十大開源Web應(yīng)用安全測試工具
Web應(yīng)用安全測試可對Web應(yīng)用程序執(zhí)行功能測試,找到盡可能多的安全問題,大大降低黑客入侵幾率。
在研究并推薦一些優(yōu)秀的開源Web應(yīng)用安全測試工具之前,讓我們首先了解一下安全測試的定義、功用和價值。
安全測試的定義
安全測試可以提高信息系統(tǒng)中的數(shù)據(jù)安全性,防止未經(jīng)批準(zhǔn)的用戶訪問。在Web應(yīng)用安全范疇中,成功的安全測試可以保護Web應(yīng)用程序免受嚴(yán)重的惡意軟件和其他惡意威脅的侵害,這些惡意軟件和惡意威脅可能導(dǎo)致Web應(yīng)用程序崩潰或產(chǎn)生意外行為。
安全測試有助于在初始階段解決Web應(yīng)用程序的各種漏洞和缺陷。此外,它還有助于測試應(yīng)用程序的代碼安全性。Web安全測試涵蓋的主要領(lǐng)域是:
- 認(rèn)證方式
- 授權(quán)書
- 可用性
- 保密
- 一致性
- 不可否認(rèn)
安全測試的目的
全球范圍內(nèi)的組織和專業(yè)人員都使用安全測試來確保其Web應(yīng)用程序和信息系統(tǒng)的安全性。實施安全測試的主要目的是:
- 幫助提高產(chǎn)品的安全性和保質(zhì)期
- 在開發(fā)初期識別并修復(fù)各種安全問題
- 評估當(dāng)前狀態(tài)下的穩(wěn)定性
為什么我們需要重視Web安全測試
- 避免性能不一致
- 避免失去客戶信任
- 避免以安全漏洞的形式丟失重要信息
- 防止身份不明的用戶盜竊信息
- 從意外故障中恢復(fù)
- 節(jié)省解決安全問題所需的額外費用
目前市場上有很多免費、付費和開源工具可用來檢查Web應(yīng)用程序中的漏洞和缺陷。關(guān)于開源工具,除了免費之外,最大的優(yōu)點是可以自定義它們,以符合您的特定要求。
以下,是我們推薦的十大開源安全測試列表:
10. Arachni
Arachni面向滲透測試人員和管理員的旨在識別Web應(yīng)用程序中的安全問題。該開源安全測試工具能夠發(fā)現(xiàn)許多漏洞,包括:
- 無效的重定向
- 本地和遠程文件包含
- SQL注入
- XSS注射
主要亮點:
- 即時部署
- 模塊化,高性能Ruby框架
- 多平臺支持
下載:https://github.com/Arachni/arachni
9. 劫掠者
便攜式Grabber旨在掃描小型Web應(yīng)用程序,包括論壇和個人網(wǎng)站。輕量級的安全測試工具沒有GUI界面,并且使用Python編寫。Grabber發(fā)現(xiàn)的漏洞包括:
- 備份文件驗證
- 跨站腳本
- 文件包含
- 簡單的AJAX驗證
- SQL注入
主要亮點:
- 生成統(tǒng)計分析文件
- 簡單便攜
- 支持JS代碼分析
下載:https://github.com/amoldp/Grabber-Security-and-Vulnerability-Analysis-
8. Iron Wasp
Iron Wasp是一種開放源代碼,功能強大的掃描工具,能夠發(fā)現(xiàn)25種以上的Web應(yīng)用程序漏洞。此外,它還可以檢測誤報和誤報。Iron Wasp可幫助暴露各種漏洞,包括:
- 身份驗證失敗
- 跨站腳本
- CSRF
- 隱藏參數(shù)
- 特權(quán)提升
主要亮點:
- 通過插件或模塊可擴展地用C#、Python、Ruby或VB.NET編寫
- 基于GUI
- 以HTML和RTF格式生成報告
下載:https://github.com/Lavakumar/IronWASP
7. Nogotofail
Nogotofail是Google開發(fā)的網(wǎng)絡(luò)流量安全測試工具,一款輕量級的應(yīng)用程序,能夠檢測TLS / SSL漏洞和配置錯誤。Nogotofail暴露的漏洞包括:
- MiTM攻擊
- SSL證書驗證問題
- SSL注入
- TLS注入
主要亮點:
- 易于使用
- 輕巧的
- 易于部署
- 支持設(shè)置為路由器、代理或VPN服務(wù)器
下載:https://github.com/google/nogotofail
6. SonarQube
另一個值得推薦的開源安全測試工具是SonarQube。除了公開漏洞外,它還用于衡量Web應(yīng)用程序的源代碼質(zhì)量。盡管使用Java編寫,SonarQube仍能夠分析20多種編程語言。此外,它可以通過持續(xù)集成工具輕松地集成到Jenkins之類的產(chǎn)品中。SonarQube發(fā)現(xiàn)的問題以綠色或紅色突出顯示。前者代表低風(fēng)險的漏洞和問題,而后者則代表嚴(yán)重的漏洞和問題。對于高級用戶,可以通過命令提示符進行訪問。對于那些相對較新的測試人員,有一個交互式GUI。SonarQube暴露的一些漏洞包括:
- 跨站腳本
- 拒絕服務(wù)(DoS)攻擊
- HTTP響應(yīng)拆分
- 內(nèi)存損壞
- SQL注入
主要亮點:
- 檢測棘手的問題
- DevOps集成
- 設(shè)置pull requests請求分析
- 支持短期和長期代碼分支的質(zhì)量跟蹤
- 提供Quality Gate
- 可視化項目歷史
下載:https://github.com/SonarSource/sonarqube
5. SQLMap
SQLMap完全免費,可以實現(xiàn)網(wǎng)站數(shù)據(jù)庫中SQL注入漏洞檢測和利用過程的自動化。該安全測試工具附帶一個功能強大的測試引擎,能夠支持6種類型的SQL注入技術(shù):
- 基于布爾的盲注
- 基于錯誤
- 帶外
- 堆疊查詢
- 基于時間的盲注
- UNION查詢
主要亮點:
- 自動化查找SQL注入漏洞的過程
- 也可以用于網(wǎng)站的安全測試
- 強大的檢測引擎
- 支持多種數(shù)據(jù)庫,包括MySQL、Oracle和PostgreSQL
下載:https://github.com/sqlmapproject/sqlmap
4. W3af
W3af是最受Python開發(fā)者喜歡的Web應(yīng)用程序安全測試框架之一。該工具覆蓋Web應(yīng)用程序中超過200多種類型的安全問題,包括:
- SQL盲注
- 緩沖區(qū)溢出
- 跨站腳本
- CSRF
- 不安全的DAV配置
主要亮點:
- 認(rèn)證支持
- 易于上手
- 提供直觀的GUI界面
- 輸出可以記錄到控制臺,文件或電子郵件中
下載:https://github.com/andresriancho/w3af
3. Wapiti
Wapiti是領(lǐng)先的Web應(yīng)用程序安全測試工具之一,它是SourceForge和devloop提供的免費的開源項目。Wapiti可執(zhí)行黑盒測試,檢查Web應(yīng)用程序是否存在安全漏洞。由于是命令行應(yīng)用程序,因此了解Wapiti使用的各種命令非常重要。Wapiti對于經(jīng)驗豐富的人來說易于使用,但對于新手來說卻是一個的考驗。但請放心,您可以在官方文檔中找到所有Wapiti說明。為了檢查腳本是否易受攻擊,Wapiti注入了有效負載。該開源安全測試工具同時支持GET和POSTHTTP攻擊方法。Wapiti暴露的漏洞包括:
- 命令執(zhí)行檢測
- CRLF注射
- 數(shù)據(jù)庫注入
- 檔案披露
- Shellshock或Bash錯誤
- SSRF(服務(wù)器端請求偽造)
- 可以繞開的.htaccess弱配置
- XSS注入
- XXE注入
主要亮點:
- 允許通過不同的方法進行身份驗證,包括Kerberos和NTLM
- 帶有buster模塊,可以暴力破解目標(biāo)Web服務(wù)器上的目錄和文件名
- 操作類似fuzzer
- 同時支持GET和POSTHTTP方法進行攻擊
下載:https://github.com/mbarbon/wapiti
2. Wfuzz
Wfuzz是用Python開發(fā)的,普遍用于暴力破解Web應(yīng)用程序。該開源安全測試工具沒有GUI界面,只能通過命令行使用。Wfuzz暴露的漏洞包括:
- LDAP注入
- SQL注入
- XSS注入
主要亮點:
- 認(rèn)證支持
- Cookies fuzzing
- 多線程
- 多注入點
- 支持代理和SOCK
下載:https://github.com/xmendez/wfuzz
1. Zed攻擊代理(ZAP)
ZAP或Zed Attack Proxy由OWASP(開放Web應(yīng)用程序安全項目)開發(fā),是一種跨多平臺,開放源代碼Web應(yīng)用程序安全測試工具。ZAP用于在開發(fā)和測試階段查找Web應(yīng)用程序中的許多安全漏洞。由于其直觀的GUI,新手和專家都可以輕松使用Zed Attach Proxy。安全測試工具支持高級用戶的命令行訪問。 除了是最著名的OWASP 項目之一,ZAP還是當(dāng)之無愧的Web安全測試旗艦產(chǎn)品。ZAP用Java編寫。除了用作掃描程序外,ZAP還可以用來攔截代理以手動測試網(wǎng)頁。ZAP暴露的漏洞包括:
- 應(yīng)用錯誤披露
- 非HttpOnly Cookie標(biāo)識
- 缺少反CSRF令牌和安全標(biāo)頭
- 私人IP披露
- URL重寫中的會話ID
- SQL注入
- XSS注入
主要亮點:
- 自動掃描
- 易于使用
- 多平臺
- 基于休息的API
- 支持身份驗證
- 使用傳統(tǒng)而強大的AJAX蜘蛛
下載:https://github.com/zaproxy
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
