【51CTO.com快譯】如今，從小型餐廳到大型商超，從小型企業(yè)到大型聯(lián)邦機(jī)構(gòu)，網(wǎng)絡(luò)攻擊者總在無(wú)時(shí)不刻地尋找著窺探以及獲取目標(biāo)用戶個(gè)人身份信息(PII)的隱蔽機(jī)會(huì)。無(wú)論是Facebook還是Erimax(譯者注：一家提供合同承包解決方案的公司)的安全系統(tǒng)，任何一個(gè)微小的漏洞、或是細(xì)微的系統(tǒng)缺陷，都會(huì)讓他們?cè)谪?cái)務(wù)和聲譽(yù)上蒙受損失。

[[275458]]

可見(jiàn)，安全事件隨時(shí)都可能在企業(yè)系統(tǒng)中發(fā)生，我們應(yīng)當(dāng)對(duì)于網(wǎng)絡(luò)安全存有敬畏之心。毫不夸張地說(shuō)：我們需要具有“筑起萬(wàn)里長(zhǎng)堤抵御百年一遇海嘯”的態(tài)度。因此，我們需要通過(guò)Web安全測(cè)試工具，主動(dòng)檢測(cè)應(yīng)用程序的漏洞、并在網(wǎng)站服務(wù)免受惡意攻擊方面發(fā)揮有效的作用。

通常，在評(píng)估網(wǎng)站的安全態(tài)勢(shì)方面，我們會(huì)用到兩種有效的方法，它們分別是漏洞評(píng)估和滲透測(cè)試。下面，我們來(lái)看看安全測(cè)試人員常用的十種優(yōu)秀的開(kāi)源工具：

1. NetSparker

作為一款一站式的工具，NetSparker能夠滿足絕大多數(shù)網(wǎng)絡(luò)的安全需求。它既可以被用在宿主機(jī)上，又可以被作為自托管解決方案的一部分。該平臺(tái)能夠非常容易地完全集成到，現(xiàn)有的任何一種測(cè)試環(huán)境或開(kāi)發(fā)環(huán)境中。通過(guò)使用專(zhuān)利技術(shù)，即：基于證據(jù)的掃描(Proof-Based-Scanning)，NetSparker能夠自動(dòng)化地識(shí)別各種漏洞，并通過(guò)驗(yàn)證假陽(yáng)性(false positive)，來(lái)削減安全人員花費(fèi)在二次審驗(yàn)上的大量時(shí)間。

2. ImmuniWeb

作為一款“下一代安全平臺(tái)”，ImmuniWeb采用了人工智能來(lái)實(shí)現(xiàn)各項(xiàng)安全測(cè)試。安全測(cè)試團(tuán)隊(duì)、開(kāi)發(fā)人員、首席信息安全官(CISOs)、甚至是首席信息官(CIO)們都可以利用它所提供的AI技術(shù)，來(lái)開(kāi)展各種平臺(tái)級(jí)別的滲透測(cè)試。同時(shí)，用戶只需單擊其虛擬的補(bǔ)丁系統(tǒng)，便可實(shí)現(xiàn)對(duì)于目標(biāo)平臺(tái)的合規(guī)性持續(xù)監(jiān)測(cè)。另外，ImmuniWeb擁有專(zhuān)有的多層應(yīng)用安全測(cè)試(Multilayer Application Security Testing)技術(shù)，它可以對(duì)網(wǎng)站的合規(guī)性、服務(wù)器安全的加固程度、以及隱私保護(hù)態(tài)勢(shì)等方面提供檢查。

3. Vega

它是一款采用Java編寫(xiě)而成的免費(fèi)、開(kāi)源的漏洞掃描與測(cè)試工具。Vega帶有針對(duì)OS X、Linux和Windows平臺(tái)的GUI。作為一款自動(dòng)化的掃描工具，它能夠通過(guò)網(wǎng)站爬蟲(chóng)，來(lái)進(jìn)行快速的掃描測(cè)試。Vega的攔截代理功能能夠通過(guò)觀察與監(jiān)控客戶端與服務(wù)器之間的通信，來(lái)輔助安全人員進(jìn)行戰(zhàn)術(shù)上的檢查。Vega能夠檢測(cè)的Web應(yīng)用漏洞包括：盲SQL注入、Shell注入、反射與存儲(chǔ)跨站點(diǎn)的腳本等。由于它的各種檢測(cè)模塊都是由JavaScript編寫(xiě)而成，因此在各種API需要之時(shí)，用戶可以自行創(chuàng)建不同新的攻擊模塊。

4. Wapiti

Wapiti是一種命令行式的應(yīng)用程序，它通過(guò)采用爬取網(wǎng)頁(yè)的方式，來(lái)檢測(cè)是否存在被注入的數(shù)據(jù)腳本或表單。Wapiti可以通過(guò)執(zhí)行黑盒掃描、以及在檢測(cè)到的腳本中注入有效載荷，來(lái)發(fā)現(xiàn)目標(biāo)系統(tǒng)的漏洞。通過(guò)支持HTTP的GET和POST攻擊方法，該工具能夠生成各種格式的脆弱性報(bào)告，并提供不同級(jí)別的定制內(nèi)容。Wapiti能夠檢測(cè)出諸如：文件泄露、數(shù)據(jù)庫(kù)注入、文件包含、跨站點(diǎn)腳本(XSS)、.htaccess配置錯(cuò)誤等漏洞。同時(shí)，它能夠區(qū)分永久性和反射性的XSS漏洞，并會(huì)在發(fā)現(xiàn)了異常后及時(shí)觸發(fā)警報(bào)。

5. Google Nogotofail

Nogotofail是針對(duì)網(wǎng)絡(luò)流量的安全性測(cè)試工具。它能夠檢查已知的TLS/SSL漏洞、以及那些被錯(cuò)誤配置的應(yīng)用程序。Nogotofail提供了一套靈活、可擴(kuò)展的掃描、識(shí)別、以及修復(fù)SSL/TLS弱連接的方法，可以被用于檢查目標(biāo)網(wǎng)站是否容易受到各種中間人(MiTM)的攻擊。此外，它可以被設(shè)置為路由器、VPN服務(wù)器、以及代理服務(wù)器，被用在Android、IOS、Linux、Windows、Chrome、OS、OSX、以及連接到互聯(lián)網(wǎng)的任何其他設(shè)備上。

6. Acunetix

Acunetix及其漏洞掃描器，是優(yōu)秀的自動(dòng)化Web應(yīng)用安全測(cè)試工具。Acunetix漏洞掃描儀分別通過(guò)AcuSensor和DeepScan實(shí)現(xiàn)了創(chuàng)新性的黑盒掃描和單頁(yè)面應(yīng)用(SPA)的爬取。具有多線程的DeepScan，能夠在WordPress安裝過(guò)程中不間斷地爬取、并深度地掃描上千種漏洞。其登錄序列記錄器(Login Sequence Recorder)能夠掃描各種密碼保護(hù)字段，而內(nèi)置的漏洞管理系統(tǒng)則有助于生成相關(guān)的技術(shù)與合規(guī)報(bào)告。

7. W3af

W3af是一個(gè)Web應(yīng)用審計(jì)和攻擊框架，它能夠有效地抵御超過(guò)200種漏洞。通過(guò)識(shí)別諸如SQL注入、跨站點(diǎn)腳本、可猜測(cè)的證書(shū)、未處理的應(yīng)用程序錯(cuò)誤、以及PHP配置錯(cuò)誤等漏洞，它能夠有效地減少網(wǎng)站對(duì)于各種惡意攻擊因素的暴露面。W3af自帶有以圖形和控制臺(tái)為基礎(chǔ)的接口，能夠有效地保證用戶在不到五次點(diǎn)擊之內(nèi)，審核Web應(yīng)用程序的安全性。用戶常用它來(lái)發(fā)送單個(gè)HTTP請(qǐng)求、以及多個(gè)集群的HTTP響應(yīng)。此外，它也可以采用身份驗(yàn)證模塊，對(duì)受保護(hù)的網(wǎng)站進(jìn)行掃描，進(jìn)而將輸出結(jié)果記錄到相應(yīng)的控制臺(tái)、文件、甚至是通過(guò)電子郵件予以發(fā)送。

8. SQLMap

作為一種滲透測(cè)試工具，SQLMap通過(guò)其檢測(cè)引擎，來(lái)自動(dòng)識(shí)別和“利用”與SQL注入相關(guān)的缺陷。由于自帶有廣泛的數(shù)據(jù)庫(kù)管理系統(tǒng)、以及SQL注入技術(shù)，SQLMap能夠自動(dòng)識(shí)別基于哈希的密碼，并能夠通過(guò)安全編排應(yīng)對(duì)基于字典的攻擊。由于支持七個(gè)級(jí)別的冗長(zhǎng)SQL語(yǔ)句，它為每一種查詢都提供了ETA支持，并且為用戶的切換帶來(lái)了細(xì)粒度的靈活性。它的數(shù)據(jù)庫(kù)指紋識(shí)別和枚舉特征，能夠有效地簡(jiǎn)化滲透測(cè)試的運(yùn)行過(guò)程。

9. ZED Attack Proxy (ZAP)

由全球數(shù)位志愿者小伙伴，針對(duì)開(kāi)放式Web應(yīng)用安全項(xiàng)目(OWASP)開(kāi)發(fā)和維護(hù)的ZAP，是一款免費(fèi)且開(kāi)源的滲透測(cè)試工具。ZAP可在Windows、UNIX、Linux、以及Macintosh平臺(tái)上，開(kāi)展自動(dòng)化和手動(dòng)類(lèi)型的安全測(cè)試。作為測(cè)試人員在瀏覽器與Web應(yīng)用之間的“中間人代理”，它可以被用來(lái)攔截或調(diào)整相互發(fā)送的消息。除了傳統(tǒng)的測(cè)試功能之外，它還具有Ajax蜘蛛、Fuzzer、Web套接字支持、以及基于REST的API等特性。

10. BeEF (Browser Exploitation Framework)

BeEF是瀏覽器開(kāi)發(fā)框架的縮寫(xiě)，它能夠通過(guò)瀏覽器的固有漏洞，來(lái)檢測(cè)Web應(yīng)用的自身弱點(diǎn)。它使用客戶端的攻擊向量，來(lái)驗(yàn)證應(yīng)用程序的安全性。它能夠發(fā)送諸如重定向、更改URL、生成對(duì)話框等瀏覽器命令。BeEF對(duì)常規(guī)的網(wǎng)絡(luò)邊界和客戶端系統(tǒng)進(jìn)行了擴(kuò)展，能夠分析目標(biāo)系統(tǒng)中Web瀏覽器所處的安全態(tài)勢(shì)。

原文標(biāo)題：10 Open-Source Security Testing Tools For Your Website，作者：Hiren Tanna

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】