賽門鐵克2017年互聯(lián)網(wǎng)安全威脅報(bào)告中提出在他們今年掃描的網(wǎng)站中，有76%都含有惡意軟件。如果你在用WordPress，SUCURI的另一份報(bào)告也顯示，超過(guò)70％的被掃描網(wǎng)站也都存在一個(gè)或多個(gè)漏洞。

如果你剛好是某個(gè)網(wǎng)絡(luò)應(yīng)用程序的所有者，怎樣才能保證你的網(wǎng)站是安全的、不會(huì)泄露敏感信息？

如果是基于云的安全解決方案，那么可能只需要進(jìn)行常規(guī)漏掃。但如果不是，我們就必須執(zhí)行例行掃描，采取必要的行動(dòng)降低安全風(fēng)險(xiǎn)。

當(dāng)然很多付費(fèi)掃描器功能會(huì)更加全面、嚴(yán)謹(jǐn)，包含報(bào)表輸出、警報(bào)、詳細(xì)的應(yīng)急指南等等附加功能。

Arachni不僅能對(duì)基本的靜態(tài)或CMS網(wǎng)站進(jìn)行掃描，還能夠做到對(duì)以下平臺(tái)指紋信息（(硬盤序列號(hào)和網(wǎng)卡物理地址)）的識(shí)別。且同時(shí)支持主動(dòng)檢查和被動(dòng)檢查。

Windows、Solaris、Linux、BSD、Unix

Nginx、Apache、Tomcat、IIS、Jetty

Java、Ruby、Python、ASP、PHP

Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

一般檢測(cè)的漏洞類型包括：

NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入

跨站請(qǐng)求偽造

路徑遍歷

本地/遠(yuǎn)程文件包含

Response splitting

跨站腳本

未驗(yàn)證的DOM重定向

源代碼披露

另外，你可以選擇輸出HTML、XML、Text、JSON、YAML等格式的審計(jì)報(bào)告。

Arachni幫助我們以插件的形式將掃描范圍擴(kuò)展到更深層的級(jí)別。Arachni的詳細(xì)介紹與下載地址：click here 。

2. XssPy

一個(gè)有力的事實(shí)是，微軟、斯坦福、摩托羅拉、Informatica等很多大型企業(yè)機(jī)構(gòu)都在用這款基于python的XSS（跨站腳本）漏洞掃描器。它的編寫者Faizan Ahmad才華出眾，XssPy是一個(gè)非常智能的工具，不僅能檢查主頁(yè)或給定頁(yè)面，還能夠檢查網(wǎng)站上的所有鏈接以及子域。因此，XssPy的掃描非常細(xì)致且范圍廣泛。

3. w3af

w3af是一個(gè)從2006年年底開始的基于Python的開源項(xiàng)目，可用于Linux和Windows系統(tǒng)。w3af能夠檢測(cè)200多個(gè)漏洞，包括OWASP top 10中提到的。

w3af能夠幫你將payload注入header、URL、cookies、字符串查詢、post-data等，利用Web應(yīng)用程序進(jìn)行審計(jì)，且支持各種記錄方法完成報(bào)告，例如：

CSV

HTML

Console

Text

XML

Email

這個(gè)程序建立在一個(gè)插件架構(gòu)上，所有可用插件地址：click here 。

w3af下載地址：click here 。

4. Nikto

相信很多人對(duì)Nikto并不陌生，這是由Netsparker（專做web安全掃描器企業(yè)，總部坐標(biāo)英國(guó)）贊助的開源項(xiàng)目，旨在發(fā)現(xiàn)Web服務(wù)器配置錯(cuò)誤、插件和Web漏洞。Nikto對(duì)6500多個(gè)風(fēng)險(xiǎn)項(xiàng)目進(jìn)行過(guò)綜合測(cè)試。支持HTTP代理、SSL或NTLM身份驗(yàn)證等，還能確定每個(gè)目標(biāo)掃描的最大執(zhí)行時(shí)間。

Nikto也適用于Kali Linux。

Nikto在企業(yè)內(nèi)部網(wǎng)絡(luò)解決方案中查找web服務(wù)器安全風(fēng)險(xiǎn)的應(yīng)用前景非常廣闊。

下載地址：click here 。

5. Wfuzz

Wfuzz（Web Fuzzer）也是滲透中會(huì)用到的應(yīng)用程序評(píng)估工具。它可以對(duì)任何字段的HTTP請(qǐng)求中的數(shù)據(jù)進(jìn)行模糊處理，對(duì)Web應(yīng)用程序進(jìn)行審查。

Wfuzz需要在被掃描的計(jì)算機(jī)上安裝Python。

8. Vega

Vega由Subgraph開發(fā)，Subgraph是一個(gè)用Java編寫的多平臺(tái)支持工具，用于查找XSS，SQLi、RFI和很多其它的漏洞。

Vega的圖形用戶界面相對(duì)來(lái)說(shuō)比較美觀。它可以通過(guò)特定的憑證登錄某個(gè)應(yīng)用后執(zhí)行自動(dòng)掃描。

如果你懂開發(fā)，還可以利用vega API創(chuàng)建新的攻擊模塊。

10. Grabber

這也是一個(gè)做得不錯(cuò)的Python小工具。這里列舉一些特色功能：

JavaScript源代碼分析器

跨站點(diǎn)腳本、SQL注入、SQL盲注

利用PHP-SAT的PHP應(yīng)用程序測(cè)試

11. Golismero

這是一個(gè)管理和運(yùn)行Wfuzz、DNS recon、sqlmap、OpenVas、機(jī)器人分析器等一些流行安全工具的框架。

Golismero非常智能，能夠整合其它工具的測(cè)試反饋，輸出一個(gè)統(tǒng)一的結(jié)果。