我正在为旧管理工具包寻找一个新工具,并希望得到一些建议。
我想对少数网站进行一些“自动化”测试,以检测是否存在 XSS(跨站点脚本)漏洞,同时检查是否存在 SQL 注入机会。我意识到自动化工具方法不一定是唯一或最好的解决方案,但我希望它能给我一个良好的开端。
我需要扫描的站点涵盖了从 PHP / MySQL 到 Coldfusion 的各种堆栈,并且还混合了一些经典的 ASP 和 ASP.NET。
您将使用什么工具来扫描 Web 应用程序漏洞?
(请注意,我直接关注的是网络应用程序,而不是服务器本身)。
答案1
答案2
查看尼克托
答案3
开始于
,Insecure.org 的十大榜单—— 给我们带来了奇妙的网络地图
这份清单中似乎还遗漏了一些其他事项,
-
webshag 是一款免费的多线程多平台 Web 服务器审计工具。它用 Python 编写,汇集了 Web 服务器审计常用的功能,如网站抓取、URL 扫描和文件模糊测试。
IEEE:测试和比较针对 SQL 注入和 XSS 攻击的 Web 漏洞扫描工具,2007 年 12 月 17-19 日
但是,您需要 IEEE 访问权限才能进行此操作。WebOptimization.com:服务器漏洞扫描服务
不免费!但有 14 天的免费试用期。
答案4
我使用过并且效果很好的一些工具是:
- Burp 代理
- HP WebInspect(需要付费)
- Google RatProxy(需要您浏览该网站,但它运行正常并且免费)
- Fortify(不是扫描仪,但非常擅长查找东西)
- 验证码
我还看到了 Cenzic Hailstrom 的不错成绩。