网络安全入门:不可不知的8款免费Web安全测试工具

Posted 网安小工二狗

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全入门:不可不知的8款免费Web安全测试工具相关的知识,希望对你有一定的参考价值。

随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温。下面向大家推荐8款非常有用的免费 Web 安全测试工具。

N-Stalker Free Version

N-Stalker Web 应用程序安全2012免费版本能够为您的 Web 应用程序清除该环境中大量常见的漏洞,包括跨站脚本(XSS)、SQL 注入(SQL injection)、缓存溢出(Buffer Overflow)、参数篡改 (Parameter Tampering)等等。

Netsparker Community Edition

Netsparker Community Edition 是一款 SQL 注入扫描工具,是Netsparker的社区免费版本,提供了基本的漏洞检测功能。使用友好,灵活。

Websecurify

Websecurify 是一款开源的跨平台网站安全检查工具,能够帮助你精确的检测 Web 应用程序安全问题。

Wapiti

Wapiti 是 Web 应用程序漏洞检查工具。它具有“暗箱操作”扫描,即它不关心 Web 应用程序的源代码,但它会扫描网页的部署,寻找使其能够注入数据的脚本和格式。

Skipfish

Skipfish 是 Google 公司发布的一款自动 Web 安全扫描程序,以降低用户的在线安全威胁。和 Nikto 和 Nessus 等其他开源扫描工具有相似的功能。

Exploit-Me

Exploit-Me 是一套 Firefox 的 Web 应用程序安全测试工具,轻量,易于使用。

OWASP WebScarab Project

WebScarab 一个用来分析使用HTTP和HTTPS协议的应用程序框架,通过记录它检测到的会话内容(请求和应答)来帮助安全专家发现潜在的程序漏洞。

X5s

x5s 是一款 Fiddler 插件,用于辅助渗透测试人员发现跨站点脚本(XSS)漏洞。

最后,给大家分享一个超棒的网络安全学习路线图(文末有高清图和XMIND文件)

还有一些学习中收集的视频、文档资源,有需要的可以自取:
每个成长路线对应板块的配套视频:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料
有需要的小伙伴,可以【扫下方二维码】免费领取:

VOOKI:一款免费的Web应用漏洞扫描工具

Vooki是一款免费且用户界面友好的Web应用漏扫工具,它可以轻松地为你扫描任何Web应用并查找漏洞。Vooki主要包括三个部分,Web应用扫描器,Rest API扫描器以及报告。
Web应用扫描器
技术分享图片技术分享图片?
Vooki – Web应用扫描器目前支持以下类型的漏洞查找:

Sql注入

命令注入

头注入

反射型XSS

存储型XSS

DOM型XSS

缺少安全标头

恶意JS脚本执行

使用已知不安全组件

Jquery漏洞

Angularjs漏洞

Bootstrap漏洞

响应头中包含敏感信息

错误消息中包含敏感信息

缺少服务器端验证

Javascript动态代码执行

敏感数据泄露

Vooki Web应用扫描器的使用
视频演示:
https://v.qq.com/iframe/player.html?vid=e0706orfyuh&tiny=0&auto=0
启动应用。

将浏览器代理连接到Vooki端口。

访问你的Web应用程序页面。

右键单击出现在Vooki工具上的节点,然后单击扫描。

扫描完成后,点击菜单栏中的生成报告。

Rest API扫描器
技术分享图片技术分享图片?
Vooki – Rest API扫描器目前支持以下类型的漏洞查找:

Sql注入

命令注入

头注入

XSS(可能性)

缺少安全标头

响应头中包含敏感信息

错误消息中包含敏感信息

缺少服务器端验证

不必要使用的HTTP方法

不正确的HTTP响应

Vooki Rest扫描器的使用
视频演示:https://v.qq.com/iframe/player.html?vid=k0706vpj6zu&tiny=0&auto=0
启动应用。

创建新项目。

在创建的项目中添加新的请求。

提供headers, url 和 data。

保存并运行菜单栏中的扫描。

扫描完成后,点击菜单栏中的生成报告。

下载网址

https://download.csdn.net/download/qq_41803637/10551206

























































































以上是关于网络安全入门:不可不知的8款免费Web安全测试工具的主要内容,如果未能解决你的问题,请参考以下文章

VOOKI:一款免费的Web应用漏洞扫描工具

web安全入门-openVAS部署与设置

【网络安全入门教程】Web渗透测试常用工具

10款程序员必备的免费开源安全工具

Web安全入门与靶场实战二- 网站扫描工具

不可思议但又无处不在的漏洞,WEB安全基础入门—业务逻辑漏洞