websecurify 是我找到的最好的FOSS项目。
您可能想要查看Google的 Skipfish ,它非常全面,可以使用您提供的字典,默认(标准/厨房水槽)。
它也比我使用的其他人更温和一些,但我找不到具有相同功能的东西来比较结果。
它的书面C,具有非常丰富的信息输出,非常易于使用。我建议从任何标准* nix服务器运行它,或者如果你有快速连接,则从家里运行它。它还有一个智能请求队列系统,具有实时更新。它看起来很有趣。
它报告了大多数漏洞,以及许多您可能不知道的其他问题。它有点迂腐,但迂腐对这种工具来说质量很好。
结果截图(有点旧):
alt text http://skipfish.googlecode.com/files/skipfish-screen.png
有许多优秀的自动化开源黑匣子Web应用程序漏洞扫描程序。
- w3af
- websecurify
- skipfish
- Netsparker社区版(免费功能有限)
- 尼克托
最好不要只依靠一台自动扫描仪,每台都有自己的优点和缺点,所以总是运行一些,并比较结果。您还必须检查误报和漏报。
自动漏洞扫描取而代之,并且非常有用,但应始终由了解漏洞的安全专业人员进行备份,并且还可以手动检查其他漏洞。自动扫描是一个良好的开端,但总比没有好。
Google的 RatProxy 也是检查XSS的绝佳选择。由于它是作为代理进行设置和操作的,因此它很容易使用,因为它只是在您正常测试网站时跟随浏览器。它记录所有交互,POST,GET等,并可以重放那些试图注入恶意内容的交互。一旦它重放请求,它将检查输出是否有XSS的迹象。此外,它还记录整个HTTP生命周期,可用于进一步调试。
惠普有 Scrawlr 用于检查常见的SQL注入漏洞。
我已经做了很长时间的这种事情,并且同意最好的解决方案是使用经验丰富的测试人员来检查你的安全配置文件,但是对这些类型的漏洞的测试实际上很容易实现自动化。管理了一个程序,在6个月内测试了大约1000个Web应用程序,我可以说对我来说杰出的工具是 IBM的AppScan 和 Burp - 并且在大多数情况下Burp是更轻,更快,更可配置,而且便宜很多!
很容易让Burp检查输入验证失败 - 并整理你的SQL注入和XSS问题。您可以非常好地覆盖这些类型的漏洞。
Acunetix Web漏洞真的很好,我已经使用它并且非常喜欢它。您可以扫描网站上的XSS,SQL注入,弱上传系统等等。好好享受。