软件漏洞扫描工具

58 0 0

在选择软件漏洞扫描工具的时候一定要对软件进行勘察，那怎么选择？选择什么样的漏洞扫描工具呢？具体我可以分析下目前做的比较好的漏洞扫描工具。Arachni 是能适用于多平台和多语言，是开源的，全面的、模块化的Web漏洞扫描框架，其具有良好的可扩展性，通过添加插件的方式可以增加它的扫描范围和深度。主要针对XSS漏洞的漏洞扫描器，Xsspy不仅仅是可以检查一个页面，它可以便利网站，以及子域名的操作方式，之后，它开始扫描每一个页面，发现可能存在的跨站点脚本漏洞。Xsspy采用了许多小而有效的payload，可以有效的扫描网站存在的XSS漏洞。可用于linux和window的漏洞扫描器，可检测超200种漏洞，w3af框架具有图形用户界面和控制用户界面，只需要单击即可，并且使用与定义的配置文件，可以审核web应用程序的安全性。 ZAP 是全程攻击代理服务器是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中，自动发现 Web应用程序中的安全漏洞。另外，它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。ZAP以架设代理的形式来实现渗透性测试，类似于抓包机制。他将自己置于用户浏览器和服务器中间，充当一个中间人的角色，浏览器所有与服务器的交互都要经过ZAP，这样ZAP就可以获得所有这些交互的信息，并且可以对他们进行分析、扫描，甚至是改包再发送。可进行本地代理、主动扫描、被动扫描、Fuzzy、暴力破解等。