检查常见漏洞的工具？

Question

是否有任何好的工具(桌面或在线)允许您检查您的网站是否存在常见的漏洞(例如SQL注入、XSS)？

Answer 1

websecurify是我发现的最好的自由和开放源码软件项目。

Answer 2

您可能需要查看Google的斯基普鱼，它非常全面，可以从您提供的字典中提取，还包括默认设置(标准/厨房水槽)。

它也比我使用过的其他东西“温和”一些，但我找不到与之相比具有相同特性的东西。

它编写的C，有非常丰富的输出和非常容易使用。我建议您在任何标准*nix服务器上运行它，如果您有快速连接，则建议在家中运行。它还提供了一个具有实时更新功能的智能请求队列系统。看它起作用其实很有趣。

它报告了大多数漏洞，以及许多您可能不知道的其他问题。这是有点迂腐，但学究是一个良好的质量这样的工具。

结果截图(有点旧)：

丙氨酸氨基转移酶(alt文本文本)

Answer 3

有许多良好的自动化开放源码黑匣子web应用程序漏洞扫描器。

• w3af
• websecurify
• 尖吻鱼
• (免费，功能有限)
• 尼克托

最好不要只依靠一台自动扫描仪，每个扫描仪都有各自的优点和缺点，所以总是运行其中的几个并比较结果。你还必须检查假阳性和假阴性。

自动漏洞扫描是有其位置的，但是它是有用的，但是它应该始终由一位了解漏洞并能够手动检查其他漏洞的安全专业人员进行备份。自动扫描是一个好的开端，但总比没有好。