Web 应用程序漏洞扫描程序有什么建议吗?

Web 应用程序漏洞扫描程序有什么建议吗?

我正在为旧管理工具包寻找一个新工具,并希望得到一些建议。

我想对少数网站进行一些“自动化”测试,以检测是否存在 XSS(跨站点脚本)漏洞,同时检查是否存在 SQL 注入机会。我意识到自动化工具方法不一定是唯一或最好的解决方案,但我希望它能给我一个良好的开端。

我需要扫描的站点涵盖了从 PHP / MySQL 到 Coldfusion 的各种堆栈,并且还混合了一些经典的 ASP 和 ASP.NET。

您将使用什么工具来扫描 Web 应用程序漏洞?

(请注意,我直接关注的是网络应用程序,而不是服务器本身)。

答案1

我取得了很好的成果麋鹿- 它会扫描您的 Web 表单并尝试对其进行注入和 XSS 攻击。

如果你有时间,我建议你回溯发行版 - 它是一个经过修改的 ubuntu liveCD,其中装载了 nikto、wapiti、openVAS(nessus 的一个分支)和数百种其他出色的安全审计工具;我已经在几次审计中使用过它,并获得了良好的结果 - 它上面的工具绝对值得探索。

查看 nikto这里有分步指南

答案2

查看尼克托

答案3

开始于
Insecure.org 的十大榜单—— 给我们带来了奇妙的网络地图


这份清单中似乎还遗漏了一些其他事项,

答案4

我使用过并且效果很好的一些工具是:

  • Burp 代理
  • HP WebInspect(需要付费)
  • Google RatProxy(需要您浏览该网站,但它运行正常并且免费)
  • Fortify(不是扫描仪,但非常擅长查找东西)
  • 验证码

我还看到了 Cenzic Hailstrom 的不错成绩。

相关内容