虽然目前互联网的网站数量非常庞大,但是对于网站安全方面有所涉及的企业确实非常至少,很多企业只是搭建起了网站,但是对于网站漏洞方面的检测和维护确实完全没有认知,更别提安全验收了。这里就跟大家稍微讲解一下怎么扫描网站漏洞以及推荐一些网站漏洞扫描工具。
怎么扫描网站漏洞估计很多用户对于自己的网站有没有安全漏洞并不知情,如果不是专精安全攻防行业的很可能对这方面并没有多少涉及,自然也就不了解自己的网站是否存在漏洞,也完全没有安全验收这个概念。
那么应该怎么扫描网站漏洞呢通常是借助网站漏洞扫描工具来扫描,互联网上的一些网站漏洞扫描工具非常多,但是大部分都没有实时更新,因为网站技术是一直在发展的,如果没有实时更新的话,是无法完全扫描出漏洞的。
理论上没有100%安全的网站,对于开发技术人员能做的是在当前的技术标准下有效的阻止黑客攻击。这里给大家推荐使用网站安全狗这款软件,这是专门针对网站开发的安全软件并且能够识别目前所有主流的开发语言,无论你是否有技术基础,均可以使用网站安全狗这款网站漏洞扫描工具。
这里收集了目前互联网上比较知名的网站漏洞扫描工具,包括上面所推荐的网站安全狗在内,总共有10几款,有需要的朋友可以根据自己的需求来下载使用。
1、Arachni(Ruby)
Arachni能适用于多平台和多语言,开源的,全面的、模块化的Web漏洞扫描框架,具有良好的可扩展性,通过添加插件可以增加它的扫描范围和深度。
Arachni不仅能对基本的静态或CMS网站进行扫描,还能够做到对以下平台指纹信息((硬盘序列号和网卡物理地址))的识别。且同时支持主动检查和被动检查。
Windows、Solaris、Linux、BSD、Unix
Nginx、Apache、Tomcat、IIS、Jetty
Java、Ruby、Python、ASP、PHP
Django、Rails、CherryPy、CakePHP、ASP.NETMVC、Symfony
一般检测的漏洞类型包括:
NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入
跨站请求伪造
路径遍历
本地/远程文件包含
Responsesplitting
跨站脚本
未验证的DOM重定向
源代码披露
另外,你可以选择输出HTML、XML、Text、JSON、YAML等格式的审计报告。
Arachni帮助我们以插件的形式将扫描范围扩展到更深层的级别。
2、Xsspy(python)
主要针对XSS漏洞的漏洞扫描器,Xsspy不仅仅检查一个页面,它可以便利网站,以及子域名。之后,它开始扫描每一个页面,发现可能存在的跨站点脚本漏洞。Xsspy采用了许多小而有效的payload,可以有效的扫描网站存在的XSS漏洞。
一个有力的事实是,微软、斯坦福、摩托罗拉、Informatica等很多大型企业机构都在用这款基于python的XSS(跨站脚本)漏洞扫描器。它的编写者FaizanAhmad才华出众,XssPy是一个非常智能的工具,不仅能检查主页或给定页面,还能够检查网站上的所有链接以及子域。因此,XssPy的扫描非常细致且范围广泛。
3、W3af(python)
可用于linux和window(但是在最新的版本中windows不再更新)的漏洞扫描器,可检测超200种漏洞,w3af框架具有图形用户界面和控制用户界面,只需要单击5次即可,并且使用与定义的配置文件,可以审核web应用程序的安全性。
w3af能够帮你将payload注入header、URL、cookies、字符串查询、post-data等,利用Web应用程序进行审计,且支持各种记录方法完成报告,例如:
CSV
HTML
Console
Text
XML
这个程序建立在一个插件架构上,所有可用插件地址:clickhere。
4、Nikto(集成在kali中的一款漏洞扫描器)
Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描。
Nikto在企业内部网络解决方案中查找web服务器安全风险的应用前景非常广阔。Nikto也适用于KaliLinux。
5、Wfuzz(python)
主要是做web模糊测试的工具,Wfuzz是一个完全模块化的框架,有很好的可扩展性,使用简单。
Wfuzz(WebFuzzer)也是渗透中会用到的应用程序评估工具。它可以对任何字段的HTTP请求中的数据进行模糊处理,对Web应用程序进行审查。
Wfuzz需要在被扫描的计算机上安装Python。
6、ZAP(java)攻击代理服务器
世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现Web应用程序中的安全漏洞
ZAP(ZetAttackProxy)是全球数百名志愿者程序员在积极更新维护的著名渗透测试工具之一。它是一款跨平台的Java工具,甚至都可以在RaspberryPi上运行。ZAP在浏览器和Web应用程序之间拦截和检查消息。
ZAP值得一提的优良功能:
Fuzzer
自动与被动扫描
支持多种脚本语言
Forcedbrowsing(强制浏览)
7、SQLmap(python2脚本)
最常用的数据库漏洞及sql注入工具
顾名思义,我们可以借助sqlmap对数据库进行渗透测试和漏洞查找。
支持所有操作系统上的Python2.6或2.7。如果你正在查找SQL注入和数据库漏洞利用,sqlmap是一个好助手。
8、Grabber(python)
是KaliLinux集成的一款Web应用扫描工具。该工具适合中小Web应用,如个人博客、论坛等,支持常见的漏洞检测,如XSS、SQL注入、文件包含、备份文件检测、Ajax检测、CrytalBall检测等功能。该工具只进行扫描,不实施漏洞利用。由于功能简单,所以使用非常方便,用户只要指定扫描目标和检测项目后,就可以进行扫描了。
这里列举一些特色功能:
JavaScript源代码分析器
跨站点脚本、SQL注入、SQL盲注
利用PHP-SAT的PHP应用程序测试
9、Wapiti(python)
Wapiti是针对Web应用程序的漏洞扫描程序。它能准确扫描存储型XSS,SQL和XPath注入,文件包含,命令执行,XXE注入,CRLF注入等漏洞。
Wapiti扫描特定的目标网页,寻找能够注入数据的脚本和表单,从而验证其中是否存在漏洞。它不是对源代码的安全检查,而是执行黑盒扫描。
支持GET和POSTHTTP请求方式、HTTP和HTTPS代理以及多个认证等。
10、Golismero
GoLismero是安全性测试的开源框架。它是目前面向网络的安全性,但它可以很容易地扩展到其他类型的扫描。
这是一个管理和运行Wfuzz、DNSrecon、sqlmap、OpenVas、机器人分析器等一些流行安全工具的框架。
Golismero非常智能,能够整合其它工具的测试反馈,输出一个统一的结果。
11、OWASPXenotix
XSS是一个高效的跨站脚本漏洞(XSS)检测和攻击测试框架。它通过特有的三大浏览器引擎(包括Trident,WebKit和Gecko)进行安全扫描检测,并且其号称拥有全世界第二大的XSS测试Payload,同时具有WAF绕过能力。
OWASP的XenotixXSS是一个用于查找和利用跨站点脚本的高级框架,内置了三个智能模糊器,用于快速扫描和结果优化。
12、Vega
Vega是一个免费的开源扫描和测试平台,用于测试Web应用程序的安全性。Vega可以帮助您查找和验证SQL注入,跨站点脚本(XSS),泄露的敏感信息以及其他漏洞。它基于Java编写,基于GUI,可在Linux,OSX和Windows上运行。
关于怎么扫描网站漏洞以及网站漏洞扫描工具就为大家介绍到这里,上面所推荐的网站漏洞扫描工具还是非常全面的,包含目前所有的网站安全漏洞范围以及适应目前所有的主流操作系统等等,都可以找到最适合自己的工具。对于网站漏洞方面,建议还是需要慎重对待,特别是一些比较重要的网站,如果因为没有做好漏洞修复而被入侵造成损失,那就很得不偿失了。