平台扫描器(十大Web安全扫描工具,你知道哪些?)
Posted
篇首语:弓背霞明剑照霜,秋风走马出咸阳。本文由小常识网(cha138.com)小编为大家整理,主要介绍了平台扫描器(十大Web安全扫描工具,你知道哪些?)相关的知识,希望对你有一定的参考价值。
平台扫描器(十大Web安全扫描工具,你知道哪些?)
初入门时,喜欢将目标站点直接丢扫描器,慢慢等扫描结果,极度依赖Web扫描器;而有一些漏洞高手,善于运用运用各种工具但并不依赖工具,经常可以找到扫描工具发现不了的漏洞。
一款好用的Web扫描器对于白帽子来说,就像剑客手中的剑一样重要,那么,如何来选择一款合适而好用的Web扫描器呢?今天,我们来介绍一下比较常见的Web安全扫描工具,来给自己挑一把趁手的武器吧。
1、AWVS
官方网站:https://www.acunetix.com
AWS10.5 以前的版本,提供的是有客户端和Web界面,不到50M的安装文件,界面简洁,扫描速度快,资源占用率低、扫描策略设置简单,客户端的各种辅助工具更是提供了强大的单兵作战能力。
2、IBM AppScan
官方网站:https://www.hcltechsw.com/products/appscan
总体而言,扫描的效果还是不错的,准确度也相对高一些,扫描速度确实是有点慢。一般而言,通常我们可以对一个web站点同时使用AWVS和AppScan都进行检测,然后相互验证扫描效果,提高检测的准确率
3、Goby
官方网站:https://gobies.org
安装过程非常简单,Windows解压缩直接双击EXE即可运行,可跨平台支持Windows、Linux、 Mac。功能上也挺全面的,提供最全面的资产识别,最快的扫描体验,内置可自定义的漏洞扫描框架。
4、Xary
官方网站:https://xray.cool
xray 最好用的就是它的被动扫描模式,与burp进行联动更是一项绝活,让流量从Burp转发到Xray,所有的数据包透明,堪称指哪打哪的利器
5、开源漏洞检测框架
以POC-T、pocsuite、pocscan、Osprey等为代表的开源项目,提供了可自定义的漏洞检测框架,Poc数量和质量,决定了检测效果,漏洞库的积累就显得尤为重要。
github项目地址:
1:POC-T:https://github.com/Xyntax/POC-T
2:pocsuite3:https://github.com/knownsec/pocsuite3
3:pocscan:https://github.com/erevus-cn/pocscan
4:Osprey:https://github.com/TophantTechnology/osprey
开源的扫描器不计其数,复造轮子的人甚多,而真正能够成为神器的工具其实不多
6、Paros proxy
这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web全套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。
7:、IAST 灰盒扫描工具
如果我们的定位是在SDL的安全测试过程中,相比起黑盒测试方案,IAST则是一种新的安全测试方案。一般会通过Agent插桩监测,无需重放请求、无脏数据,几乎达到0误报,无疑是实现自动化安全测试的最佳选择
8、Whisker/libwhisker
Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。
9、N-Stealth
N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序,如Whisker/libwhisker、 Nikto等的升级频率更高,它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”,不过这种说法令人质疑。还要注意,实际上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件。(虽然这些工具并非总能保持软件更新,也不一定很灵活。)N-Stealth主要为Windows平台提供扫描,但并不提供源代码。
10、Watchfire AppScan
这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试,从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞,如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。
以上就是我们比较常见到的Web安全扫描工具,欢迎大家一起讨论留言。
相关参考
扫描条形码(条码扫描器的种类及分类,你知道多少?远景达V3扫描枪)
条码扫描器又称之为条码阅读器,条码扫描枪,条码扫描仪,条码阅读器等,其实都是指一类扫描条码的设备,只是习惯叫法不同。它主要用于读取条码所包含的数字信息的设备。条码扫描器利用光学原理,将条码或二维码的内...
条码扫描器扫不上原因(工业级手持式条码扫描器要注意哪些问题?这篇文章告诉你)
手持式条码扫描器是一种可用于读取条码中所包含信息内容的扫描设备,利用光学原理,把条码的内容经过解码后通过数据线或者无线方式传输到电脑或者其他设备中,是继键盘和鼠标之后的第三代主要的电脑输入设备。根据使...
水浸超声C扫描技术服务(水浸式超声C扫成像系统十大品牌及厂家)
...统、价格是多少?请参阅无损检测网(www.wusunjiance.net)整理十大超声C扫描探伤仪品牌榜中榜。水浸式超声C扫成像系统又叫水浸式超声C扫成像系统,超声C扫描,超声波C扫描探伤,靶材C扫描,复合材料c扫描,挺杆c扫描,刀片c扫描,水浸超...
怎么快速扫描一本书(书本怎么打印出来才清晰,电子版书籍哪里打印便宜)
...打印书籍需求的人群来讲,选择专业、正规、安全的打印平台是非常有必要的;书本打印要想文字清晰,正规专业的打印平台不可少,当然很多人在打印电子书籍时还常常会考虑打印的价格,电子版书籍在哪里打印比较便宜呢?...
本地化工具(【教程】你知道使用Sisulizer本地化数据库有哪些方法吗?)
Sisulizer可以根据数据库本地化的需要灵活调整Sisulizer是企业最佳的软件本地化工具,它使用共享的译码存储系统,可广泛的应用于服务器数据库的本地化和Web应用程序的本地化。我们有许多方法可以了解数据库本地化。Sisulizer涵...
...准确地审视自身信息系统中的薄弱环节,发现并解决信息平台的漏洞和问题,才能筑起一道攻而不破的“城墙”。漏洞扫描工具,就是这道城墙的“奠基石”。理想状态下,漏洞检测流程可分为“扫描-修复-验证”三大模块,打...
摄影测量的应用方面(3D扫描中的全局摄影测量,你需要知道这些)
大型工件扫描难?累计误差高,最终结果难达标?使用摄影测量,让你的3D扫描如有神助!本期云课堂将带大家学习摄影测量及其应用。一、什么是摄影测量?“摄影测量”一词早在1867年,就已出现。普鲁士建筑师AlbrechtMeyDenbaue...
扫描仪怎么扫描成pdf(今天才知道,苹果手机自带扫描仪功能,纸质文档一键电子化)
相信大家都喜欢用苹果手机,如果你只会来玩游戏、看视频,就太浪费了,其实苹果手机上自带一个扫描仪功能,可以将纸质文档一键电子化。一、提取PDF文档首先打开苹果手机自带的备忘录,点击右下角的笔记按钮,进入内容...
扫描机器怎么使用(太可惜了竟不知道手机自带有这5种扫描方法,之前的钱都白花了)
我们平时办公,会将很多纸质档文件,拿去打印店扫描成一份文档,这样可以更好地存储,但要是在家的话,解决大量文档并不是很方便,因此要借助手机里面自带的扫描仪,来帮助大家处理文件。1.百度输入法百度输入法也有...
扫描仪怎么用使用图文教程(太可惜了竟不知道手机自带有这5种扫描方法,之前的钱都白花了)
我们平时办公,会将很多纸质档文件,拿去打印店扫描成一份文档,这样可以更好地存储,但要是在家的话,解决大量文档并不是很方便,因此要借助手机里面自带的扫描仪,来帮助大家处理文件。1.百度输入法百度输入法也有...