用于检查常见漏洞的工具？

#1 楼

websecurify是我发现的最好的FOSS项目。

#2 楼

您可能想查看Google的Skipfish，它非常全面，并且可以从您提供的词典中找到，包括默认值（标准/厨房水槽）。已经使用过，但是我找不到具有相同功能的东西来与结果进行比较。

它用C编写，具有非常有用的输出，并且非常易于使用。我建议从任何标准的* nix服务器上运行它，如果连接速度很快，也可以从家里运行它。它还具有一个具有实时更新的智能请求队列系统。观看它的工作实际上很有趣。

它报告了大多数漏洞，以及许多其他您可能没有意识到的问题。它有点学究，但学究是这种工具的优良品质。

结果屏幕截图（有点旧）： .com / files / skipfish-screen.png

#3 楼

有很多很好的自动化开放源代码黑盒子Web应用程序漏洞扫描程序。


w3af
websecurify
Netsparker社区版（免费，功能有限）
Nikto

最好不要仅依靠一台自动扫描仪，因为每种扫描仪都有其优缺点，因此请始终运行其中的几个并比较结果。您还必须检查错误肯定和否定错误。

自动漏洞扫描在其中很重要，它很有用，但是始终应由了解该漏洞的安全专业人员进行备份，并可以检查是否存在漏洞。手动其他。自动扫描是一个好的开始，但总比没有好。

#4 楼

Microsoft具有执行此操作的代码分析工具（这是第9频道的视频，并且是v1的下载链接）。 Wikipedia也提供了相当不错的静态代码分析工具列表。

#5 楼

Google的RatProxy也是检查XSS的绝佳选择。由于它是作为代理进行设置和运行的，因此它易于使用，因为在正常测试站点时，它会随浏览器一起移动。它记录所有交互，POST，GET等，并可以重播那些试图注入恶意内容的交互。重放请求后，它将检查输出中是否存在XSS的迹象。此外，它保留了整个HTTP生命周期的记录，可用于进一步调试。

#6 楼

惠普具有Scrawlr来检查常见的SQL注入漏洞。

#7 楼

我已经做了很长时间了，并且同意最好的解决方案是使用经验丰富的测试人员来检查您的安全配置文件，但是针对这些类型的漏洞进行测试实际上很容易实现自动化。我已经管理了一个程序，可以在6个月内测试大约1000个Web应用程序，我可以说，对我而言，突出的工具是IBM的AppScan和Burp-在大多数情况下，Burp更轻，更快，可配置，并且便宜很多！

非常容易让Burp检查输入验证失败-并解决SQL注入和XSS问题。您可以很好地涵盖这些类型的漏洞。

#8 楼

w3af是目前用于Web审核的最佳工具之一，也是FOSS


“ w3af是Web应用程序攻击和审核框架。该项目的目标是创建一个框架来查找并利用易于使用和扩展的Web应用程序漏洞。“


请务必尝试一下

#9 楼

Acunetix网络漏洞确实非常好，我已经使用过并且非常喜欢它。
您可以扫描网站的XSS，SQL注入，弱上传系统等等。
享受它。