Web應(yīng)用安全測(cè)試可對(duì)Web應(yīng)用程序執(zhí)行功能測(cè)試，找到盡可能多的安全問(wèn)題，大大降低黑客入侵幾率。

在研究并推薦一些優(yōu)秀的開(kāi)源Web應(yīng)用安全測(cè)試工具之前，讓我們首先了解一下安全測(cè)試的定義、功用和價(jià)值。

[[326643]]

安全測(cè)試的定義

安全測(cè)試可以提高信息系統(tǒng)中的數(shù)據(jù)安全性，防止未經(jīng)批準(zhǔn)的用戶(hù)訪問(wèn)。在Web應(yīng)用安全范疇中，成功的安全測(cè)試可以保護(hù)Web應(yīng)用程序免受?chē)?yán)重的惡意軟件和其他惡意威脅的侵害，這些惡意軟件和惡意威脅可能導(dǎo)致Web應(yīng)用程序崩潰或產(chǎn)生意外行為。

安全測(cè)試有助于在初始階段解決Web應(yīng)用程序的各種漏洞和缺陷。此外，它還有助于測(cè)試應(yīng)用程序的代碼安全性。Web安全測(cè)試涵蓋的主要領(lǐng)域是：

• 認(rèn)證方式
• 授權(quán)書(shū)
• 可用性
• 保密
• 一致性
• 不可否認(rèn)

安全測(cè)試的目的

全球范圍內(nèi)的組織和專(zhuān)業(yè)人員都使用安全測(cè)試來(lái)確保其Web應(yīng)用程序和信息系統(tǒng)的安全性。實(shí)施安全測(cè)試的主要目的是：

• 幫助提高產(chǎn)品的安全性和保質(zhì)期
• 在開(kāi)發(fā)初期識(shí)別并修復(fù)各種安全問(wèn)題
• 評(píng)估當(dāng)前狀態(tài)下的穩(wěn)定性

為什么我們需要重視Web安全測(cè)試

• 避免性能不一致
• 避免失去客戶(hù)信任
• 避免以安全漏洞的形式丟失重要信息
• 防止身份不明的用戶(hù)盜竊信息
• 從意外故障中恢復(fù)
• 節(jié)省解決安全問(wèn)題所需的額外費(fèi)用

目前市場(chǎng)上有很多免費(fèi)、付費(fèi)和開(kāi)源工具可用來(lái)檢查Web應(yīng)用程序中的漏洞和缺陷。關(guān)于開(kāi)源工具，除了免費(fèi)之外，最大的優(yōu)點(diǎn)是可以自定義它們，以符合您的特定要求。

以下，是我們推薦的十大開(kāi)源安全測(cè)試列表：

10. Arachni

Arachni面向滲透測(cè)試人員和管理員的旨在識(shí)別Web應(yīng)用程序中的安全問(wèn)題。該開(kāi)源安全測(cè)試工具能夠發(fā)現(xiàn)許多漏洞，包括：

• 無(wú)效的重定向
• 本地和遠(yuǎn)程文件包含
• SQL注入
• XSS注射

主要亮點(diǎn)：

• 即時(shí)部署
• 模塊化，高性能Ruby框架
• 多平臺(tái)支持

下載：https://github.com/Arachni/arachni

9. 劫掠者

便攜式Grabber旨在掃描小型Web應(yīng)用程序，包括論壇和個(gè)人網(wǎng)站。輕量級(jí)的安全測(cè)試工具沒(méi)有GUI界面，并且使用Python編寫(xiě)。Grabber發(fā)現(xiàn)的漏洞包括：

• 備份文件驗(yàn)證
• 跨站腳本
• 文件包含
• 簡(jiǎn)單的AJAX驗(yàn)證
• SQL注入

主要亮點(diǎn)：

• 生成統(tǒng)計(jì)分析文件
• 簡(jiǎn)單便攜
• 支持JS代碼分析

下載：https://github.com/amoldp/Grabber-Security-and-Vulnerability-Analysis-

8. Iron Wasp

Iron Wasp是一種開(kāi)放源代碼，功能強(qiáng)大的掃描工具，能夠發(fā)現(xiàn)25種以上的Web應(yīng)用程序漏洞。此外，它還可以檢測(cè)誤報(bào)和誤報(bào)。Iron Wasp可幫助暴露各種漏洞，包括：

• 身份驗(yàn)證失敗
• 跨站腳本
• CSRF
• 隱藏參數(shù)
• 特權(quán)提升

主要亮點(diǎn)：

• 通過(guò)插件或模塊可擴(kuò)展地用C#、Python、Ruby或VB.NET編寫(xiě)
• 基于GUI
• 以HTML和RTF格式生成報(bào)告

下載：https://github.com/Lavakumar/IronWASP

7. Nogotofail

Nogotofail是Google開(kāi)發(fā)的網(wǎng)絡(luò)流量安全測(cè)試工具，一款輕量級(jí)的應(yīng)用程序，能夠檢測(cè)TLS / SSL漏洞和配置錯(cuò)誤。Nogotofail暴露的漏洞包括：

• MiTM攻擊
• SSL證書(shū)驗(yàn)證問(wèn)題
• SSL注入
• TLS注入

主要亮點(diǎn)：

• 易于使用
• 輕巧的
• 易于部署
• 支持設(shè)置為路由器、代理或VPN服務(wù)器

下載：https://github.com/google/nogotofail

6. SonarQube

另一個(gè)值得推薦的開(kāi)源安全測(cè)試工具是SonarQube。除了公開(kāi)漏洞外，它還用于衡量Web應(yīng)用程序的源代碼質(zhì)量。盡管使用Java編寫(xiě)，SonarQube仍能夠分析20多種編程語(yǔ)言。此外，它可以通過(guò)持續(xù)集成工具輕松地集成到Jenkins之類(lèi)的產(chǎn)品中。SonarQube發(fā)現(xiàn)的問(wèn)題以綠色或紅色突出顯示。前者代表低風(fēng)險(xiǎn)的漏洞和問(wèn)題，而后者則代表嚴(yán)重的漏洞和問(wèn)題。對(duì)于高級(jí)用戶(hù)，可以通過(guò)命令提示符進(jìn)行訪問(wèn)。對(duì)于那些相對(duì)較新的測(cè)試人員，有一個(gè)交互式GUI。SonarQube暴露的一些漏洞包括：

• 跨站腳本
• 拒絕服務(wù)(DoS)攻擊
• HTTP響應(yīng)拆分
• 內(nèi)存損壞
• SQL注入

主要亮點(diǎn)：

• 檢測(cè)棘手的問(wèn)題
• DevOps集成
• 設(shè)置pull requests請(qǐng)求分析
• 支持短期和長(zhǎng)期代碼分支的質(zhì)量跟蹤
• 提供Quality Gate
• 可視化項(xiàng)目歷史

下載：https://github.com/SonarSource/sonarqube

5. SQLMap

SQLMap完全免費(fèi)，可以實(shí)現(xiàn)網(wǎng)站數(shù)據(jù)庫(kù)中SQL注入漏洞檢測(cè)和利用過(guò)程的自動(dòng)化。該安全測(cè)試工具附帶一個(gè)功能強(qiáng)大的測(cè)試引擎，能夠支持6種類(lèi)型的SQL注入技術(shù)：

• 基于布爾的盲注
• 基于錯(cuò)誤
• 帶外
• 堆疊查詢(xún)
• 基于時(shí)間的盲注
• UNION查詢(xún)

主要亮點(diǎn)：

• 自動(dòng)化查找SQL注入漏洞的過(guò)程
• 也可以用于網(wǎng)站的安全測(cè)試
• 強(qiáng)大的檢測(cè)引擎
• 支持多種數(shù)據(jù)庫(kù)，包括MySQL、Oracle和PostgreSQL

下載：https://github.com/sqlmapproject/sqlmap

4. W3af

W3af是最受Python開(kāi)發(fā)者喜歡的Web應(yīng)用程序安全測(cè)試框架之一。該工具覆蓋Web應(yīng)用程序中超過(guò)200多種類(lèi)型的安全問(wèn)題，包括：

• SQL盲注
• 緩沖區(qū)溢出
• 跨站腳本
• CSRF
• 不安全的DAV配置

主要亮點(diǎn)：

• 認(rèn)證支持
• 易于上手
• 提供直觀的GUI界面
• 輸出可以記錄到控制臺(tái)，文件或電子郵件中

下載：https://github.com/andresriancho/w3af

3. Wapiti

Wapiti是領(lǐng)先的Web應(yīng)用程序安全測(cè)試工具之一，它是SourceForge和devloop提供的免費(fèi)的開(kāi)源項(xiàng)目。Wapiti可執(zhí)行黑盒測(cè)試，檢查Web應(yīng)用程序是否存在安全漏洞。由于是命令行應(yīng)用程序，因此了解Wapiti使用的各種命令非常重要。Wapiti對(duì)于經(jīng)驗(yàn)豐富的人來(lái)說(shuō)易于使用，但對(duì)于新手來(lái)說(shuō)卻是一個(gè)的考驗(yàn)。但請(qǐng)放心，您可以在官方文檔中找到所有Wapiti說(shuō)明。為了檢查腳本是否易受攻擊，Wapiti注入了有效負(fù)載。該開(kāi)源安全測(cè)試工具同時(shí)支持GET和POSTHTTP攻擊方法。Wapiti暴露的漏洞包括：

• 命令執(zhí)行檢測(cè)
• CRLF注射
• 數(shù)據(jù)庫(kù)注入
• 檔案披露
• Shellshock或Bash錯(cuò)誤
• SSRF(服務(wù)器端請(qǐng)求偽造)
• 可以繞開(kāi)的.htaccess弱配置
• XSS注入
• XXE注入

主要亮點(diǎn)：

• 允許通過(guò)不同的方法進(jìn)行身份驗(yàn)證，包括Kerberos和NTLM
• 帶有buster模塊，可以暴力破解目標(biāo)Web服務(wù)器上的目錄和文件名
• 操作類(lèi)似fuzzer
• 同時(shí)支持GET和POSTHTTP方法進(jìn)行攻擊

下載：https://github.com/mbarbon/wapiti

2. Wfuzz

Wfuzz是用Python開(kāi)發(fā)的，普遍用于暴力破解Web應(yīng)用程序。該開(kāi)源安全測(cè)試工具沒(méi)有GUI界面，只能通過(guò)命令行使用。Wfuzz暴露的漏洞包括：

• LDAP注入
• SQL注入
• XSS注入

主要亮點(diǎn)：

• 認(rèn)證支持
• Cookies fuzzing
• 多線程
• 多注入點(diǎn)
• 支持代理和SOCK

下載：https://github.com/xmendez/wfuzz

1. Zed攻擊代理(ZAP)

[[326651]]

ZAP或Zed Attack Proxy由OWASP(開(kāi)放Web應(yīng)用程序安全項(xiàng)目)開(kāi)發(fā)，是一種跨多平臺(tái)，開(kāi)放源代碼Web應(yīng)用程序安全測(cè)試工具。ZAP用于在開(kāi)發(fā)和測(cè)試階段查找Web應(yīng)用程序中的許多安全漏洞。由于其直觀的GUI，新手和專(zhuān)家都可以輕松使用Zed Attach Proxy。安全測(cè)試工具支持高級(jí)用戶(hù)的命令行訪問(wèn)。 除了是最著名的OWASP 項(xiàng)目之一，ZAP還是當(dāng)之無(wú)愧的Web安全測(cè)試旗艦產(chǎn)品。ZAP用Java編寫(xiě)。除了用作掃描程序外，ZAP還可以用來(lái)攔截代理以手動(dòng)測(cè)試網(wǎng)頁(yè)。ZAP暴露的漏洞包括：

• 應(yīng)用錯(cuò)誤披露
• 非HttpOnly Cookie標(biāo)識(shí)
• 缺少反CSRF令牌和安全標(biāo)頭
• 私人IP披露
• URL重寫(xiě)中的會(huì)話ID
• SQL注入
• XSS注入

主要亮點(diǎn)：

• 自動(dòng)掃描
• 易于使用
• 多平臺(tái)
• 基于休息的API
• 支持身份驗(yàn)證
• 使用傳統(tǒng)而強(qiáng)大的AJAX蜘蛛

下載：https://github.com/zaproxy

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文