【.com快译】从小餐馆到大超市,从小企业到大联邦机构,网络攻击者总是在寻找窥探工具。以及获取目标用户个人身份信息(PII)的秘密机会。无论是Facebook的还是Erimax的(译者注:一家提供合约解决方案的公司)的安全系统,任何轻微的违规行为,或者轻微的系统缺陷,都会让他们在财务和声誉上付出代价。由此可见,企业系统随时都可能发生安全事件,我们应该对网络安全心生敬畏。毫不夸张地说:我们要有“筑长堤,抵御百年一遇的海啸”的态度。因此,我们需要借助网站安全测试工具,主动检测应用程序漏洞,有效保护网站服务免受恶意攻击。通常,在评估网站的安全态势时,我们会使用两种有效的方法,即漏洞评估和渗透测试。下面,让我们一起来看看安全测试人员常用的十大优秀开源工具:1.NetSparker是一站式工具,NetSparker可以满足大部分网络的安全需求。它既可以在主机上使用,也可以作为自托管解决方案的一部分使用。该平台可以轻松且完全集成到任何现有的测试或开发环境中。通过使用一项专利技术,即:Proof-Based-Scanning,NetSparker可以自动识别各种漏洞,并通过验证误报(falsepositive),减少安全人员花费大量的二次验证时间。2、ImmuniWeb作为“下一代安全平台”,利用人工智能实现各种安全测试。安全测试团队、开发人员、首席信息安全官(CISO),甚至首席信息官(CIO)都可以使用它提供的AI技术进行各种平台级的渗透测试。同时,用户只需点击自己的虚拟补丁系统,即可实现对目标平台合规性的持续监控。此外,ImmuniWeb拥有专有的多层应用安全测试(MultilayerApplicationSecurityTesting)技术,可提供网站合规性检查、服务器安全加固、隐私保护态势检查。3.Vega是一个免费开源的漏洞扫描和测试工具,用Java编写。Vega带有适用于OSX、Linux和Windows平台的GUI。作为一个自动化扫描工具,它可以通过网站爬虫进行快速扫描测试。Vega的拦截代理功能可以通过观察监控客户端与服务端的通信,辅助安全人员进行战术检查。Vega可以检测的Web应用漏洞包括:SQL盲注、Shell注入、反射和存储型跨站脚本等。由于其各种检测模块都是用JavaScript编写的,用户可以在需要各种API时自行创建不同的新型攻击模块.4.WapitiWapiti是一个命令行应用程序,通过爬取网页来检测是否有注入的数据脚本或表单。Wapiti可以通过执行黑盒扫描并将有效负载注入检测到的脚本来发现目标系统中的漏洞。通过支持HTTPGET和POST攻击方法,该工具能够生成多种格式的漏洞报告,并提供不同级别的定制内容。Wapiti可以检测以下漏洞:文件泄露、数据库注入、文件包含、跨站点脚本(XSS)、.htaccess配置错误等。同时能够区分永久型和反射型XSS漏洞,发现异常会及时触发告警。5.GoogleNogotofailNogotofail是一款网络流量安全测试工具。它检查已知的TLS/SSL漏洞和配置错误的应用程序。Nogotofail提供了一套灵活且可扩展的扫描、识别和修复SSL/TLS弱连接的方法,可用于检查目标网站是否容易受到各种中间人(MiTM)攻击。此外,它可以设置为路由器、VPN服务器和代理服务器,用于Android、IOS、Linux、Windows、Chrome、OS、OSX和任何其他连接到互联网的设备。6.AcunetixAcunetix及其漏洞扫描器是优秀的自动化Web应用程序安全测试工具。AcunetixVulnerabilityScanner分别通过AcuSensor和DeepScan实现了创新的黑盒扫描和单页应用程序(SPA)爬虫。配合多线程DeepScan,可以在WordPress安装过程中持续抓取和深度扫描上千个漏洞。其登录序列记录器扫描各种受密码保护的字段,而内置的漏洞管理系统有助于生成相关的技术和合规报告。7、W3afW3af是一个web应用审计和攻击框架,可以有效防御200多种漏洞。它可以通过识别SQL注入、跨站点脚本、可猜测的证书、未处理的应用程序错误和PHP配置错误等漏洞,有效降低网站暴露于各种恶意攻击因素的风险。W3af带有图形化和基于控制台的界面,可以有效地确保用户只需点击不到五次就可以审核Web应用程序的安全性。用户通常使用它为多个集群发送单个HTTP请求和HTTP响应。此外,它还可以使用认证模块扫描受保护的网站,然后将输出结果记录到相应的控制台、文件,甚至通过邮件发送。8.作为渗透测试工具,SQLMap使用其检测引擎自动识别和“利用”与SQL注入相关的缺陷。SQLMap凭借自身广泛的数据库管理系统和SQL注入技术,可以自动识别基于哈希的密码,并可以通过安全编排响应基于字典的攻击。由于支持七级冗长的SQL语句,为每条查询提供ETA支持,为用户切换带来细粒度的灵活性。其数据库指纹和枚举特性可以有效简化渗透测试的运行过程。9.ZEDAttackProxy(ZAP)是一个免费的开源渗透测试工具,由开放Web应用程序安全项目(OWASP)的几位全球志愿者开发和维护。ZAP可以在Windows、UNIX、Linux和Macintosh平台上进行自动和手动类型的安全测试。作为浏览器和Web应用程序之间测试人员的“中间人代理”,它可用于拦截或修改相互发送的消息。除了传统的测试功能外,它还具有Ajax蜘蛛、模糊器、Web套接字支持和基于REST的API等功能。10、BeEF(BrowserExploitationFramework)BeEF是BrowserExploitationFramework的缩写,它可以通过浏览器固有的漏洞来检测Web应用程序的弱点。它使用客户端攻击向量来验证应用程序的安全性。它能够发送浏览器命令,例如重定向、更改URL、生成对话框等。BeEF扩展了传统的网络边界和客户端系统,以分析目标系统中Web浏览器的安全状况。原标题:10个开源网站安全测试工具,作者:HirenTanna
