15款好用的web开源安全测试工具等你来

1-Wapiti Wapiti作为一个高效的web项目安全测试工具，它支持用户对web应用程序进行评估。运用“黑盒测试”技术，它可以在Web应用中检查出可能存在的缺陷漏洞。

在测试过程中，Wapiti会对SEO靠我网页进行扫描，并注入测试数据来查找安全隐患。Wapiti支持GET和POST方法的HTTP攻击，可确认多种类型的安全漏洞，比如：

　　·文件泄露（File disclosure）　　· 数据库注入（DatabasSEO靠我e Injection）· 跨站脚本注入（XSS Injection）　　· 命令执行探测（Command Execution Detection）　　· CRLF注入（CRLF Injection）　　· XML外部实SEO靠我体注入（XXE Injection-Xml External Entity Injection）· 潜在危险文件（Potentially dangerous files）　　· 可被轻易绕过的 .htacceSEO靠我ss配置· 备用文件造成的泄漏

Wapiti作为一个命令行应用，对初学者来说使用有难度，但对专业人士却很有帮助。操作该软件的用户需要对命令的使用完全了解。

下载地址：Wapiti download | SoSEO靠我urceForge.net

 

2-Zed Attack ProxyZed Attack Proxy，被人们称为ZAP，是一个由OWASP开发开源软件。ZAP支持在WINdows，UNIX/LINUX和MaSEO靠我c OS平台上工作，它可帮助用户查找Web应用中的多种安全漏洞，即使在开发或测试过程中它仍可以使用。这款测试工具便于使用，即使是渗透测试的初学者都可以掌握。

特性：

　　· 主动扫描　　· 认证支持　　· AJAX spiSEO靠我der扫描· 动态SSL证书　　· 强制浏览　　· 截取代理　　· websocket支持　　· 基于REST的API及其他

下载地址：OWASP ZAP

3-VegaVega是一个由Java写成的开源web应用测试工具，它拥有用SEO靠我户交互界面，可以在Windows、linux、Mac OS上使用，它可以帮助用户查找到：

　　· 寻找SQL注入　　· 验证SQL注入　　· 文件泄露　　· 跨站脚本注入（XSS）　　· 提高TLS服务器安全性

该工具也允许用户设置偏SEO靠我好，比如每秒最多/最少请求数、子路径数和节点数。一旦提供了合法证书，用户就可以把Vega当做主动扫描器使用，用来拦截并扫描代理。

下载地址：Download

4-W3afW3af是一个流行的web应用安全SEO靠我测试框架。它由python写成，可以提供一个高效且针对web应用的渗透测试平台。

该工具可检测出超过200种web应用安全问题，包括SQL注入和跨站脚本注入。他改回在web应用中检测下列漏洞：

　　· SQL盲SEO靠我注（Blind SQL Injection）· 缓存溢出　　· 多重跨域资源共享的错误配置（Multiple CORS misconfigurations）　　· 不安全的DAV配置　　· CSRF漏洞及其他

W3af拥有SEO靠我用户交互界面和控制台界面，方便用户理解。他还支持用户使用认证模块验证网站。

下载地址：w3af download | SourceForge.net

 

5-Skipfish

Skipfish是一个递归爬取网站SEO靠我、查找每个页面的潜在漏洞并最终出具审查报告web应用安全测试工具。它由C语言编写，旨在充分使用HTTP并留下最少的CPU痕迹。

这款软件自称可以每秒请求2千次，并且不显露CPU痕迹。它还宣称，为了提供高SEO靠我质量的正面效果，它会在爬取测试web应用时使用探试法。这款工具可在Linux, FreeBSD, Mac OS X, Windows.上使用。

下载地址：https://code.google.com/SEO靠我archive/p/skipfish/downloads?page=1

6-Ratproxy

作为一个开源web项目安全测试工具，Ratproxy可被用来查找web应用中的任何漏洞，从而保证应用免受黑客攻SEO靠我击。该半自动型测试软件可在Linux, FreeBSD, MacOS X, Windows (Cygwin) 系统上运行。

Ratproxy旨在解决用户在使用其他代理软件过程中常会碰到的安全问题。它可以SEO靠我轻易分辨CSS样式和JavaScript 代码。

下载地址：https://code.google.com/archive/p/ratproxy/downloads

7-SQLMapSQLMap是一个流行SEO靠我的开源web应用安全测试工具，它可以自动地在目标网站中执行检测并利用网站数据库中的SQL注入漏洞。它包含多种特性，且拥有一个强劲引擎，可以毫不费力地执行渗透并对web应用的SQL注入漏洞进行查找。

SQSEO靠我LMap支持很多数据库服务，包括MySQL, Oracle, PostgreSQL, Microsoft SQL 服务器等等。并且，该测试工具支持六种SQL注入的方法。

下载地址：GitHub - sqSEO靠我lmapproject/sqlmap: Automatic SQL injection and database takeover tool

8-WfuzzWfuzz使用python开发，它被用来暴力破SEO靠我解web应用，拥有以下特性：

　　· 多重注入点　　· 输出结果到HTML　　· cookies模糊测试　　· 多线程　　· 代理支持　　· SOCK支持　　· 认证支持　　· 全参数暴力破解（POST和GET方法）　　· 基线请求（用来过滤结果）　　· 暴力破SEO靠我解HTTP方法· 多重代理支持　　· HEAD扫描　　· POST,HEAD和认证数据暴力破解

使用WFuzz时，用户需要在命令行界面工作，它没有可用的用户交互界面。

下载地址：Release Wfuzz 2.4.6 SEO靠我- The Web fuzzer · xmendez/wfuzz · GitHub

9-Grendel-Scan

该安全测试工具旨在查找web应用中的安全漏洞，支持 Windows, Linux, andSEO靠我 Macintosh平台，使用java开发。

它自带一个自动测试模块，可自动检测web应用中的安全漏洞，该软件同样包含很多特性，尤其针对人工渗透测试。

下载地址：GitHub - IFGHou/GrendSEO靠我el-Scan: A tool for automated security scanning of web applications. Many features are also present SEO靠我for manual penetration testing.

10-Arachni该开源安全测试工具旨在帮助渗透测试人员和管理员对web应用的安全程度进行评估。它被用来查找web应用的安全漏洞并使应用SEO靠我免受黑客入侵。Arachni可以检测出：

　　· SQL注入　　· 跨站脚本注入　　· 本地文件包含　　· 远程文件包含　　· 未验证的重定向及其他

Arachni可支持所有主流操作系统，比如MS Windows, Mac OS X,SEO靠我 and Linux.

下载地址：Download - Arachni - Web Application Security Scanner Framework

11-Grabber该软件针对小型web应SEO靠我用进行扫描，比如论坛或个人网站。它可以检测出下列漏洞：

· 跨站脚本注入　　· SQL注入　　· 文件包含　　· 备用文件验证　　· 简单AJAX验证　　· 针对PHP应用的PHP-SAT混合分析测试　SEO靠我　· 为数据测试生成文件

Grabber是一种小型测试工具，在测试大型应用时会花费更多的时间。而且，因为它设计的目的是满足个人使用，所以该扫描器没有用户交互界面和PDF报告生成功能。Grabber是用pSEO靠我ython开发的，使用者可根据需求查找源代码并修改。

 

下载地址：Grabber! Like a Petit Pimouss  

12-Acunetix

目前流行的收费型渗透测试软件，由于现在的绿色版功能有待提高SEO靠我，这里不提供下载。

 

13-Netsparker 可检查出致命漏洞，比如SQL注入、跨站脚本注入等。

特性：

· 可扫描任何web相关应用　　· 覆盖超过1000+漏洞　　· 用户可查看代码相关错误　　· 生成SEO靠我合规性和web应用

 

载地址（绿色版）：https://www.ddosi.com/b170/14-Metasploit 开源测试平台，可为安全测试工程师提供安全评估帮助，甚至更多。

特性：

· 该软件框架比竞SEO靠我品更先进　　· 拥有1500+的漏洞　　· 为离散任务创建元模块，比如网络分割测试　　· 可用于多种进程的自动化　　· 许多渗透方案模型特性

 

下载地址：https://github.com/rapid7SEO靠我/metasp ... /Nightly-Installers  

15-Burp Suite 虽然收费但是特性优秀：

· 尖端的web应用爬虫　　· 覆盖100+漏洞　　· 可用来进行玻璃盒测试（IAST）　SEO靠我　· 在客户端javascript使用静态和动态技术对javascript进行分析，检测漏洞　　· 使用OOB技术增强常规扫描方法

 

下载地址：BurpSuite2021.5.1破解版 - 独自等待

最后感SEO靠我谢每一个认真阅读我文章的人，礼尚往来总是要有的，虽然不是什么很值钱的东西，如果你用得到的话可以直接拿走：

这些资料，对于【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴上万个测试工程师SEO靠我们走过最艰难的路程，希望也能帮助到你!有需要的小伙伴可以点击下方小卡片领取