码迷,mamicode.com
首页 > Web开发 > 详细

十大web安全扫描工具

时间:2015-08-27 13:15:22      阅读:222      评论:0      收藏:0      [点我收藏+]

标签:

01 – Unhide

Unhide 是一个查寻隐藏了进程和端口的Rootkits/LKMs或其它隐藏技术的探测鉴定工具。Unhide可以运行于linux/Unix和windows系统。

链接: http://www.unhide-forensics.info

评论:

“非常完整好用的工具.轻松找到隐藏文件和端口等”

“linux 系统里找容易程序的工具,怒赞!”

“基于unix的系统里,查找rootkits的好工具”

02 – OWASP ZAP – Zed Attack Proxy Project

Zed Attack Proxy (ZAP)是一个简单易用的集成渗透测试工具,专门扫描网站漏洞。

Zed Attack Proxy是一款网站应用程序漏洞扫描工具,它是专为有多年安全经验的人员来设计的,当然对于开发人员和功能性测试人员,Zed Attack Proxy也是不二之选。设计的思路是不管安全从业经验深浅的人都可以用,并且这个产品的开发和测试都是渗透行业新人ZAP提供了自动化扫描的同时,也支持手动查找漏洞。

链接: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

评论:

“开源易用覆盖广”

“每周更新,简单易用”

“稳定,经常改进。可视化好,并且支持WebSockets”

3 – Lynis

Lynis是一款安全审计工具,用来测试和收集基于Unix的系统的安全信息。

这款工具的使用者是安全和系统审计人员,网络专家和系统运维。Lynis在系统上执行深度本地扫描,因此比基于网络的漏洞扫描更加深入。 通过bootloader开始,直到安装文件包。分析之后,他向管理员展示扫描结果,包括系统加固方案。

链接: https://cisofy.com/download/lynis/

评论:

“帮我加固系统很多次,真爱!”

“很棒的审计工具!简单且免费”

“有助于快速达到安全”

04 – BeEF – The Browser Exploitation Framework

BeEF 是The Browser Exploitation Framework的简写。他是一款针对web浏览器的渗透工具

针对客户端的攻击与日俱增,包括移动客户端。BeEF allows允许专业渗透人员通过使用客户端攻击向量,来评估目标环境的真实安全状况。与别个不同, BeEF 绕过其他选择,只针对web浏览器。BeEF hook了web浏览器,用他们来控制命令模块儿,以及对系统展开后续攻击测试。

链接: http://beefproject.com

评论:

“类似功能的工具只此一款,再无其他”

“对于验证浏览器内部威胁和漏洞,没有能超越它的了”

“BeEF 除了集成攻击,清晰的以图片方式展示了访问一个恶意网站之后可能发生的事情”

05 – OWASP Xenotix XSS Exploit Framework

OWASP Xenotix XSS Exploit Framework是一款先进的跨站脚本漏洞(XSS)检测和开发框架。 Xenotix通过使用真实的浏览器引擎执行扫描,识别payload的反馈,来确保零误报的XSS检测。Xenotix扫描模块有3个智能fuzzzer集成,来缩短扫描时间,输出更好的报告。

链接: https://www.owasp.org/index.php/OWASP_Xenotix_XSS_Exploit_Framework

评论:

“他帮助我来验证我在Web-app Vulnerability Assesments发现的所有XSS漏洞。”

“XSS很可怕,Xenotix 也能检测移动设备的XSS。它还简化了整个扫描。”

“他的交互设计很简便,扫描规则多的超乎想象。总之,他是我认为最好用的XSS扫描器。”

06 – PeStudio

PeStudio是一款独特的工具,执行静态校验32位和64-bit为的可执行文件。PEStudio针对个人非商业用途是免费的。恶意可执行程序通常隐藏其恶意行为,避免被查出。因此,恶意程

序通常呈现存在异常并且可疑的状态。PEStudio的目标就是检测这些异常,评估被分析的可执行文件的可信度。由于这些被分析的可执行文件并没有执行,你可以无风险的检测未知以及恶意的可执行文件。

链接: http://www.winitor.com

评论:

“易用的好工具,预先高效检测恶意程序的意图”

“静态PE分析的最佳工具”

“最快最强的恶意软件分析工具。神器的作者,日更。在我的日常分析中特别有用。”

07 – OWASP Offensive (Web) Testing Framework

OWASP OWTF, Offensive (Web) Testing Framework 是一款OWASP+PTES集成,试图组合很多好工具,使检测更有效,绝大部分用python编写。工具存在的意义是把渗透测试中手工的重复性劳动变成自动化的。例如:花费时间记住如何使用“X工具”, 分析“X工具”的输出结果,手动导入“Y工具”等等。

链接: https://www.owasp.org/index.php/OWASP_OWTF

评论:

“轻松自动化的管理多个工具。”

“很炫,他可以集成所有owasp的检测工具”

“帮我节约了很多执行重复任务的时间”

08 – Brakeman

Brakeman 是一款应用于Ruby on Rails的安全扫描器。不同于许多web安全扫描器,Brakeman检测源代码。这意味着你不需要实际搭建起来。Brakeman扫描代码之后,会生成一个所有检出的安全问题的报告。

链接: http://brakemanscanner.org

评论:

“免费,高质量,经常更新。实测发现,它显而易见的比很多昂贵

的商业产品更好。真的是太棒了。”

“安全漏洞扫描最好的开源工具之一”

“ruby赞一个,帮助发现可能的安全风险。”

09 – WPScan

WPScan是一款黑盒检测WordPress漏洞的扫描器。

链接: http://wpscan.org

评论:

“很多WordPress搭建的网站,仍然存在漏洞,通过WPScan这种专业的扫描WordPress安全隐患的工具,可以减少安全测试者话费的时间。不需要自己写payload,只要让WPScan自动检测就好。”

“团队做了一个新的WPScan漏洞特征库(wpvulndb.com)。所有人都可以使用。”

“持续更新。WordPress安全最好的工具。”

10 – nmap

Nmap (“Network Mapper”) 是一款免费的开源的(license)通用的网络发掘和安全审计工具。很多系统和网络管理员发现它还适用于网络盘点,管理服务升级模块,监控主机或者服务运行时间,以及很多其他任务。Nmap使用原始IP数据包来确定网络上的可用主机,他们提供的服务、运行的系统、在用的防火墙,以及很多其他特征。

链接: http://nmap.org

评论

“人人爱的端口扫描器”

“枚举端口,发现弱点”

“渗透人员必备利器”

十大web安全扫描工具

标签:

原文地址:http://www.cnblogs.com/hbmg/p/4762809.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!