对于检测资产中已知漏洞和不当配置的工具,人们习惯性地称之为“漏洞扫描”工具。更智能、更能分析和总结,称它们为“漏洞评估”工具似乎更准确。大多数漏洞评估工具都可以涵盖一般漏洞,例如OWASPTop10,但通常各有各的优势。常见的区分维度包括部署灵活性、扫描速度、扫描准确性以及与流程管理和代码开发等平台的集成。如果不考虑许可限制和成本,很多团队会选择同时部署多个工具。本文推荐的开源工具可以与主流流??程管理平台集成,输出包括优先级在内的处置分析报告,这些工具目前仍由团队积极维护。此外,虽然面向容器的漏洞评估工具也出现了一些新工具,如Anchore、Clair、Dagda、Trivy,但大量用户反映这些工具存在功能不全、集成性差等问题。因此,考虑到易用性,本文仅推荐OSV-Scanner、OpenSCAP、ZAP作为支持或包含部分容器安全扫描功能的开源工具。OSV-Scanner(开源代码扫描)传送门:OSV-ScannerOSVScanner由谷歌团队开发,于2022年12月13日发布,不乏SCA(SoftwareComponentAnalysis)工具,可以有效扫描静态代码漏洞开源市场。但作为一个“菜鸟”,OSV是从OSV.dev开源漏洞数据库中提取出来的,应用于不同的生态系统。其漏洞来源和支持的语言更加广泛,可以为DevOps团队降本增效。主要特性:依赖关系和漏洞定位以JSON格式存储有关受影响版本的信息,以便于开发集成扫描目录、软件物料清单(SBOM)、锁定文件、基于Debian的docker映像或在Docker容器中运行的软件优势:漏洞提取自广泛的来源,包括Apine、Android、crates.io、Debian、Go、Linux、Maven、npm、NuGet、OSS-Fuzz、Packagist、PyPl、RubyGems等。报告结果经过改进以节省处理时间。可以根据漏洞ID忽略漏洞。提高处理效率目前,谷歌仍在积极开发中,您可以期待更多与时俱进的新功能。劣势:与开发者工作流程的整合,C/C++漏洞发现等功能不完善;在某些编程语言的漏洞检测方面可能弱于一些早期的开源SCA工具:Bandit:PythonBrakeman:RubyonRailsVisualCodeGrepper:C,C++,C#,VP,PHP,Java,PL/SQL,CobolSqlmap(databasescanning)传送门:Sqlmap一些DevOps团队数据库会在后端数据库和代码钩子之前进行安全扫描。Sqlmap就是其中的代表工具之一。主要特点:自动识别密码哈希使用Python开发,它可以在任何带有Python解释器的系统上运行可以通过DBMS凭据、IP地址、端口和数据库名称直接连接到数据库进行测试完全支持的数据库管理系统多达35更多不止一种,包括MySQL、Oracle、PostgreSQL、MicrosoftSQLServer、IBMDB2、Sybase、SAPMaxDB、MicrosoftAccess、AmazonRedshift、ApacheIgnite等六种SQL注入技术:布尔盲注、时间盲注、错误盲注、联合查询注入、堆查询注入和带外注入优点:支持密码爆破可以搜索特定的数据库名和表名支持在数据库服务器底层操作系统上执行任意命令和检索标准输出缺点:命令行工具没有GUI太专业,需要数据库专业知识才能有效使用Wapiti(SQL注入检测)传送门:WapitiWapiti是一款应用程序黑盒扫描工具,使用fuzzing技术将payload注入脚本,寻找常见的漏洞。主要功能:支持HTTPGET和POST攻击方式SQL注入(SQLi)、XPath注入、跨站脚本(XSS)、文件泄露、XXE注入、文件夹和文件枚举等模块测试。支持HTTP、HTTPS和SOCKS5通过Basic、Digest、NTLM或GET/POST验证登录表单可扫描域、文件夹、页面和URL优秀:更广泛的漏洞类型覆盖测试各种潜在漏洞许多测试表明Wapiti优于其他开源工具(例如ZAP)可以检测更多SQL注入和盲注漏洞劣势:没有图形界面的命令行工具熟练操作需要大量的专业知识背景ZAP(OWASPZedAttackProxy)(XSS检测)传送门:ZAPZedAttackProxyofOWASP(ZAP)拦截作为浏览器和Web应用程序之间的代理请求,通过模拟用户和黑客行为,如修改内容、转发数据包等进行安全测试.主要功能:支持主流操作系统,Docker可快速启动Docker包扫描支持自动化框架支持全API支持手动或自动在XSS漏洞检测中突出的用户性能支持模糊测试ZAP在渗透测试从业者中非常流行,熟悉ZAP是有益的从攻击的角度发现漏洞劣势:部分功能需要安装插件,需要一定的专业知识误报率高于很多商业产品CloudSploit(云资源安全扫描)传送门:CloudSploitAqua已开源CloudSploit的核心扫描引擎,供用户下载、修改和使用。CloudSploit支持按需扫描,也可以配置为连续运行并及时发出警报。主要特点:可以使用RESTfulAPI从命令行、脚本或构建系统(Jenkins、CircleCL、AWSCodeBuild等)调用API。读写控制器可以为每个API密钥提供特定的权限。每个API调用都可以单独跟踪到AWS。、Azure和谷歌云进行持续的CIS基线审计。持续扫描可以提醒您云基础设施中可能带来安全风险的变化,例如安全组变化、新的可信SSH密钥和MFA设备停用,删除日志等优秀:实时扫描结果通过HMAC-SHA256签名实现API密钥认证秒级扫描超过95种安全风险类型直观的Web界面支持HIPAA和PCIDSS合规框架支持Slack、Splunk、OpsGenie、AmazonSNS、email、发送告警不佳:无法通过GitHub获得自动推送,部分报告工具和部分集成功能可能仅在付费产品中可用和物联网(IoT)固件,但漏洞扫描程序较少。Firmwalker可以搜索提取或安装的固件并报告潜在的漏洞。主要功能:可以搜索SSL相关文件和etc/ssl目录可以搜索配置,脚本和pin文件可以识别admin,password和remote等关键字可以搜索URL,电子邮件地址和IP地址优秀:用于物联网,网络,OT其他固件的安全审计可以发现异常文件,嵌入的密码或隐藏的URL支持作为bash脚本运行差:需要一些编程知识才能有效使用没有GUI对ShodanAPI的支持目前是实验性的Nikto2(Web服务器)门户:Nikto2Nikto2是一种开源Web服务器扫描程序,可以查找有风险的文件、程序和错误配置。用户还可以在KaliLinux上访问Nikto。主要功能:覆盖6700多个风险文件和程序覆盖1250多个旧服务器版本和270个版本问题支持检测多个索引文件、HTTP服务器选项验证已安装的Web服务器和软件支持凭据破解能够减少误报技术报告格式支持TST、XML、HTML、NBE或CSV优秀:小巧轻便但功能强大支持文件的输入和输出扫描项目和插件经常更新(自动更新)标记Web服务器的常见问题SSL支持Unix和Windows操作系统,支持HTTPProxy可选部署编码技术,用于入侵检测系统(IDS)绕过和测试劣势:没有界面,只有命令行太具体,初学者可能会一头雾水搜索功能略逊于一些商业产品全扫描需要时间以上45分钟OpenSCAP(合规)传送门:OpenSCAPOpenSCAP是林林的一个开源框架ux平台,以美国国家标准与技术研究院(NIST)维护的安全内容自动化协议(SCAP)为基准,实施合规性监管评估。OpenSCAP支持扫描Web应用程序、网络基础设施、数据库和主机。与大多数CVE扫描器不同,OpenSCAP根据SCAP标准执行安全测试。主要功能:漏洞评估访问公共漏洞数据库OpenSCAPBase提供NIST认证的命令行扫描工具和易于使用的图形用户界面OpenSCAPDaemon可以根据SCAP标准持续扫描基础设施等该功能支持集成系统管理解决方案,例如RedHatSatellite6、RHAccessInsights和其他AtomicSc??an选项可以扫描容器中的安全漏洞和合规性问题。优点:快速发现安全问题并立即纠正获得红帽等开源厂商的大力支持结合安全漏洞和合规扫描可以扫描docker镜像缺点:比同类工具更难学习OpenSCAP包含多种工具,对用户来说更复杂首先,您需要了解与您自身相关的保单条款。许多工具只能在Linux上运行,有些只能在特定的Linux发行版上运行。世界领先的漏洞评估产品。OpenVAS是Nessus的一个开源分支,功能丰富,漏洞来源广泛,可以对传统端点和网络进行大规模的漏洞评估。主要功能:发现系统已知漏洞和缺失补丁有Web管理控制台,可以安装在任何本地或云服务器上有漏洞分析能力,输出漏洞如何修复或攻击者如何利用漏洞等信息优秀:Greenbone主动维护涵盖众多CVE漏洞定期更新漏洞数据库形成了一个大型社区供用户交流,可以随着企业的发展从社区版升级到Greenbone企业版或Greenbone云服务。缺点:需要一定的专业知识。大量并发扫描会使程序崩溃。没有政策管理。Greenbone社区版只扫描基础端点资产或家庭应用产品,如UbuntuLinux、MSOffice等(扫描企业设备或获取策略权限,需要升级到付费Greenbone企业版)Nmap(网络和端口)传送门:NmapNmap支持大多数操作系统。它通过IP数据包扫描设备端口,并确定哪些主机、服务和操作系统是被检查的资产。它是渗透测试人员和IT团队的必备工具。必不可少的工具之一。主要功能:快速发现IP地址通过TCP/IP协议猜测设备操作系统500个脚本库持续更新,提升性能优秀:快速扫描系统开放的端口,判断可用的TCP/UDP服务,通过端口测试判断运行情况协议、应用类型、版本号用户基数大,开源社区不成熟:;没有正式的客户支持需要一些专业知识背景参考:https://www.esecurityplanet.com/applications/open-source-vulnerability-scanners/
