漏洞評(píng)估工具可以掃描IT資產(chǎn)，查找已知的漏洞、錯(cuò)誤配置及其他缺陷。然后，這類(lèi)掃描器為IT安全和應(yīng)用程序開(kāi)發(fā)運(yùn)營(yíng)（DevOps）團(tuán)隊(duì)生成報(bào)告，這些團(tuán)隊(duì)將已確定優(yōu)先級(jí)的任務(wù)饋入工單和工作流系統(tǒng)，以修復(fù)漏洞。

開(kāi)源漏洞測(cè)試工具提供了經(jīng)濟(jì)高效的漏洞檢測(cè)解決方案。除了商業(yè)漏洞掃描工具外，許多IT團(tuán)隊(duì)甚至部署一個(gè)或多個(gè)開(kāi)源工具作為補(bǔ)充，或者用來(lái)核查漏洞。以下是知名安全網(wǎng)站eSecurity Planet近日遴選出來(lái)的十佳開(kāi)源漏洞工具。

OSV-Scanner：最佳開(kāi)源代碼掃描器

圖1

另幾款軟件組合分析（SCA）工具早在OSV Scanner發(fā)布之前就面市了，可高效地掃描靜態(tài)軟件查找開(kāi)源編程代碼漏洞。然而，谷歌開(kāi)發(fā)的OSV借助OSV.dev開(kāi)源漏洞數(shù)據(jù)庫(kù)，適用于許多不同的生態(tài)系統(tǒng)。

作為后起之秀，OSV提供了更廣泛的漏洞來(lái)源和語(yǔ)言，被視為DevOps團(tuán)隊(duì)的替代性開(kāi)源掃描工具，至少是補(bǔ)充性開(kāi)源掃描工具。

主要特點(diǎn)

• 掃描軟件，找出影響軟件的依賴(lài)項(xiàng)和漏洞。
• 以JSON格式存儲(chǔ)有關(guān)受影響版本的信息，這種機(jī)讀格式方便與開(kāi)發(fā)者軟件包集成。
• 掃描目錄、軟件物料清單（SBOM）、鎖文件、基于Debian的docker映像或在Docker容器中運(yùn)行的軟件。

優(yōu)點(diǎn)

• 從Android、Debian、Linux、npm和PyPI等眾多來(lái)源提取漏洞。
• 顯示簡(jiǎn)化的結(jié)果，縮短了分析所需的時(shí)間。
• 可通過(guò)ID號(hào)忽略漏洞。
• 谷歌仍在積極開(kāi)發(fā)中，因此會(huì)添加新功能。

缺點(diǎn)

• 仍在積極開(kāi)發(fā)中，因此缺少開(kāi)發(fā)者工作流集成所需的完整功能。
• 可能還無(wú)法超越針對(duì)專(zhuān)門(mén)編程語(yǔ)言的更專(zhuān)門(mén)化、更悠久的開(kāi)源SCA工具所具有的專(zhuān)門(mén)功能。

傳送門(mén)：https://github.com/google/osv-scanner

Sqlmap：最適合數(shù)據(jù)庫(kù)掃描

圖2

一些DevOp團(tuán)隊(duì)希望在將后端數(shù)據(jù)庫(kù)連接到代碼之前加以掃描。Sqlmap支持?jǐn)?shù)據(jù)庫(kù)漏洞掃描和針對(duì)各種數(shù)據(jù)庫(kù)的滲透測(cè)試，DevOp團(tuán)隊(duì)無(wú)需為不必要的功能特性而分心。

主要特點(diǎn)

• 自動(dòng)識(shí)別和使用密碼哈希。
• 用Python開(kāi)發(fā)，可以在任何帶有Python解釋器的系統(tǒng)上運(yùn)行。
• 可以通過(guò)DBMS憑據(jù)、IP地址、端口和數(shù)據(jù)庫(kù)名稱(chēng)，直接連接到數(shù)據(jù)庫(kù)進(jìn)行測(cè)試。
• 全面支持逾35種數(shù)據(jù)庫(kù)管理系統(tǒng)，包括MySQL、Oracle、Postgre SQL、Microsoft SQL Server、IBM DB2、Sybase、SAP MaxDB、Microsoft Access、Amazon Redshift和Apache Ignite等。
• 執(zhí)行六類(lèi)SQL注入技術(shù)：基于布爾的盲注、基于時(shí)間的盲注、基于錯(cuò)誤的注入、基于UNION查詢(xún)的注入、堆疊查詢(xún)和帶外注入。

優(yōu)點(diǎn)

• 可以執(zhí)行密碼破解。
• 可以搜索特定的數(shù)據(jù)庫(kù)名稱(chēng)和表。
• 支持任意命令的執(zhí)行和標(biāo)準(zhǔn)輸出的檢索。

缺點(diǎn)

• 沒(méi)有圖形用戶(hù)界面的命令行工具。
• 非常專(zhuān)門(mén)化的工具。
• 需要數(shù)據(jù)庫(kù)專(zhuān)長(zhǎng)才能高效地使用。
• 傳送門(mén)：https://sqlmap.org/

Wapiti：最適合SQLi測(cè)試

圖3

Wapiti可以在不檢查代碼的情況下對(duì)網(wǎng)站和應(yīng)用程序執(zhí)行黑盒掃描。相反，Wapiti使用模糊測(cè)試技術(shù)將攻擊載荷注入腳本，并檢查常見(jiàn)漏洞。

主要特點(diǎn)

• 支持GET和POST HTTP攻擊方法。
• 可以對(duì)SQL注入（SQLi）、XPath注入、跨站腳本（XSS）、文件披露、Xml外部實(shí)體注入（XXE）、文件夾和文件枚舉等執(zhí)行模塊測(cè)試。
• 支持HTTP、HTTPS和SOCKS5代理。
• 通過(guò)Basic、Digest、NTLM或GET/POST在登錄表單上進(jìn)行身份驗(yàn)證。
• 可以針對(duì)域、文件夾、網(wǎng)頁(yè)和URL執(zhí)行掃描。

優(yōu)點(diǎn)

• 可以測(cè)試眾多潛在漏洞。
• 一些測(cè)試表明，Wapiti比ZAP等其他開(kāi)源工具檢測(cè)出更多的SQLi和Blind SQLi漏洞。

缺點(diǎn)

• 沒(méi)有圖形用戶(hù)界面的命令行工具。
• 需要具備大量的專(zhuān)長(zhǎng)和知識(shí)才能使用。

傳送門(mén)：https://wapiti-scanner.github.io/

ZAP （OWASP Zed攻擊代理）：最適合XSS測(cè)試

圖4

OWASP的Zed攻擊代理（ZAP）還可以在Kali Linux上使用，它介于測(cè)試者的瀏覽器和Web應(yīng)用程序之間以攔截請(qǐng)求，并充當(dāng)代理。這項(xiàng)技術(shù)允許ZAP通過(guò)修改內(nèi)容、轉(zhuǎn)發(fā)數(shù)據(jù)包及模擬用戶(hù)和黑客行為的其他活動(dòng)來(lái)測(cè)試應(yīng)用程序。

主要特點(diǎn)

• 支持各大操作系統(tǒng)和Docker。
• 提供Docker打包掃描，以便快速啟動(dòng)。
• 提供自動(dòng)化框架。
• 提供綜合API。
• 提供手動(dòng)搜索和自動(dòng)搜索。

優(yōu)點(diǎn)

• 由OWASP團(tuán)隊(duì)積極維護(hù)。
• 非常全面。
• 同時(shí)提供圖形界面和命令行接口。
• 易于上手，文檔詳細(xì)。
• 方便從初學(xué)者到安全團(tuán)隊(duì)的各層次用戶(hù)使用。
• 可以非常高效地檢測(cè)XSS漏洞。
• 能夠執(zhí)行模糊測(cè)試攻擊。

缺點(diǎn)

• 一些功能需要額外的插件。
• 需要具備一定的專(zhuān)長(zhǎng)才能使用。
• 生成的誤報(bào)通常比商業(yè)產(chǎn)品要多。

傳送門(mén)：https://owasp.org/www-project-zap/

CloudSploit：最佳云資源掃描器

圖5

Aqua開(kāi)放了CloudSploit核心掃描引擎的源代碼，以便用戶(hù)可以下載和修改基礎(chǔ)版工具，并享用其好處。CloudSploit掃描可以按需執(zhí)行，也可以配置成連續(xù)運(yùn)行，并向安全和DevOp團(tuán)隊(duì)提供警報(bào)。

主要特點(diǎn)

• 針對(duì)API使用充分利用REST的接口。
• API可以從命令行、腳本或構(gòu)建系統(tǒng)（Jenkins、CircleCL和AWS CodeBuild等）來(lái)調(diào)用。
• 讀/寫(xiě)控制可以為每個(gè)API密鑰提供特定的權(quán)限。
• 每個(gè)API調(diào)用都可以單獨(dú)跟蹤。
• 為AWS、Azure和Google Cloud提供持續(xù)的CIS基準(zhǔn)審計(jì)。

優(yōu)點(diǎn)

• 實(shí)時(shí)結(jié)果。
• 安全的HMAC256簽名用于API密鑰驗(yàn)證。
• 在幾秒鐘內(nèi)掃描超過(guò)95個(gè)安全風(fēng)險(xiǎn)。
• 直觀的Web GUI。
• 支持HIPAA和PCI（DSS）合規(guī)框架。
• 可以通過(guò)Slack、Splunk、OpsGenie、Amazon SNS和電子郵件等途徑發(fā)送警報(bào)。

缺點(diǎn)

• 無(wú)法通過(guò)GitHub獲取。
• 自動(dòng)更新推送、一些報(bào)告工具和一些集成只針對(duì)付費(fèi)產(chǎn)品（額外功能不是開(kāi)源的）。

傳送門(mén)：https://cloudsploit.com/

Firmwalker：最適合物聯(lián)網(wǎng)掃描

圖6

開(kāi)源團(tuán)隊(duì)開(kāi)發(fā)了眾多工具來(lái)掃描網(wǎng)絡(luò)設(shè)備和物聯(lián)網(wǎng)的固件及設(shè)置。然而，大多數(shù)人傾向于使用安全工具，而不是漏洞掃描器。然而，F(xiàn)irmwalker可以全面搜索提取或加載的固件，并報(bào)告潛在漏洞。

主要特點(diǎn)

• 可以搜索與SSl相關(guān)的文件和etc/ SSl目錄。
• 可以搜索配置、腳本和pin文件。
• 可以識(shí)別和報(bào)告admin、password和remote等關(guān)鍵字。
• 可以搜索URL、電子郵件地址和IP地址。

優(yōu)點(diǎn)

• 對(duì)物聯(lián)網(wǎng)、網(wǎng)絡(luò)、OT及其他固件進(jìn)行安全審計(jì)。
• 可以找出意外的文件、嵌入的密碼或隱藏的URL。
• 提供bash腳本版本。

缺點(diǎn)

• 需要一些編程技巧才能高效地使用。
• 沒(méi)有GUI。
• 支持Shodan API目前處于實(shí)驗(yàn)階段。

傳送門(mén)：https://github.com/craigz28/firmwalker

Nikto2：最佳Web服務(wù)器掃描器

圖7

Nikto2是一款開(kāi)源Web服務(wù)器掃描器，可以發(fā)現(xiàn)黑客想要利用的危險(xiǎn)文件和程序以及服務(wù)器錯(cuò)誤配置。用戶(hù)也可以在Kali Linux上訪問(wèn)Nikto。

主要特點(diǎn)

• 檢查超過(guò)6700個(gè)可能危險(xiǎn)的文件和程序。
• 測(cè)試超過(guò)1250個(gè)過(guò)時(shí)的服務(wù)器版本和270個(gè)針對(duì)特定版本的問(wèn)題。
• 檢查多個(gè)索引文件和HTTP服務(wù)器選項(xiàng)。
• 提供了減少誤報(bào)的技術(shù)。

優(yōu)點(diǎn)

• 小巧的輕量級(jí)軟件，但功能依然強(qiáng)大。
• 支持文件輸入和輸出。
• 掃描項(xiàng)和插件經(jīng)常更新，且自動(dòng)更新。
• 可以檢測(cè)和標(biāo)記Web服務(wù)器的許多常見(jiàn)問(wèn)題。
• SSL支持Unix和Windows操作系統(tǒng)，并支持HTTP代理。

缺點(diǎn)

• 沒(méi)有界面，只有命令行。
• 非常專(zhuān)門(mén)化，可能讓初學(xué)者感到困惑。
• 搜索方面比一些商業(yè)工具更有限。
• 徹底掃描至少需要45分鐘才能完成。

傳送門(mén)：https://cirt.net/Nikto2

OpenSCAP：最適合注重合規(guī)的掃描

圖8

OpenSCAP是一種面向Linux平臺(tái)的開(kāi)源框架，基于美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）維護(hù)的安全內(nèi)容自動(dòng)化協(xié)議（SCAP）。OpenSCAP項(xiàng)目創(chuàng)建了一些開(kāi)源工具，用于實(shí)施和執(zhí)行這項(xiàng)用于枚舉缺陷和錯(cuò)誤配置的開(kāi)放標(biāo)準(zhǔn)。

掃描器提供了廣泛的工具，支持掃描Web應(yīng)用程序、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)和主機(jī)。與大多數(shù)測(cè)試常見(jiàn)漏洞和暴露（CVE）的掃描器不同，OpenSCAP根據(jù)SCAP標(biāo)準(zhǔn)測(cè)試設(shè)備。

主要特點(diǎn)

• 針對(duì)系統(tǒng)進(jìn)行漏洞評(píng)估。
• 可以訪問(wèn)公共漏洞數(shù)據(jù)庫(kù)。
• OpenSCAP Base工具提供了NIST認(rèn)證的命令行掃描工具，并提供更易于使用的圖形用戶(hù)界面（GUI）。
• OpenSCAP守護(hù)進(jìn)程可以持續(xù)掃描基礎(chǔ)設(shè)施，以確保遵守SCAP策略。

優(yōu)點(diǎn)

• 快速識(shí)別安全問(wèn)題，并立即糾正。
• 得到Red Hat及其他開(kāi)源開(kāi)發(fā)商的支持。
• 結(jié)合安全漏洞和合規(guī)掃描。
• 可以掃描docker容器映像。

缺點(diǎn)

• 比其他許多工具更難上手。
• OpenSCAP系統(tǒng)中的多款工具可能令人困惑。
• 用戶(hù)需要了解符合其需求的安全策略。
• 許多工具只在Linux上運(yùn)行，一些工具只在特定的Linux發(fā)行版上運(yùn)行。

傳送門(mén)：https://www.open-scap.org/

OpenVAS：最適合端點(diǎn)和網(wǎng)絡(luò)掃描

圖9

開(kāi)發(fā)人員使用Nessus的開(kāi)源代碼創(chuàng)建了OpenVAS這款多用途掃描器，Nessus現(xiàn)在是Tenable發(fā)布的領(lǐng)先市場(chǎng)的商業(yè)產(chǎn)品。OpenVAS保持了針對(duì)傳統(tǒng)端點(diǎn)和網(wǎng)絡(luò)執(zhí)行大規(guī)模評(píng)估和網(wǎng)絡(luò)漏洞測(cè)試的高端功能。該工具從大量來(lái)源和龐大的漏洞數(shù)據(jù)庫(kù)收集信息來(lái)源。

主要特點(diǎn)

• 掃描系統(tǒng)查找已知的漏洞和缺失的補(bǔ)丁。
• 基于Web的管理控制臺(tái)。
• 可以安裝在任何本地或基于云的機(jī)器上。
• 提供關(guān)于每個(gè)漏洞的信息，比如如何消除漏洞或攻擊者如何利用漏洞。

優(yōu)點(diǎn)

• Greenbone積極維護(hù)。
• 涵蓋許多CVE。
• 掃描數(shù)據(jù)庫(kù)定期更新。
• 社區(qū)版無(wú)法滿足需要的組織可以升級(jí)到更高級(jí)版本。

缺點(diǎn)

• 對(duì)初學(xué)者來(lái)說(shuō)過(guò)于復(fù)雜，需要具備一些專(zhuān)長(zhǎng)。
• 大量并發(fā)掃描可能導(dǎo)致程序崩潰。
• 沒(méi)有策略管理。

傳送門(mén)：https://www.openvas.org/

Nmap：最適合網(wǎng)絡(luò)和端口掃描

圖10

Nmap安全掃描器支持Windows、macOS和Linux的二進(jìn)制軟件包，包含在許多Linux版本中。Nmap使用IP數(shù)據(jù)包掃描設(shè)備端口，確定在檢查的資產(chǎn)中有哪些主機(jī)、服務(wù)和操作系統(tǒng)可用。滲透測(cè)試人員和IT團(tuán)隊(duì)認(rèn)為Nmap是一種快速、高效的輕量級(jí)工具，可以列出系統(tǒng)上的敞開(kāi)端口。

主要特點(diǎn)

• 主機(jī)發(fā)現(xiàn)可以快速確定網(wǎng)絡(luò)上可用的IP地址。
• 使用TCP/IP棧特征來(lái)猜測(cè)設(shè)備操作系統(tǒng)。
• 500個(gè)腳本庫(kù)用于增強(qiáng)網(wǎng)絡(luò)發(fā)現(xiàn)和漏洞評(píng)估功能。

優(yōu)點(diǎn)

• 快速掃描系統(tǒng)上的敞開(kāi)端口，確定可用的TCP/UDP服務(wù)。
• 查詢(xún)端口以確定運(yùn)行中的協(xié)議、應(yīng)用程序和版本號(hào)。
• 龐大的用戶(hù)群和開(kāi)源社區(qū)。

缺點(diǎn)

• 沒(méi)有為客戶(hù)提供正式支持。
• 需要具備一定的專(zhuān)長(zhǎng)和IT知識(shí)才能高效地使用。

傳送門(mén)：https://nmap.org/