幾款免費的網站弱點掃描軟體
sqlmap
https://github.com/sqlmapproject/sqlmap免費
命令列執行 (無視窗介面)
python 撰寫,主要針對網站的 SQL Injection 問題掃描
這個是最常被使用的掃描工具,一些漏洞回報網站常可看到回報者使用這套程式掃到 SQL Injection 問題,如 HITCON ZeroDay
OpenDoor
https://github.com/stanislav-web/OpenDoor免費
命令列執行 (無視窗介面)
python 撰寫,
OpenDoor OWASP is console multifunctional web sites scanner. This application find all possible ways to login, index of/ directories, web shells, restricted access points, subdomains, hidden data and large backups. The scanning is performed by the built-in dictionary and external dictionaries as well. Anonymity and speed are provided by means of using proxy servers.
使用字典檔掃描常見的檔名與目錄,如 http://xxx.com/.git , http://xxx.com/phpmyadmin , /admin/ ... 找看看有無資訊洩漏的網址或檔案
Heimdall
https://github.com/ygorsimoes/heimdallfree
Pythone 撰寫,類似 OpenDoor,掃描 web 中各個可能造成資訊洩漏的網址或檔案
OWASP ZAP
Zed Attack Proxyhttps://www.zaproxy.org/
free
視窗介面
Java 撰寫,視窗畫面,有 Windows / MacOS / Linux 版本,有中文介面
OWASP (Open Web Application Security Project)官方提供的滲透測試,
除了掃描 OWASP top 10 問題,還有 cookie 問題、http header、CSRF...問題
掃描完有一份 html 報告
Burpsuite
https://portswigger.net/burp有 Community 免費版
視窗介面
GScan
https://github.com/grayddq/GScanFree,
Python 2/3 撰寫,簡體中文
命令列執行 (無視窗介面)
主要是針對 Linux 主機檢測是否有安全性問題
檢測項目包括:
文件類安全掃描、系統重要文件完整行掃描、臨時目錄文件安全掃描 、用戶目錄文件掃描、可疑隱藏文件掃描...
CUP和內存使用異常進程排查 5.2,隱藏進程安全掃描 5.3,反彈殼類進展掃描 5.4,惡意進展信息安全掃描 5.5,進展對應的文件安全掃描 6,網絡類安全檢測 6.1,境外IP鏈接掃描 6.3,惡意特徵鏈接掃描 6.4,網卡隨機模式檢測 7,後門類檢測 7.1,LD_PRELOAD後門檢測 7.2,LD_AOUT_PRELOAD後門檢測 7.3,LD_ELF_PRELOAD後門檢測 7.4,LD_LIBRARY_PATH後門檢測 7.5,ld.so.preload後門檢測 7.6,PROMPT_COMMAND後門檢測 7.7,Cron後門檢測 7.8,別名
SSH後門檢測......etd.conf後門檢測 7.13,setUID後門檢測 7.14、8種系統啟動項後門檢測 8,賬戶類安全排查 8.1,root權限賬戶檢測 8.2,空密碼賬戶檢測 8.3,sudoers文件用戶權限檢測 8.4,查看各賬戶下登錄公鑰 8.5,賬戶密碼文件權限檢測 9,日誌類安全分析 9.1,安全登陸日誌 9.2,wtmp登陸日誌 9.3,utmp登陸日誌 9.4,lastlog登陸日誌 10,安全配置類分析 10.1,DNS配置檢測 10.2,Iptables防火牆配置檢測、主Rootkit分析、WebShell類文件掃描
teler
https://github.com/kitabisa/telerFree,
Go 撰寫
命令列執行 + Web介面
an real-time intrusion detection and threat alert based on web log that runs in a terminal with resources that we collect and provide by the community. ️
不過 web log 格式 (log_format) 要先做一下設定