Web应用安全测试可以对Web应用进行功能测试,尽可能多地发现安全问题,大大降低被黑客攻击的机会。在研究和推荐一些优秀的开源Web应用安全测试工具之前,我们先了解一下安全测试的定义、作用和价值。安全测试的定义安全测试可以提高信息系统中数据的安全性,防止未经授权的用户访问。在Web应用程序安全领域,成功的安全测试可以保护Web应用程序免受严重的恶意软件和其他可能导致Web应用程序崩溃或行为异常的恶意威胁。安全测试有助于在初始阶段解决Web应用程序的各种漏洞和缺陷。此外,它有助于测试应用程序的代码安全性。Web安全测试涵盖的主要领域有:身份验证方法授权可用性机密性一致性不可否认的安全测试目的全球的组织和专业人员使用安全测试来确保其Web应用程序和信息系统的安全。实施安全测试的主要目的是:帮助提高产品安全性和保质期识别并修复开发早期的各种安全问题评估当前状态的稳定性为什么我们需要关注网络安全测试避免性能不一致避免失去客户信任避免依赖安全性以漏洞形式丢失重要信息防止未知用户窃取信息从意外故障中恢复节省解决安全问题的额外成本当今市场上有许多免费、付费和开源工具可供检查Web应用程序中的漏洞和缺陷。开源工具的伟大之处在于,除了免费之外,它们还可以根据您的特定要求进行定制。以下是我们的十大开源安全测试列表:10.ArachniArachni旨在帮助渗透测试人员和管理员识别Web应用程序中的安全问题。这个开源安全测试工具可以发现很多漏洞,包括:无效重定向本地和远程文件包含SQL注入XSS注入主要亮点:即时部署模块化、高性能的Ruby框架多平台支持下载:https://github.com/Arachni/arachni9.GrabberPortableGrabber旨在扫描小型Web应用程序,包括论坛和个人网站。轻量级安全测试工具,无GUI界面,Python编写。Grabber发现的漏洞包括:备份文件验证跨站脚本文件包含简单的AJAX验证SQL注入主要亮点:生成统计分析文件简单便携支持JS代码分析下载:https://github.com/amoldp/Grabber-Security-和-Vulnerability-Analysis-8.IronWaspIronWasp是一款开源的强大扫描工具,能够发现超过25种类型的Web应用程序漏洞。此外,它还可以检测误报和漏报。IronWasp可以帮助揭露各种漏洞,包括:身份验证失败跨站点脚本CSRF隐藏参数特权提升主要亮点:可通过插件或模块扩展以C#、Python、Ruby或VB.NET编写基于HTML和RTF格式的GUI生成报告下载地址:https://github.com/Lavakumar/IronWASP7.NogotofailNogotofail是Google开发的一款网络流量安全测试工具,是一款可以检测TLS/SSL漏洞和配置错误的轻量级应用。Nogotofail暴露的漏洞包括:中间人攻击SSL证书验证问题SSL注入TLS注入主要亮点:简单易用轻量级易部署支持设置为路由器、代理或VPN服务器下载地址:https://github.com/google/nogotofail6.SonarQubeOther一个推荐的开源安全测试工具是SonarQube。除了暴露漏洞外,它还用于衡量Web应用程序的源代码质量。尽管是用Java编写的,但SonarQube能够分析20多种编程语言。此外,它可以通过持续集成工具轻松集成到Jenkins等产品中。SonarQube发现的问题以绿色或红色突出显示。前者代表低风险的漏洞和问题,而后者代表严重的漏洞和问题。对于高级用户,可以通过命令提示符访问它。对于那些相对较新的测试人员,有一个交互式GUI。SonarQube暴露的一些漏洞包括:跨站点脚本拒绝服务(DoS)攻击HTTP响应拆分内存损坏SQL注入关键亮点:检测棘手问题DevOps集成设置Pullrequests请求分析术语代码分支提供QualityGateVisualization项目历史下载:https://github.com/SonarSource/sonarqube5.SQLMapSQLMap完全免费,可以自动化网站数据库中SQL注入漏洞检测和利用的过程。安全测试工具自带强大的测试引擎,可支持6种SQL注入技术:基于布尔的盲注基于错误的带外堆栈查询基于时间的盲UNION查询主要亮点:自动化发现SQL的过程注入漏洞也可用于网站安全测试强大的检测引擎支持多种数据库,包括MySQL、Oracle和PostgreSQL下载地址:https://github.com/sqlmapproject/sqlmap4.W3afW3af是最受Python开发者欢迎的web应用安全之一测试框架。该工具涵盖了200多种Web应用程序中的安全问题,包括:SQL盲缓冲区溢出跨站点脚本CSRF不安全DAV配置主要亮点:身份验证支持易于使用提供直观的GUI界面输出可以记录到控制台、文件或邮箱:https://github.com/andresriancho/w3af3.WapitiWapiti是领先的web应用安全测试工具之一,它是由SourceForge和devloop提供的免费开源项目。Wapiti执行黑盒测试以检查Web应用程序是否存在安全漏洞。由于它是一个命令行应用程序,因此了解Wapiti使用的各种命令非常重要。Wapiti对有经验的人来说很容易使用,但对新手来说可能是一个考验。但别担心,您可以在官方文档中找到所有Wapiti说明。为了检查脚本是否存在漏洞,Wapiti注入了有效负载。这个开源安全测试工具同时支持GET和POSTHTTP两种攻击方式。Wapiti暴露的漏洞包括:命令执行检测CRLF注入数据库注入存档泄露Shellshock或Bash错误SSRF(服务器端请求伪造)。包括Kerberos和NTLM的buster模块,它可以暴力破解目标Web服务器上的目录和文件名。该操作类似于模糊器。它还支持GET和POSTHTTP方法进行攻击。下载:https://github.com/mbarbon/wapiti2.WfuzzWfuzz使用Python开发,常用于暴力破解web应用。这款开源安全测试工具没有GUI界面,只能通过命令行使用。Wfuzz暴露的漏洞包括:LDAP注入SQL注入XSS注入主要亮点:认证支持Cookiesfuzzing多线程多注入点支持proxy和SOCK下载地址:https://github.com/xmendez/wfuzz1.ZedAttackProxy(ZAP)ZAP即ZedAttackProxy,由OWASP(OpenWebApplicationSecurityProject)开发,是一款跨平台、开源的Web应用安全测试工具。ZAP用于在开发和测试阶段发现Web应用程序中的许多安全漏洞。由于其直观的GUI,新手和专家都可以轻松使用ZedAttachProxy。安全测试工具支持高级用户的命令行访问。除了作为最著名的OWASP项目之一,ZAP还是当之无愧的Web安全测试旗舰产品。ZAP是用Java编写的。除了用作扫描器,ZAP还可以用于拦截代理以手动测试网页。ZAP暴露的漏洞包括:应用程序错误披露Non-HttpOnlyCookieIdentityMissingAnti-CSRFToken和SecurityHeader私有IP泄露SessionIDinURLRewritingSQLInjectionXSSInjection重点亮点:自动扫描易于使用多平台基于REST的API支持认证使用传统强大的AJAX蜘蛛下载:https://github.com/zaproxy授权】点此查看作者更多好文章
