常用Web安全扫描工具合集
初入门时,喜欢将目标站点直接丢扫描器,慢慢等扫描结果,极度依赖Web扫描器;而有一些漏洞高手,善于运用运用各种工具但并不依赖工具,经常可以找到扫描工具发现不了的漏洞。
一款好用的Web扫描器对于白帽子来说,就像剑客手中的剑一样重要,那么,如何来选择一款合适而好用的Web扫描器呢?今天,我们来介绍一下比较常见的Web安全扫描工具,来给自己挑一把趁手的武器吧。
从扫描方式来说,最传统的一种方式就是基于爬虫的漏洞扫描,通过爬虫收集网站的所有链接及其参数请求,发送Payload进行漏洞探测。对于一些涉及逻辑判断,爬虫无法抓取的页面,则可以通过被动代理扫描,基于被动代理的漏洞扫描让扫描器成为了指哪打哪的利器。另外,但是有一些API或孤页,通过爬虫和人工点击是一一获取到的,这就需要基于日志/流量分析的漏洞扫描来解决这个问题。
1、AWVS
非常经典的Web扫描神器,入门必备。推荐指数:★★★★★
官方网站:
https://www.acunetix.com
AWS10.5 以前的版本,提供的是有客户端和Web界面,不到50M的安装文件,界面简洁,扫描速度快,资源占用率低、扫描策略设置简单,客户端的各种辅助工具更是提供了强大的单兵作战能力。
我个人就是坚定的AWS10.5的拥护者,后来AWVS的web改版确实是有点不习惯了。
2、IBM AppScan
一款可与AWVS比肩的Web安全扫描工具, 推荐指数:★★★★
官方网站:
https://www.hcltechsw.com/products/appscan
总体而言,扫描的效果还是不错的,准确度也相对高一些,扫描速度确实是有点慢。一般而言,通常我们可以对一个web站点同时使用AWVS和AppScan都进行检测,然后相互验证扫描效果,提高检测的准确率。
3、Goby
一款攻击面分析工具,推荐指数:★★★★★
官方网站:
https://gobies.org
安装过程非常简单,Windows解压缩直接双击EXE即可运行,可跨平台支持Windows
、Linux
、 Mac
。功能上也挺全面的,提供最全面的资产识别,最快的扫描体验,内置可自定义的漏洞扫描框架。
4、Xray
一款强大的安全评估工具。推荐指数:★★★★
官方网站:
https://xray.cool
xray 最好用的就是它的被动扫描模式,与burp进行联动更是一项绝活,让流量从Burp转发到Xray,所有的数据包透明,堪称指哪打哪的利器。
5、开源漏洞检测框架
以POC-T、pocsuite、pocscan、Osprey等为代表的开源项目,提供了可自定义的漏洞检测框架,Poc数量和质量,决定了检测效果,漏洞库的积累就显得尤为重要。
github项目地址:
POC-T:https://github.com/Xyntax/POC-T
pocsuite3:https://github.com/knownsec/pocsuite3
pocscan:https://github.com/erevus-cn/pocscan
Osprey:https://github.com/TophantTechnology/osprey
开源的扫描器不计其数,复造轮子的人甚多,而真正能够成为神器的工具其实不多。
6、IAST 灰盒扫描工具
如果我们的定位是在SDL的安全测试过程中,相比起黑盒测试方案,IAST则是一种新的安全测试方案。一般会通过Agent插桩监测,无需重放请求、无脏数据,几乎达到0误报,无疑是实现自动化安全测试的最佳选择。
7、商业Web应用扫描器
一些安全厂商提供了漏扫产品,不过在细分领域其实还有是一定区别的,比如有专门做Web应用安全扫描的,也有综合性漏洞扫描的,还有做Web安全监测的扫描产品,都有提供了一定的Web应用漏洞扫描的能力。
部分安全厂商及扫描产品汇总:
绿盟 绿盟WEB应用漏洞扫描系统(WVSS) 绿盟远程安全评估系统(RSAS)
启明 天镜脆弱性扫描与管理系统
安恒 Web应用弱点扫描器(MatriXay 明鉴远程安全评估系统
奇安信 网神SecVSS3600漏洞扫描系统
盛邦安全 Web漏洞扫描系统(RayWVS) 远程安全评估系统(RayVAS)
斗象科技 ARS 智能漏洞与风险检测
长亭科技 洞鉴(X-Ray)安全评估系统
四叶草安全 全时风险感知平台
以上,就是我们总结的比较常见的Web安全扫描工具,欢迎大家一起留言讨论。
常用Web安全扫描工具合集相关推荐
- 红队工具合集,安全er值得拥有
背景 圈内很多师傅一直在做红队安全工具箱,用于在hvv.渗透等工作中提升工作效率.依照ATT&CK威胁图谱的指导,我们很容易整理出常用的红队工具合集,在这里为大家展示. 工具介绍 信息搜集 信 ...
- CTF 六大方向基础工具合集
本文中提到的所有工具在ctf部落中均有,加入方式见文末. CTF 六大方向基础工具合集 今天来为大家分享CTF 六大方向基础工具简介集合. 一.MISC方向 杂项往往是不能被归到其他类别里的题目,所以 ...
- 50个常用元器件图片_盘点2020年wordpress常用的50个插件合集
大家好,玩码哥今天给大家盘点一下2020年wordpress常用的50个插件合集,可以选择性安装或者是去搜索添加,大部分的插件是可以在网上搜到的. 1.All In One WP Security插件 ...
- 2019安全渗透类工具合集
子域名爆破枚举或接管 https://github.com/lijiejie/subDomainsBrute - Lijiejie开发的一款使用广泛的子域名爆破枚举工具 评分: ????? | 编程语 ...
- Python渗透测试工具合集及书籍推荐(转)
Python渗透测试工具合集 如果你热爱漏洞研究.逆向工程或者渗透测试,我强烈推荐你使用 Python 作为编程语言.它包含大量实用的库和工具,本文会列举其中部分精华. 本文转自: http://ww ...
- 盘点2020年wordpress常用的50个插件合集
盘点2020年wordpress常用的50个插件合集,50个插件已经打包整理好,可以选择性安装或者是去搜索添加.如果后台经常出现安装不成功的!大部分的插件是可以在网上搜到的或者是在wordpress后 ...
- Python安全测试工具合集
Python安全测试工具合集 转自:http://netsecurity.51cto.com/art/201311/417021.htm ------------------------------- ...
- Umbrella Project 2012安全工具合集—Hacktools Ultra
安全工具合集Umbrella Project 2012 Hacktools Ultra,包括了web安全扫描.反向IP查找.EXPLOIT.破解.代理等多项工具集. 软件功能 1.Web扫描 a) R ...
- Python研发工程师必备工具合集
Python研发工程师必备工具合集 1.必备工具 2.常用网站 3.学习路线 4.必备技能 5.书籍推荐 6.进阶学习 一.必备工具: 1.Sublime Text 2.Notepad++ 3.Vis ...
最新文章
- Shell脚本基础介绍
- 自学成才翁_作为一名自学成才的开发者从“我的旅程”中吸取的教训
- mysql generator 命令_MyBatis Generator速查手册
- python类的继承-1
- 判断三维坐标系旋转正方向的简单方法
- nginx多进程模型之配置热加载---转
- ABAP DOI详解(2)
- 双11特刊|一站式在线数据管理平台DMS技术再升级,高效护航双11
- SageMath安装及使用
- AI 女性界的“扛把子”,凭一己之力迫使 NIPS 改名
- IDEA控制台输出中文乱码的问题及解决方案
- UE4 命令行创建Pak
- 【ENVI入门系列】02.自定义坐标系(北京54、西安80、2000坐标系)
- 分享一个千万数据的磁力搜索网站 bt书虫 php+mysql+nginx
- ES 京东订单中心架构设计
- 挂机机器人虚拟服务器,[机制|聊天]BotMaker —— 在你的服务器轻松创建机器人[1.8-1.13.2]...
- Ceph之RBD恢复的几种方式与原理
- linux 深入理解I2C内核驱动
- 监督学习(supervised learning)与非监督学习(unsupervised learning)
- java水果爆炸动画_5分钟快速实现Android爆炸破碎酷炫动画特效的示例
热门文章
- 药店零售管理php系统,小型药店销售管理系统
- 最精辟的句子语录,句句经典入心,获赞无数!
- WRF安装和运行的技术教程
- kf.qq.xom/product/lol.html,用心守护每一份热爱 英雄联盟客服英雄服务站来了
- python-flask公众号开发-对语音消息、图片消息实现翻译-使用百度翻译API、腾讯图片翻译API
- git clone 遇到问题:fatal: unable to access ‘https://github.comxxxxxxxxxxx‘: Failed to connect to xxxxxxx
- 学计算机男生喜欢的礼物,十大00后男生喜欢的礼物大集合
- camera动态图像识别
- python函数之replace
- 2018十大科技丑闻,连娱乐圈都甘拜下风