十大開源Web應用安全測試工具

摘要：Nogotofail是Google開發的網絡流量安全測試工具，一款輕量級的應用程序，能夠檢測TLS / SSL漏洞和配置錯誤。該安全測試工具附帶一個功能強大的測試引擎，能夠支持6種類型的SQL注入技術：。

Web應用安全測試可對Web應用程序執行功能測試，找到儘可能多的安全問題，大大降低黑客入侵幾率。

在研究並推薦一些優秀的開源Web應用安全測試工具之前，讓我們首先了解一下安全測試的定義、功用和價值。

安全測試的定義

安全測試可以提高信息系統中的數據安全性，防止未經批准的用戶訪問。在Web應用安全範疇中，成功的安全測試可以保護Web應用程序免受嚴重的惡意軟件和其他惡意威脅的侵害，這些惡意軟件和惡意威脅可能導致Web應用程序崩潰或產生意外行爲。

安全測試有助於在初始階段解決Web應用程序的各種漏洞和缺陷。此外，它還有助於測試應用程序的代碼安全性。Web安全測試涵蓋的主要領域是：

認證方式
授權書
可用性
保密
一致性
不可否認

安全測試的目的

全球範圍內的組織和專業人員都使用安全測試來確保其Web應用程序和信息系統的安全性。實施安全測試的主要目的是：

幫助提高產品的安全性和保質期
在開發初期識別並修復各種安全問題
評估當前狀態下的穩定性

爲什麼我們需要重視Web安全測試

避免性能不一致
避免失去客戶信任
避免以安全漏洞的形式丟失重要信息
防止身份不明的用戶盜竊信息
從意外故障中恢復
節省解決安全問題所需的額外費用

目前市場上有很多免費、付費和開源工具可用來檢查Web應用程序中的漏洞和缺陷。關於開源工具，除了免費之外，最大的優點是可以自定義它們，以符合您的特定要求。

以下，是我們推薦的十大開源安全測試列表：

10. Arachni

Arachni面向滲透測試人員和管理員的旨在識別Web應用程序中的安全問題。該開源安全測試工具能夠發現許多漏洞，包括：

無效的重定向
本地和遠程文件包含
SQL注入
XSS注射

主要亮點：

即時部署
模塊化，高性能Ruby框架
多平臺支持

下載：https://github.com/Arachni/arachni

9. 劫掠者

便攜式Grabber旨在掃描小型Web應用程序，包括論壇和個人網站。輕量級的安全測試工具沒有GUI界面，並且使用Python編寫。Grabber發現的漏洞包括：

備份文件驗證
跨站腳本
文件包含
簡單的AJAX驗證
SQL注入

主要亮點：

生成統計分析文件
簡單便攜
支持JS代碼分析

下載：https://github.com/amoldp/Grabber-Security-and-Vulnerability-Analysis-

8. Iron Wasp

Iron Wasp是一種開放源代碼，功能強大的掃描工具，能夠發現25種以上的Web應用程序漏洞。此外，它還可以檢測誤報和誤報。Iron Wasp可幫助暴露各種漏洞，包括：

身份驗證失敗
跨站腳本
CSRF
隱藏參數
特權提升

主要亮點：

通過插件或模塊可擴展地用C#、Python、Ruby或VB.NET編寫
基於GUI
以HTML和RTF格式生成報告

下載：https://github.com/Lavakumar/IronWASP

7. Nogotofail

Nogotofail是Google開發的網絡流量安全測試工具，一款輕量級的應用程序，能夠檢測TLS / SSL漏洞和配置錯誤。Nogotofail暴露的漏洞包括：

MiTM攻擊
SSL證書驗證問題
SSL注入
TLS注入

主要亮點：

易於使用
輕巧的
易於部署
支持設置爲路由器、代理或VPN服務器

下載：https://github.com/google/nogotofail

6. SonarQube

另一個值得推薦的開源安全測試工具是SonarQube。除了公開漏洞外，它還用於衡量Web應用程序的源代碼質量。儘管使用Java編寫，SonarQube仍能夠分析20多種編程語言。此外，它可以通過持續集成工具輕鬆地集成到Jenkins之類的產品中。SonarQube發現的問題以綠色或紅色突出顯示。前者代表低風險的漏洞和問題，而後者則代表嚴重的漏洞和問題。對於高級用戶，可以通過命令提示符進行訪問。對於那些相對較新的測試人員，有一個交互式GUI。SonarQube暴露的一些漏洞包括：

跨站腳本
拒絕服務(DoS)攻擊
HTTP響應拆分
內存損壞
SQL注入

主要亮點：

檢測棘手的問題
DevOps集成
設置pull requests請求分析
支持短期和長期代碼分支的質量跟蹤
提供Quality Gate
可視化項目歷史

下載：https://github.com/SonarSource/sonarqube

5. SQLMap

SQLMap完全免費，可以實現網站數據庫中SQL注入漏洞檢測和利用過程的自動化。該安全測試工具附帶一個功能強大的測試引擎，能夠支持6種類型的SQL注入技術：

基於布爾的盲注
基於錯誤
帶外
堆疊查詢
基於時間的盲注
UNION查詢

主要亮點：

自動化查找SQL注入漏洞的過程
也可以用於網站的安全測試
強大的檢測引擎
支持多種數據庫，包括MySQL、Oracle和PostgreSQL

下載：https://github.com/sqlmapproject/sqlmap

4. W3af

W3af是最受Python開發者喜歡的Web應用程序安全測試框架之一。該工具覆蓋Web應用程序中超過200多種類型的安全問題，包括：

SQL盲注
緩衝區溢出
跨站腳本
CSRF
不安全的DAV配置

主要亮點：

認證支持
易於上手
提供直觀的GUI界面
輸出可以記錄到控制檯，文件或電子郵件中

下載：https://github.com/andresriancho/w3af

3. Wapiti

Wapiti是領先的Web應用程序安全測試工具之一，它是SourceForge和devloop提供的免費的開源項目。Wapiti可執行黑盒測試，檢查Web應用程序是否存在安全漏洞。由於是命令行應用程序，因此瞭解Wapiti使用的各種命令非常重要。Wapiti對於經驗豐富的人來說易於使用，但對於新手來說卻是一個的考驗。但請放心，您可以在官方文檔中找到所有Wapiti說明。爲了檢查腳本是否易受攻擊，Wapiti注入了有效負載。該開源安全測試工具同時支持GET和POSTHTTP攻擊方法。Wapiti暴露的漏洞包括：

命令執行檢測
CRLF注射
數據庫注入
檔案披露
Shellshock或Bash錯誤
SSRF(服務器端請求僞造)
可以繞開的.htaccess弱配置
XSS注入
XXE注入

主要亮點：

允許通過不同的方法進行身份驗證，包括Kerberos和NTLM
帶有buster模塊，可以暴力破解目標Web服務器上的目錄和文件名
操作類似fuzzer
同時支持GET和POSTHTTP方法進行攻擊

下載：https://github.com/mbarbon/wapiti

2. Wfuzz

Wfuzz是用Python開發的，普遍用於暴力破解Web應用程序。該開源安全測試工具沒有GUI界面，只能通過命令行使用。Wfuzz暴露的漏洞包括：

LDAP注入
SQL注入
XSS注入

主要亮點：

認證支持
Cookies fuzzing
多線程
多注入點
支持代理和SOCK

下載：https://github.com/xmendez/wfuzz

1. Zed攻擊代理(ZAP)

ZAP或Zed Attack Proxy由OWASP(開放Web應用程序安全項目)開發，是一種跨多平臺，開放源代碼Web應用程序安全測試工具。ZAP用於在開發和測試階段查找Web應用程序中的許多安全漏洞。由於其直觀的GUI，新手和專家都可以輕鬆使用Zed Attach Proxy。安全測試工具支持高級用戶的命令行訪問。除了是最著名的OWASP 項目之一，ZAP還是當之無愧的Web安全測試旗艦產品。ZAP用Java編寫。除了用作掃描程序外，ZAP還可以用來攔截代理以手動測試網頁。ZAP暴露的漏洞包括：