審驗上的大量時間���。
2. ImmuniWeb
作為一款“下一代安全平臺”���,ImmuniWeb采用了人工智能來實現(xiàn)各項安全測試。安全測試團隊���、開發(fā)人員��、首席信息安全官(CISOs)�、甚至是首席信息官(CIO)們都可以利用它所提供的AI技術(shù),來開展各種平臺級別的滲透測試����。同時,用戶只需單擊其虛擬的補丁系統(tǒng)�,便可實現(xiàn)對于目標平臺的合規(guī)性持續(xù)監(jiān)測。另外��,ImmuniWeb擁有專有的多層應(yīng)用安全測試(Multilayer Application Security Testing)技術(shù)���,它可以對網(wǎng)站的合規(guī)性����、服務(wù)器安全的加固程度�����、以及隱私保護態(tài)勢等方面提供檢查����。
3. Vega
它是一款采用Java編寫而成的免費�、開源的漏洞掃描與測試工具。Vega帶有針對OS X、Linux和Windows平臺的GUI���。作為一款自動化的掃描工具�,它能夠通過網(wǎng)站爬蟲�����,來進行快速的掃描測試���。Vega的攔截代理功能能夠通過觀察與監(jiān)控客戶端與服務(wù)器之間的通信��,來輔助安全人員進行戰(zhàn)術(shù)上的檢查��。Vega能夠檢測的Web應(yīng)用漏洞包括:盲SQL注入�����、Shell注入�����、反射與存儲跨站點的腳本等�。由于它的各種檢測模塊都是由JavaScript編寫而成�,因此在各種API需要之時����,用戶可以自行創(chuàng)建不同新的攻擊模塊��。
4. Wapiti
Wapiti是一種命令行式的應(yīng)用程序�����,它通過采用爬取網(wǎng)頁的方式���,來檢測是否存在被注入的數(shù)據(jù)腳本或表單���。Wapiti可以通過執(zhí)行黑盒掃描、以及在檢測到的腳本中注入有效載荷�����,來發(fā)現(xiàn)目標系統(tǒng)的漏洞���。通過支持HTTP的GET和POST攻擊方法�����,該工具能夠生成各種格式的脆弱性報告���,并提供不同級別的定制內(nèi)容。Wapiti能夠檢測出諸如:文件泄露�����、數(shù)據(jù)庫注入���、文件包含�����、跨站點腳本(XSS)����、.htaccess配置錯誤等漏洞��。同時�,它能夠區(qū)分永久性和反射性的XSS漏洞,并會在發(fā)現(xiàn)了異常后及時觸發(fā)警報����。
5. Google Nogotofail
Nogotofail是針對網(wǎng)絡(luò)流量的安全性測試工具。它能夠檢查已知的TLS/SSL漏洞�、以及那些被錯誤配置的應(yīng)用程序��。Nogotofail提供了一套靈活���、可擴展的掃描、識別����、以及修復(fù)SSL/TLS弱連接的方法,可以被用于檢查目標網(wǎng)站是否容易受到各種中間人(MiTM)的攻擊���。此外���,它可以被設(shè)置為路由器、VPN服務(wù)器��、以及代理服務(wù)器�����,被用在Android����、IOS、Linux、Windows�����、Chrome����、OS����、OSX、以及連接到互聯(lián)網(wǎng)的任何其他設(shè)備上��。
6. Acunetix
Acunetix及其漏洞掃描器���,是優(yōu)秀的自動化Web應(yīng)用安全測試工具����。Acunetix漏洞掃描儀分別通過AcuSensor和DeepScan實現(xiàn)了創(chuàng)新性的黑盒掃描和單頁面應(yīng)用(SPA)的爬取�。具有多線程的DeepScan,能夠在WordPress安裝過程中不間斷地爬取����、并深度地掃描上千種漏洞。其登錄序列記錄器(Login Sequence Recorder)能夠掃描各種密碼保護字段����,而內(nèi)置的漏洞管理系統(tǒng)則有助于生成相關(guān)的技術(shù)與合規(guī)報告�����。
7. W3af
W3af是一個Web應(yīng)用審計和攻擊框架����,它能夠有效地抵御超過200種漏洞�。通過識別諸如SQL注入、跨站點腳本���、可猜測的證書���、未處理的應(yīng)用程序錯誤、以及PHP配置錯誤等漏洞����,它能夠有效地減少網(wǎng)站對于各種惡意攻擊因素的暴露面。W3af自帶有以圖形和控制臺為基礎(chǔ)的接口�����,能夠有效地保證用戶在不到五次點擊之內(nèi),審核Web應(yīng)用程序的安全性��。用戶常用它來發(fā)送單個HTTP請求���、以及多個集群的HTTP響應(yīng)���。此外,它也可以采用身份驗證模塊���,對受保護的網(wǎng)站進行掃描,進而將輸出結(jié)果記錄到相應(yīng)的控制臺�����、文件���、甚至是通過電子郵件予以發(fā)送�����。
8. SQLMap
作為一種滲透測試工具����,SQLMap通過其檢測引擎,來自動識別和“利用”與SQL注入相關(guān)的缺陷��。由于自帶有廣泛的數(shù)據(jù)庫管理系統(tǒng)����、以及SQL注入技術(shù),SQLMap能夠自動識別基于哈希的密碼���,并能夠通過安全編排應(yīng)對基于字典的攻擊�。由于支持七個級別的冗長SQL語句��,它為每一種查詢都提供了ETA支持���,并且為用戶的切換帶來了細粒度的靈活性��。它的數(shù)據(jù)庫指紋識別和枚舉特征���,能夠有效地簡化滲透測試的運行過程。
9. ZED Attack Proxy (ZAP)
由全球數(shù)位志愿者小伙伴�,針對開放式Web應(yīng)用安全項目(OWASP)開發(fā)和維護的ZAP,是一款免費且開源的滲透測試工具�����。ZAP可在Windows、UNIX��、Linux���、以及Macintosh平臺上��,開展自動化和手動類型的安全測試���。作為測試人員在瀏覽器與Web應(yīng)用之間的“中間人代理”,它可以被用來攔截或調(diào)整相互發(fā)送的消息�。除了傳統(tǒng)的測試功能之外,它還具有Ajax蜘蛛�����、Fuzzer��、Web套接字支持�、以及基于REST的API等特性���。
10. BeEF (Browser Exploitation Framework)
BeEF是瀏覽器開發(fā)框架的縮寫����,它能夠通過瀏覽器的固有漏洞,來檢測Web應(yīng)用的自身弱點�。它使用客戶端的攻擊向量,來驗證應(yīng)用程序的安全性�����。它能夠發(fā)送諸如重定向��、更改URL���、生成對話框等瀏覽器命令����。BeEF對常規(guī)的網(wǎng)絡(luò)邊界和客戶端系統(tǒng)進行了擴展�,能夠分析目標系統(tǒng)中Web瀏覽器所處的安全態(tài)勢。
分享題目:值得關(guān)注的十款網(wǎng)站安全開源測試工具
網(wǎng)址分享:
http://uogjgqi.cn/article/djojdjg.html
