<ol id="hmbbk"></ol>
<em id="hmbbk"><acronym id="hmbbk"><u id="hmbbk"></u></acronym></em>
  • <rp id="hmbbk"></rp>

      <rp id="hmbbk"><acronym id="hmbbk"><input id="hmbbk"></input></acronym></rp>

      <dd id="hmbbk"><noscript id="hmbbk"></noscript></dd>

        杭州PHP培訓
        達內杭州PHP培訓中心

        13175137725

        開源Web應用的安全測試工具匯總

        • 時間:2021-04-02 13:47
        • 發布:杭州PHP培訓
        • 來源:php職場

        今天小編要跟大家分享的文章是關于開源Web應用的安全測試工具匯總。Web應用安全測試可對Web應用程序執行功能測試,找到盡可能多的安全問題,大大降低黑客入侵幾率。

        在研究并推薦一些最佳的開源Web應用安全測試工具之前,讓我們首先了解一下安全測試的定義、功用和價值。

        開源Web應用的安全測試工具匯總

        一、安全測試的定義

        安全測試可以提高信息系統中的數據安全性,防止未經批準的用戶訪問。在Web應用安全范疇中,成功的安全測試可以保護Web應用程序免受嚴重的惡意軟件和其他惡意威脅的侵害,這些惡意軟件和惡意威脅可能導致Web應用程序崩潰或產生意外行為。

        安全測試有助于在初始階段解決Web應用程序的各種漏洞和缺陷。此外,它還有助于測試應用程序的代碼安全性。Web安全測試涵蓋的主要領域是:

        ·認證方式

        ·授權書

        ·可用性

        ·保密

        ·一致性

        ·不可否認

        二、安全測試的目的

        全球范圍內的組織和專業人員都使用安全測試來確保其Web應用程序和信息系統的安全性。實施安全測試的主要目的是:

        ·幫助提高產品的安全性和保質期

        ·在開發初期識別并修復各種安全問題

        ·評估當前狀態下的穩定性

        三、為什么我們需要重視Web安全測試

        ·避免性能不一致

        ·避免失去客戶信任

        ·避免以安全漏洞的形式丟失重要信息

        ·防止身份不明的用戶盜竊信息

        ·從意外故障中恢復

        ·節省解決安全問題所需的額外費用

        目前市場上有很多免費、付費和開源工具可用來檢查Web應用程序中的漏洞和缺陷。關于開源工具,除了免費之外,最大的優點是可以自定義它們,以符合您的特定要求。

        以下,是我們推薦的十大開源安全測試列表:

        1、Arachni

        Arachni面向滲透測試人員和管理員的旨在識別Web應用程序中的安全問題。該開源安全測試工具能夠發現許多漏洞,包括:

        ·無效的重定向

        ·本地和遠程文件包含

        ·SQL注入

        ·XSS注射

        主要亮點:

        ·即時部署

        ·模塊化,高性能Ruby框架

        ·多平臺支持

        下載:https://github.com/Arachni/arachni

        2、劫掠者

        便攜式Grabber旨在掃描小型Web應用程序,包括論壇和個人網站。輕量級的安全測試工具沒有GUI界面,并且使用Python編寫。Grabber發現的漏洞包括:

        ·備份文件驗證

        ·跨站腳本

        ·文件包含

        ·簡單的AJAX驗證

        ·SQL注入

        主要亮點:

        ·生成統計分析文件

        ·簡單便攜

        ·支持JS代碼分析

        下載:https://github.com/amoldp/Grabber-Security-and-Vulnerability-Analysis-

        3、Iron Wasp

        Iron Wasp是一種開放源代碼,功能強大的掃描工具,能夠發現25種以上的Web應用程序漏洞。此外,它還可以檢測誤報和誤報。Iron Wasp可幫助暴露各種漏洞,包括:

        ·身份驗證失敗

        ·跨站腳本

        ·CSRF

        ·隱藏參數

        ·特權提升

        主要亮點:

        ·通過插件或模塊可擴展地用C#、Python、Ruby或VB.NET編寫

        ·基于GUI

        ·以HTML和RTF格式生成報告

        下載:https://github.com/Lavakumar/IronWASP

        4、Nogotofail

        Nogotofail是Google開發的網絡流量安全測試工具,一款輕量級的應用程序,能夠檢測TLS / SSL漏洞和配置錯誤。Nogotofail暴露的漏洞包括:

        ·MiTM攻擊

        ·SSL證書驗證問題

        ·SSL注入

        ·TLS注入

        主要亮點:

        ·易于使用

        ·輕巧的

        ·易于部署

        ·支持設置為路由器、代理或VPN服務器

        下載:https://github.com/google/nogotofail

        5、SonarQube

        另一個值得推薦的開源安全測試工具是SonarQube。除了公開漏洞外,它還用于衡量Web應用程序的源代碼質量。盡管使用Java編寫,SonarQube仍能夠分析20多種編程語言。此外,它可以通過持續集成工具輕松地集成到Jenkins之類的產品中。SonarQube發現的問題以綠色或紅色突出顯示。前者代表低風險的漏洞和問題,而后者則代表嚴重的漏洞和問題。對于高級用戶,可以通過命令提示符進行訪問。對于那些相對較新的測試人員,有一個交互式GUI。SonarQube暴露的一些漏洞包括:

        ·跨站腳本

        ·拒絕服務(DoS)攻擊

        ·HTTP響應拆分

        ·內存損壞

        ·SQL注入

        主要亮點:

        ·檢測棘手的問題

        ·DevOps集成

        ·設置pull requests請求分析

        ·支持短期和長期代碼分支的質量跟蹤

        ·提供Quality Gate

        ·可視化項目歷史

        下載:https://github.com/SonarSource/sonarqube

        6、SQLMap

        SQLMap完全免費,可以實現網站數據庫中SQL注入漏洞檢測和利用過程的自動化。該安全測試工具附帶一個功能強大的測試引擎,能夠支持6種類型的SQL注入技術:

        ·基于布爾的盲注

        ·基于錯誤

        ·帶外

        ·堆疊查詢

        ·基于時間的盲注

        ·UNION查詢

        主要亮點:

        ·自動化查找SQL注入漏洞的過程

        ·也可以用于網站的安全測試

        ·強大的檢測引擎

        ·支持多種數據庫,包括MySQL、Oracle和PostgreSQL

        下載:https://github.com/sqlmapproject/sqlmap

        7、W3af

        W3af是最受Python開發者喜歡的Web應用程序安全測試框架之一。該工具覆蓋Web應用程序中超過200多種類型的安全問題,包括:

        ·SQL盲注

        ·緩沖區溢出

        ·跨站腳本

        ·CSRF

        ·不安全的DAV配置

        主要亮點:

        ·認證支持

        ·易于上手

        ·提供直觀的GUI界面

        ·輸出可以記錄到控制臺,文件或電子郵件中

        下載:https://github.com/andresriancho/w3af

        8、Wapiti

        Wapiti是領先的Web應用程序安全測試工具之一,它是SourceForge和devloop提供的免費的開源項目。Wapiti可執行黑盒測試,檢查Web應用程序是否存在安全漏洞。由于是命令行應用程序,因此了解Wapiti使用的各種命令非常重要。Wapiti對于經驗豐富的人來說易于使用,但對于新手來說卻是一個的考驗。但請放心,您可以在官方文檔中找到所有Wapiti說明。為了檢查腳本是否易受攻擊,Wapiti注入了有效負載。該開源安全測試工具同時支持GET和POSTHTTP攻擊方法。Wapiti暴露的漏洞包括:

        ·命令執行檢測

        ·CRLF注射

        ·數據庫注入

        ·檔案披露

        ·Shellshock或Bash錯誤

        ·SSRF(服務器端請求偽造)

        ·可以繞開的.htaccess弱配置

        ·XSS注入

        ·XXE注入

        主要亮點:

        ·允許通過不同的方法進行身份驗證,包括Kerberos和NTLM

        ·帶有buster模塊,可以暴力破解目標Web服務器上的目錄和文件名

        ·操作類似fuzzer

        ·同時支持GET和POSTHTTP方法進行攻擊

        下載:https://github.com/mbarbon/wapiti

        9、Wfuzz

        Wfuzz是用Python開發的,普遍用于暴力破解Web應用程序。該開源安全測試工具沒有GUI界面,只能通過命令行使用。Wfuzz暴露的漏洞包括:

        ·LDAP注入

        ·SQL注入

        ·XSS注入

        主要亮點:

        ·認證支持

        ·Cookies fuzzing

        ·多線程

        ·多注入點

        ·支持代理和SOCK

        下載:https://github.com/xmendez/wfuzz

        10、Zed攻擊代理(ZAP)

        ZAP或Zed Attack Proxy由OWASP(開放Web應用程序安全項目)開發,是一種跨多平臺,開放源代碼Web應用程序安全測試工具。ZAP用于在開發和測試階段查找Web應用程序中的許多安全漏洞。由于其直觀的GUI,新手和專家都可以輕松使用Zed Attach Proxy。安全測試工具支持高級用戶的命令行訪問。 除了是最著名的OWASP 項目之一,ZAP還是當之無愧的Web安全測試旗艦產品。ZAP用Java編寫。除了用作掃描程序外,ZAP還可以用來攔截代理以手動測試網頁。ZAP暴露的漏洞包括:

        ·應用錯誤披露

        ·非HttpOnly Cookie標識

        ·缺少反CSRF令牌和安全標頭

        ·私人IP披露

        ·URL重寫中的會話ID

        ·SQL注入

        ·XSS注入

        主要亮點:

        ·自動掃描

        ·易于使用

        ·多平臺

        ·基于休息的API

        ·支持身份驗證

        ·使用傳統而強大的AJAX蜘蛛

        下載:https://github.com/zaproxy

        以上就是小編今天為大家分享的關于開源Web應用的安全測試工具匯總的文章,希望本篇文章能夠對大家有所幫助,想要了解更多Web相關知識記得關注達內Web培訓官網,最后祝愿小伙伴們工作順利。

        【免責聲明:本文圖片及文字信息均由小編轉載自網絡,旨在分享提供閱讀,版權歸原作者所有,如有侵權請聯系我們進行刪除。】

        預約申請免費試聽課

        怕錢不夠?就業掙錢后再付學費!    怕學不會?從入學起,達內定制課程!     擔心就業?達內多家實踐企業供你挑選!

        上一篇:做Web前端開發要掌握的知識有哪些
        下一篇:Web前端開發常用的十款開發工具匯總

        Web前端性能優化的實用技巧匯總

        2021年Web前端開發的趨勢有哪些

        Web前端開發常用的十款開發工具匯總

        開源Web應用的安全測試工具匯總

        • 掃碼領取資料

          回復關鍵字:視頻資料

          免費領取 達內課程視頻學習資料

        • 視頻學習QQ群

          添加QQ群:1143617948

          免費領取達內課程視頻學習資料

        Copyright ? 2018 Tedu.cn All Rights Reserved 京ICP備08000853號-56 京公網安備 11010802029508號 達內時代科技集團有限公司 版權所有

        選擇城市和中心
        江西省

        貴州省

        廣西省

        海南省

        免费国产久久啪久久爱每天第一时间更新最新aV视频、宅男在线视频 百度 好搜 搜狗
        <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>