Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
Teilen:

12 Open Source Web Security Scanner zum Auffinden von Sicherheitslücken

Schwachstelle finden OpenSource
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Ein interessanter Bericht von Symantec Es zeigt sich, dass 1 von 10 Websites einen oder mehrere Schadcodes hatten.

Und wenn Sie WordPress verwenden, dann in einem anderen Bericht von SUKURI zeigt an, 49% der gescannten Websites waren veraltet.

sucuri-Bericht

Wie stellen Sie als Inhaber einer Webanwendung sicher, dass Ihre Website vor Online-Bedrohungen geschützt ist? Leckt keine vertraulichen Informationen?

Wenn Sie ein Cloud-basierte SicherheitslösungDann ist höchstwahrscheinlich ein regelmäßiges Scannen von Sicherheitslücken Teil des Plans. Wenn nicht, müssen Sie jedoch einen Routine-Scan durchführen und die erforderlichen Maßnahmen ergreifen, um die Risiken zu minimieren.

Es gibt zwei Arten von Scannern.

Gewerbe - Geben Sie eine Option zu Automatisieren Sie das Scannen für kontinuierliche Sicherheit, Berichterstattung, Alarmierung, detaillierte Anweisungen zur Schadensbegrenzung usw. Einige der bekannten Namen in der Branche sind:

  • Acunetix
  • Erkenne
  • Qualys

Open Source / Kostenlos - Sie können bei Bedarf einen Sicherheitsscan herunterladen und durchführen. Nicht alle von ihnen werden in der Lage sein, ein breites Spektrum von Sicherheitslücken wie eine kommerzielle abzudecken.

Schauen wir uns den folgenden Open Source Web Vulnerability Scanner an.

Arachni

Spinnen, Ein leistungsstarker Sicherheitsscanner, der auf dem Ruby-Framework für moderne Webanwendungen basiert. Es ist in einer tragbaren Binärdatei für Mac, Windows und Linux verfügbar.

Spinne

Nicht nur die statische Basis- oder CMS-Website, sondern auch Arachni ist dazu in der Lage folgende Plattform Fingerabdrücke. Es führt sowohl aktive als auch passive Überprüfungen durch.

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Anlegestelle
  • Java, Rubin, Python, ASP, PHP
  • Django, Schienen, CherryPy, CakePHP, ASP.NET MVC, Symfony

Einige der Schwachstellenerkennung sind:

  • NoSQL / Blind / SQL / Code / LDAP / Befehl / XPath-Injektion
  • Standortübergreifende Fälschung von Anfragen
  • Pfadüberquerung
  • Einschlüsse von lokalen / Remote-Dateien
  • Antwortaufteilung
  • Cross-Site-Skripting
  • Nicht validierte DOM-Weiterleitungen
  • Offenlegung des Quellcodes

Sie haben die Möglichkeit, eine zu nehmen Prüfbericht in HTML, XML, Text, JSON, YAML usw.

Mit Arachni können Sie den Scan mithilfe von Plugins auf die nächste Ebene erweitern. Schauen Sie sich das komplette an Arachni Merkmale und herunterladen, um es zu erleben.

XssPy

Ein Python-basierter XSS-Schwachstellenscanner (Cross-Site Scripting) wird von vielen Organisationen verwendet, darunter Microsoft, Stanford, Motorola, Informatica usw.

XssPy von Faizan Ahmad ist ein intelligentes Werkzeug. Es macht eine Sache ziemlich gut. Anstatt nur die Homepage oder die angegebene Seite zu überprüfen, wird der gesamte Link auf den Websites überprüft.

XssPy überprüft auch die Subdomain, so wird nichts ausgelassen.

w3af

w3af, ein Open-Source-Projekt, das Ende 2006 gestartet wurde, basiert auf Python und ist unter Linux und Windows verfügbar. w3af kann mehr als 200 Schwachstellen erkennen, einschließlich der OWASP Top 10.

w3af

w3af lass dich Nutzlasten injizieren zu Headern, URLs, Cookies, Abfragezeichenfolgen, Post-Daten usw., um die Webanwendung für die Überwachung auszunutzen. Es unterstützt verschiedene Protokollierungsmethoden für die Berichterstellung. Ex:

Ex:

  • CSV
  • HTML
  • Konsul (Console)
  • Text
  • XML
  • E-Mail

Es basiert auf einer Plugin-Architektur, und Sie können alle überprüfen Plugins hier verfügbar.

Nikto

Ein von Netsparker gesponsertes Open-Source-Projekt zielt darauf ab, Fehlkonfigurationen, Plugins und Schwachstellen von Webservern zu finden. Niemand Führen Sie einen umfassenden Test gegen über 6500 Risikoelemente durch.

Es unterstützt HTTP-Proxy, SSL, mit oder NTLM-Authentifizierung usw. und kann die maximale Ausführungszeit pro Zielscan definieren.

Niemand ist auch in Kali Linux verfügbar.

Kali-Linux-Nitko

Für die Intranet-Lösung sieht es vielversprechend aus, Sicherheitsrisiken für Webserver zu finden.

Wfuzz

wfuzz (The Web Fuzzer) ist ein Tool zur Anwendungsbewertung für Penetrationstests. Sie können die Daten in der HTTP-Anforderung für jedes Feld fuzzeln, um die Webanwendung auszunutzen und die Webanwendungen zu überwachen.

Für Wfuzz muss Python auf dem Computer installiert sein, auf dem Sie den Scan ausführen möchten. Es wurde ausgezeichnet Dokumentation damit Sie anfangen können.

OWASP ZAP

ZAP (Zet Attack Proxy) ist eines der bekanntesten Penetrationstest-Tools, das von Hunderten von Freiwilligen weltweit aktiv aktualisiert wird.

Es ist ein plattformübergreifendes Java-basiertes Tool, das sogar auf Raspberry Pi ausgeführt werden kann. ZIP befindet sich zwischen einem Browser und einer Webanwendung, um Nachrichten abzufangen und zu überprüfen

zack

Einige der folgenden Punkte sind die Funktionalität von ZAP zu erwähnen.

  • Fuzzer
  • Automatisierter und passiver Scanner
  • Unterstützt mehrere Skriptsprachen
  • Erzwungenes Surfen

Ich würde es sehr empfehlen, auszuchecken OWASP ZAP Tutorial Videos um es anzufangen.

Wapiti

Wapiti Durchsucht die Webseiten eines bestimmten Ziels und sucht nach Skripten und Formularen, um die Daten zu injizieren und festzustellen, ob diese anfällig sind. Es handelt sich nicht um eine Quellcode-Sicherheitsüberprüfung. Stattdessen werden Black-Box-Scans durchgeführt.

Elch

Es unterstützt die GET- und POST-HTTP-Methode, HTTP- und HTTPS-Proxys, verschiedene Authentifizierungen usw.

Vega

Vega wird von Subgraph entwickelt, einem von mehreren Plattformen unterstützten Tool, das in Java geschrieben wurde, um XSS, SQLi, RFI und viele andere Schwachstellen zu finden.

Vega hat eine schöne Benutzeroberfläche und kann einen automatisierten Scan durchführen, indem er sich bei einer Anwendung mit einem bestimmten Berechtigungsnachweis anmeldet.

vega

Wenn Sie Entwickler sind, können Sie die vega-API nutzen, um neue Angriffsmodule zu erstellen.

SQLmap

Wie Sie anhand des Namens erraten können, mit Hilfe des sqlmapkönnen Sie Penetrationstests für eine Datenbank durchführen, um Fehler zu finden.

sqlmap

Es funktioniert mit Python 2.6 oder 2.7 unter jedem Betriebssystem. Wenn Sie suchen SQL-Injection finden und nutzen Sie die Datenbank, dann wäre sqlmap hilfreich.

Grabber

Es ist ein kleines Tool, das auf Python basiert und einige Dinge recht gut macht. Einige der Grabber Eigenschaften sind:

  • JavaScript-Quellcode-Analysator
  • Cross-Site-Scripting, SQL-Injection, Blind-SQL-Injection
  • Testen von PHP-Anwendungen mit PHP-SAT

Golismero

Ein Framework zum Verwalten und Ausführen einiger der gängigen Sicherheitstools wie Wfuzz, DNS-Recon, SQLmap, OpenVas, Roboteranalysator usw.).

golismero

Golismero ist schlau; Es kann das Testfeedback anderer Tools konsolidieren und zusammenführen, um ein einzelnes Ergebnis anzuzeigen.

OWASP Xenotix XSS

Xenotix XSS von OWASP ist ein erweitertes Framework zum Auffinden und Ausnutzen von Cross-Site-Scripting. Es wurden drei intelligente Fuzzers für einen schnellen Scan und verbesserte Ergebnisse eingebaut.

owasp-xss

Es hat Hunderte von Funktionen, und Sie können Schauen Sie sich alle hier aufgelisteten an.

Fazit

Die Web-Sicherheit ist für jedes Online-Geschäft von entscheidender Bedeutung. Ich hoffe, dass der oben aufgeführte kostenlose / Open-Source-Schwachstellenscanner Ihnen hilft, Risiken zu finden, damit Sie diese mindern können, bevor jemand davon profitiert. Wenn Sie mehr über Penetrationstests erfahren möchten, lesen Sie diese Informationen Online Kurs.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder