我正在寻找一个新的pipe理工具包的工具,并会重视一些build议。
我想对一些XSS(跨站点脚本)恶意网站进行一些“自动”testing,同时检查SQL注入机会。 我意识到自动化的工具方法不一定是唯一的或最好的解决scheme,但我希望这会给我一个很好的开始。
我需要扫描的网站覆盖从PHP / MySQL到Coldfusion的堆栈范围,一些经典的ASP和ASP.NET混合在一起是很好的措施。
你会用什么工具来扫描Web应用程序的恶意?
(请注意我直接关注networking应用程序,而不是服务器本身)。
马鹿的效果很好,它会扫描你的网页表格,并试图对它们进行攻击和XSS攻击。
如果你有时间的话,我会build议你找回原始发行版 – 这是一个修改过的Ubuntu的liveCD,它已经加载了nikto,wapiti,openVAS(nessus的一个分支)和数以百计的其他强大的安全审计工具。 我已经在一些审计中使用了它,并取得了良好的效果,这绝对是值得探索的工具。
在这里看到nikto 一步一步的指南 。
看看Nikto
从开始,
来自Insecure.org的前10名 – 谁给了我们美妙的Nmap
在这个列表中似乎没有其他的东西,
Webshag – Web服务器审计工具
webshag是一个免费,multithreading,多平台的Web服务器审计工具。 用Python编写,它收集了Web服务器审计的常用function,如网站爬取,URL扫描和文件模糊。
IEEE: testing和比较用于SQL注入和XSS攻击的Web漏洞扫描工具, 2007年12月17 – 19日
但是,您将需要IEEE访问权限。
WebOptimization.com: 服务器漏洞扫描服务
不是免费的 ! 但有14天免费试用。
Paros Proxy是一个可以执行spidering和自动扫描的代理。
这是一个简短的手册来testing它:
我也喜欢w3af这是一个更先进的Web应用程序分析工具,类似于metasploit,但是对于web应用程序。
我用过的一些工具,运气还算不错的是:
我也看到了Cenzic Hailstrom的体面的结果。
我会使用selenium或类似的东西写一些functiontesting,行使了Web应用程序。 然后设置ratproxy并重新运行testing。 Ratproxy会发现XSS,XSRF和其他一些types的漏洞。
你也可以使用ratproxy而不用自动化testing来做一些手动testing。 自动化testing只是让你更容易重新运行后,你认为你已经解决了这个问题。
我正在使用免费的在线XSS扫描仪工具: 链接文本