12 kinds of open-source Web Security Scanner 12 kinds of open-source Web Security Scanner

12 kinds of open-source Web Security Scanner

• Transfer: https: //blog.csdn.net/wh211212/article/details/78620963
• Symantec's an interesting report shows that 76% of sites are scanned for malware

If you are using WordPress, then SUCURI separate report showed that more than 70 percent of scanned sites are infected with one or more vulnerabilities.

As the owner of a web application, how do you ensure your website from online threats? Not to disclose sensitive information?

If you are using a cloud-based security solutions, it is most likely to conduct regular vulnerability scanning is part of the plan. But if not, then you must perform a routine scan and take the necessary action to reduce risk.

• There are two types of scanning software

Business (surcharge) - give you an option to automatically scan ongoing security, reports, alerts, detailed descriptions of ease, some in the industry are known vendors:

• Acunetix
• Detectify
• Qualys

Open source / free - you can download and execute on-demand security scan. But it can not cover all the loopholes, such as commercial vulnerability.

• Consider the following open-source Web vulnerability scanner

1. Arachni

Arachni is a Ruby-based framework for building high-performance security scanner for modern Web applications. It can be used for Mac, Windows and Linux binaries Portable

Arachnin can be applied to the following platforms and languages

• Windows, Solaris, Linux, BSD, Unix
• Nginx, Apache, Tomcat, IIS, Jetty
• Java, Ruby, Python, ASP, PHP
• Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Vulnerability detection have the following:

• NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
• Cross-site request forgery
• Path traversal
• Local/Remote File inclusions
• Response splitting
• Cross-site scripting
• Unvalidated DOM redirects
• Source code disclosure

可以选择使用HTML，XML，文本，JSON，YAML等格式的审计报告,Arachni可以利用插件将扫描范围扩展到下一个级别

2. XssPy

一个基于Python的XSS（跨站脚本）漏洞扫描器

3. w3af

w3af,从2006开始使用python开发的开源项目，可以用在window和linux环境下，

w3af可以将有效载荷注入到标题，URL，cookie，查询字符串，后期数据等，以利用Web应用程序进行审计。它支持各种记录方法进行报告。例如：

• CSV
• HTML
• Console
• Text
• XML
• Email

更多的功能可利用插件库

4. Nikto

Netsparker赞助的开源项目旨在发现Web服务器的配置错误，插件和网页漏洞。 Nikto对6500多个风险项目进行综合测试。

它支持HTTP代理，SSL，或NTLM身份验证等，并可以定义每个目标扫描的最大执行时间。 
Nikola也可以在Kali Linux中使用

它看起来很有希望用于Intranet解决方案来查找Web服务器的安全风险

5. Wfuzz

Wfuzz（Web Fuzzer）是针对渗透测试的应用程序评估工具。您可以对任何字段的HTTP请求中的数据进行模糊处理，以利用该Web应用程序并审核Web应用程序。 Wfuzz需要在要运行扫描的计算机上安装Python。

6. OWASP ZAP

ZAP（Zet Attack Proxy）是全球数百名志愿者积极更新的着名渗透测试工具之一。 它是跨平台的基于Java的工具，可以在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间，用于拦截和检查消息

下面的一些值得一提的是ZAP的功能。

• Fuzzer
• Automated & passive scanner
• Supports multiple scripting languages
• Forced browsing

强烈建议查看OWASP ZAP教程视频来学习

7. Wapiti

Wapiti扫描给定目标的网页，并寻找脚本和表单来注入数据，看看是否有漏洞。它不是一个源代码安全检查，而是执行黑盒扫描。

它支持GET和POST HTTP方法，HTTP和HTTPS代理，多个认证等。

8. Vega

Vega由Subgraph开发，Subgraph是一个用Java编写的多平台支持工具，用于查找XSS，SQLi，RFI和许多其他漏洞。 维加有良好的图形用户界面，并能够通过登录到具有给定凭据的应用程序来执行自动扫描。

如果您是开发人员，则可以利用vega API创建新的攻击模块

9. SQLmap

利用SQLmap可以对数据库执行渗透测试来发现缺陷。

它适用于任何操作系统上的Python 2.6或2.7。如果你正在寻找SQL注入和利用数据库，那么sqlmap会有帮助。

10. Grabber

它是基于Python的小工具，并且做得很不错。一些Grabber的功能是：

• JavaScript源代码分析器 跨站点脚本，
• SQL注入，
• 盲注SQL PHP应用程序测试使用PHP-SAT

11. Golismero

管理和运行Wfuzz，DNS recon，sqlmap，OpenVas，机器人分析器等一些流行安全工具的框架。

Golismero非常棒，它可以巩固来自其他工具的测试反馈，并合并显示一个单一的结果。

12. OWASP Xenotix XSS

OWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架。它内置了三个智能模糊器，用于快速扫描和改进结果。

它有数百个功能，我们可以看看这里列出的所有。

网络安全对于在线业务至关重要，我希望上面列出的免费/开源漏洞扫描程序可以帮助您找到风险，以便在有人利用此漏洞之前减轻风险

• 原文出自：https://geekflare.com/open-source-web-security-scanner/

• 转自：https://blog.csdn.net/wh211212/article/details/78620963
• 赛门铁克的一个有趣的报告显示，76％的被扫描网站有恶意软件

如果您使用的是WordPress，那么SUCURI的另一份报告显示，超过70％的被扫描网站被感染了一个或多个漏洞。

作为网络应用程序所有者，您如何确保您的网站免受在线威胁的侵害？不泄露敏感信息？

如果您正在使用基于云的安全解决方案，则最有可能定期进行漏洞扫描是该计划的一部分。但是，如果没有，那么你必须执行例行扫描，并采取必要的行动来降低风险。

• 有两种类型的扫描软件

商业(收费) - 给你一个选项来自动扫描持续的安全，报告，警报，详细的缓解说明等，行业中的一些已知的厂商是：

• Acunetix
• Detectify
• Qualys

开源/免费 - 您可以下载并按需执行安全扫描。但不能够覆盖所有漏洞，如商业漏洞。

• 看看下面的开源Web漏洞扫描器

1. Arachni

Arachni是一款基于Ruby框架构建的高性能安全扫描程序，适用于现代Web应用程序。它可用于Mac，Windows和Linux的便携式二进制文件

Arachnin能适用于下面的平台和语言

• Windows, Solaris, Linux, BSD, Unix
• Nginx, Apache, Tomcat, IIS, Jetty
• Java, Ruby, Python, ASP, PHP
• Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

漏洞检测有下面这些：

• NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
• Cross-site request forgery
• Path traversal
• Local/Remote File inclusions
• Response splitting
• Cross-site scripting
• Unvalidated DOM redirects
• Source code disclosure

可以选择使用HTML，XML，文本，JSON，YAML等格式的审计报告,Arachni可以利用插件将扫描范围扩展到下一个级别

2. XssPy

一个基于Python的XSS（跨站脚本）漏洞扫描器

3. w3af

w3af,从2006开始使用python开发的开源项目，可以用在window和linux环境下，

w3af可以将有效载荷注入到标题，URL，cookie，查询字符串，后期数据等，以利用Web应用程序进行审计。它支持各种记录方法进行报告。例如：

• CSV
• HTML
• Console
• Text
• XML
• Email

更多的功能可利用插件库

4. Nikto

Netsparker赞助的开源项目旨在发现Web服务器的配置错误，插件和网页漏洞。 Nikto对6500多个风险项目进行综合测试。

它支持HTTP代理，SSL，或NTLM身份验证等，并可以定义每个目标扫描的最大执行时间。 
Nikola也可以在Kali Linux中使用

它看起来很有希望用于Intranet解决方案来查找Web服务器的安全风险

5. Wfuzz

Wfuzz（Web Fuzzer）是针对渗透测试的应用程序评估工具。您可以对任何字段的HTTP请求中的数据进行模糊处理，以利用该Web应用程序并审核Web应用程序。 Wfuzz需要在要运行扫描的计算机上安装Python。

6. OWASP ZAP

ZAP（Zet Attack Proxy）是全球数百名志愿者积极更新的着名渗透测试工具之一。 它是跨平台的基于Java的工具，可以在Raspberry Pi上运行。 ZIP位于浏览器和Web应用程序之间，用于拦截和检查消息

下面的一些值得一提的是ZAP的功能。

• Fuzzer
• Automated & passive scanner
• Supports multiple scripting languages
• Forced browsing

强烈建议查看OWASP ZAP教程视频来学习

7. Wapiti

Wapiti扫描给定目标的网页，并寻找脚本和表单来注入数据，看看是否有漏洞。它不是一个源代码安全检查，而是执行黑盒扫描。

它支持GET和POST HTTP方法，HTTP和HTTPS代理，多个认证等。

8. Vega

Vega was developed by Subgraph, Subgraph is a multi-platform written in Java support tools for finding XSS, SQLi, RFI and many other vulnerabilities. Vega has a good graphical user interface, and the ability to perform automatic scans by logging into the application with the given credentials.

If you're a developer, you can create new attack module uses vega API

9. SQLmap

SQLmap can use to find defects on the database penetration testing.

It applies to Python on any operating system 2.6 or 2.7. If you are looking to take advantage of SQL injection and database, then sqlmap help.

10. Grabber

It is based gadgets Python, and do very well. Some Grabber function is:

• JavaScript source code analyzer cross-site scripting,
• SQL injection,
• Blind SQL PHP applications using the PHP-SAT test

11. Golismero

Some management framework and operational Wfuzz, DNS recon, sqlmap, OpenVas, robotic analyzer and other popular security tools.

Golismero great, it can consolidate test feedback from other tools, and a single consolidated display of results.

12. OWASP Xenotix XSS

OWASP's Xenotix XSS is a high-level framework for finding and utilizing cross-site scripting. It built three intelligent fuzzy controller for fast scanning and improved results.

It has hundreds of functions, we can see here all listed .

Prior to mitigate the risk of network security for online business, I want to list the top free / open-source vulnerability scanner can help you find the risk, in order to exploit this vulnerability on someone

• From the original: https://geekflare.com/open-source-web-security-scanner/