【51CTO.com快译】现如今,从中小型饭店到大中型商场超市,从中小型企业到大中型联邦政府组织,互联网攻击者总在无时不刻地找寻着窥探及其获得总体目标客户个人信息信息(PII)的隐敝机遇。不论是Facebook或是Erimax(译员注:一家给予合同书承揽解决方法的企业)的安全管理系统,一切一个细微的系统漏洞、或者微小的系统软件缺点,都是会让它们在会计和口碑上蒙受损失。
由此可见,安全事故随时随地都很有可能在公司体系中产生,大家理应针对网络信息安全存在心存敬畏。一点也不夸大地说:大家必须具备“搭起千万里长提抵挡百年一遇大海啸”的心态。因而,大家必须根据Web安全检测工具,积极检验应用软件的系统漏洞、并在网站测试免遭故意进攻层面充分发挥高效的功效。
通常,在评定网址的安全性趋势层面,大家会使用二种有效的办法,他们分别是系统漏洞评定和网站渗透测试。下边,大家一起来看看安全性测试工程师常见的十种出色的开放源码专用工具:
1. NetSparker
做为一款一站式的专用工具,NetSparker可以达到绝大部分互联网的安全性要求。它既可以被用在宿主机上,又可以被做为自代管解决方法的一部分。该网站可以很容易地彻底集成化到,目前的任意一种接口测试或开发工具中。根据应用发明专利,即:根据直接证据的扫描仪(Proof-Based-Scanning),NetSparker可以自动化技术地分辨各种各样系统漏洞,并根据认证阳性(false positive),来减少安全性工作人员耗费在二次验审上的很多時间。
2. ImmuniWeb
做为一款“下一代安全教育平台”,ImmuniWeb选用了人工智能技术来完成各类安全性测试。安全测试精英团队、开发者、总裁信息安全性官(CISOs)、乃至是总裁信息官(CIO)们都能够运用它所供应的AI技术性,来进行各种各样服务平台等级的网站渗透测试。与此同时,客户只需点击其虚似的补丁包系统软件,便可完成针对总体目标服务平台的合规不断检测。此外,ImmuniWeb有着专用的双层运用安全性测试(Multilayer Application Security Testing)技术性,它可以对站点的合规、数据库安全的结构加固水平、及其个人隐私保护趋势等领域给予查验。
3. Vega
它是一款选用Java撰写而成的完全免费、开源系统的漏洞扫描系统与检测工具。Vega带有对于OS X、Linux和Windows平台的GUI。做为一款自动化技术的扫描工具,它可以根据网站爬虫,来实现更快的扫描仪检测。Vega的阻拦代理商作用可以仔细观察与监管手机客户端与宿主机的通讯,来輔助安全性工作人员开展战术上的查验。Vega可以检验的Web运用系统漏洞包含:盲SQL引入、Shell注入、反射面与储存跨网站的脚本制作等。因为它的各种各样检验控制模块全是由JavaScript撰写而成,因而在各种各样API必须之时,客户可以自己建立不一样新的进攻控制模块。
4. Wapiti
Wapiti是一种命令式的应用软件,它根据选用抓取网页页面的方法,来检验是不是具有被引入的数据信息脚本制作或表格。Wapiti可以根据实行白盒扫描仪、及其在监测到的脚本制作中引入有效载荷,来发觉总体目标系统软件的系统漏洞。根据适用HTTP的GET和POST进攻方式,该专用工具可以转化成各种各样形式的易损性汇报,并给予不一样档次的订制內容。Wapiti可以检验出例如:文档泄漏、数据库查询引入、文件包含、跨网站脚本制作(XSS)、.htaccess配备不正确等系统漏洞。与此同时,它可以区别永久和反射的XSS系统漏洞,并会在发觉了出现异常后立即开启报警。
5. Google Nogotofail
Nogotofail是对于数据流量的安全系数检测工具。它可以查验已经知道的TLS/SSL系统漏洞、及其这些被不正确配备的应用软件。Nogotofail给予了一套灵便、可拓展的扫描仪、鉴别、及其修补SSL/TLS弱联接的方式,可以被用来查验总体目标网址是不是易于遭受各种各样中介人(MiTM)的进攻。除此之外,它可以被设定为无线路由器、VPN网络服务器、及其服务器代理,被用在Android、IOS、Linux、Windows、Chrome、OS、OSX、及其联接到互联网技术的所有别的设施上。
6. Acunetix
Acunetix以及渗透测试工具,是出色的自动化技术Web运用安全性检测工具。Acunetix系统漏洞扫描机各自根据AcuSensor和DeepScan完成了创造性的白盒扫描仪和单页面应用(SPA)的抓取。具备线程同步的DeepScan,可以在WordPress安裝流程中无间断地抓取、并深层地扫描仪上千百种系统漏洞。其登陆编码序列监控软件(Login Sequence Recorder)可以扫描仪各种各样密码设置字段名,而自带的系统漏洞智能管理系统则有利于转化成有关的技术性与合规管理汇报。
7. W3af
W3af是一个Web运用财务审计和进攻架构,它可以高效地抵挡超出200种系统漏洞。根据鉴别例如SQL引入、跨网站脚本制作、可猜想的资格证书、没有处理的应用程序错误、及其PHP配备不正确等系统漏洞,它可以高效地降低网址针对各种各样故意进攻要素的曝露面。W3af内置有以图型和控制面板为基本的插口,可以高效地确保客户在不上五次点一下以内,审批Web程序的安全系数。客户常见它来推送单独HTTP要求、及其好几个群集的HTTP回应。除此之外,它还可以选用身份认证控制模块,对受保障的网址开展扫描仪,从而将輸出結果纪录到对应的控制面板、文档、乃至是根据电子邮箱给予推送。
8. SQLMap
做为一种渗透测试工具,SQLMap根据其检验模块,来自动检索和“运用”与SQL引入有关的缺点。因为内置有广泛性的数据库系统智能管理系统、及其SQL引入技术性,SQLMap可以自动检索根据hach的登陆密码,并可以根据安全性编辑解决根据词典的进攻。因为适用七个等级的冗杂SQL句子,它为每一种查看都保证了ETA适用,而且为使用者的转换产生了分类算法的操作灵活性。它的数据库查询指纹验证和枚举类型特点,可以高效地简单化网站渗透测试的运作全过程。
9. ZED Attack Proxy (ZAP)
由全世界多位青年志愿者小伙伴们,对于敞开式Web运用安全性新项目(OWASP)开发设计和维系的ZAP,是一款完全免费且开放源码的渗透测试工具。ZAP可在Windows、UNIX、Linux、及其Macintosh服务平台上,进行自动化技术和手动式种类的安全性测试。做为测试工程师在电脑浏览器与Web运用间的“中介人代理商”,它可以被用于阻拦或调节互相推送的信息。除开传统式的检测作用以外,它还具备Ajax搜索引擎蜘蛛、Fuzzer、Webtcp协议适用、及其根据REST的API等特点。
10. BeEF (Browser Exploitation Framework)
BeEF是电脑浏览器开发框架的简称,它可以根据电脑浏览器的原有系统漏洞,来检验Web使用的本身缺点。它应用手机客户端的进攻空间向量,来验证应用程序流程的安全系数。它可以推送例如跳转、变更URL、转化成提示框等电脑浏览器指令。BeEF对基本的互联网界限和手机客户端系统软件实现了拓展,可以剖析总体目标系统软件中Web电脑浏览器所在的安全性趋势。
全文文章标题:10 Open-Source Security Testing Tools For Your Website,创作者:Hiren Tanna
【51CTO译文,协作网站转截请标明全文译员和来源为51CTO.com】