最佳在线网站漏洞扫描程序
Posted: Mon Mar 24, 2025 9:58 am
当今相当常见的一种软件类型是网络应用程序扫描器。这些工具有付费的,也有免费的。每个方法都有一组特定的特征,可以检查在线站点的不同类型的漏洞。一些扫描程序仅在 OWASP Top Ten(开放式 Web 应用程序安全项目)中发布,而其他扫描程序则执行更深入的黑盒测试。
接下来,我们将介绍 7 种最常见、经过试验和测试的扫描仪。它们每个都在两个平台(.NET 和 php)的独立点上进行了测试:premium.pgabank.com 和 php.testsparker.com。
OWASP ZAP
OWASP ZAP
顾名思义,OWASP ZAP 是由 OWASP 出 俄罗斯电话号码数据 品的。这是一个免费的扫描仪,可以确定渗透到系统的可能性并寻找网络应用程序中的弱点。
OWASP ZAP 的主要特点:
中间人代理。
传统和 AJAX 蜘蛛。
自动扫描仪。
被动式掃描器。
强制浏览。
模糊测试器。
扫描仪界面采用俄语设计,方便了许多用户。 OWASP ZAP 工作区由几个窗口组成。下面是包含当前任务及其解决过程的标签。左边是站点树。此外,您还可以在右侧显示请求和响应窗口的一部分。
市场允许您稍微扩展该工具的功能。
程序的每个组件都可以配置许多参数。有选项可以配置传入向量以进行主动检查、生成动态 SSL 证书、添加 HTTP 会话标识符等。
在测试期间,该工具检测到 php.testsparker.com 网站上存在盲 SQL 注入。弱点就到此为止了。在 premium.bgabank.com 上,测试网站的漏洞得到了更有趣的结果:该工具发现了服务器端包含(SSI)和反射型跨站点脚本的可能性。
所有测试结果都可以放在一份报告中(*.pdf、*.html、*.xml、*.json 格式),其中包括已识别的载体、漏洞的详细描述以及消除漏洞的方法。
接下来,我们将介绍 7 种最常见、经过试验和测试的扫描仪。它们每个都在两个平台(.NET 和 php)的独立点上进行了测试:premium.pgabank.com 和 php.testsparker.com。
OWASP ZAP
OWASP ZAP
顾名思义,OWASP ZAP 是由 OWASP 出 俄罗斯电话号码数据 品的。这是一个免费的扫描仪,可以确定渗透到系统的可能性并寻找网络应用程序中的弱点。
OWASP ZAP 的主要特点:
中间人代理。
传统和 AJAX 蜘蛛。
自动扫描仪。
被动式掃描器。
强制浏览。
模糊测试器。
扫描仪界面采用俄语设计,方便了许多用户。 OWASP ZAP 工作区由几个窗口组成。下面是包含当前任务及其解决过程的标签。左边是站点树。此外,您还可以在右侧显示请求和响应窗口的一部分。
市场允许您稍微扩展该工具的功能。
程序的每个组件都可以配置许多参数。有选项可以配置传入向量以进行主动检查、生成动态 SSL 证书、添加 HTTP 会话标识符等。
在测试期间,该工具检测到 php.testsparker.com 网站上存在盲 SQL 注入。弱点就到此为止了。在 premium.bgabank.com 上,测试网站的漏洞得到了更有趣的结果:该工具发现了服务器端包含(SSI)和反射型跨站点脚本的可能性。
所有测试结果都可以放在一份报告中(*.pdf、*.html、*.xml、*.json 格式),其中包括已识别的载体、漏洞的详细描述以及消除漏洞的方法。