用于检查常见漏洞的工具？

是否有任何好的工具（台式机或在线工具）可让您检查您的网站是否存在常见漏洞（例如SQL Injection，XSS）？

websecurify是我发现的最好的FOSS项目。

您可能想查看Google的Skipfish，它非常全面，并且可以从您提供的词典中找到，默认值（标准/厨房水槽）也包括在内。

它也比我用过的其他工具“柔和”一点，但是我找不到具有相同功能的东西来与结果进行比较。

其编写的C，具有非常有用的输出，并且非常易于使用。我建议从任何标准的* nix服务器运行它，或者如果您有快速的连接，则从家里运行它。它还具有一个具有实时更新的智能请求队列系统。观看它的工作实际上很有趣。

它报告大多数漏洞，以及许多其他您可能不知道的问题。它有点学问，但学问对于这种工具来说是很好的质量。

结果的屏幕截图（有点旧）：

替代文字http://skipfish.googlecode.com/files/skipfish-screen.png

有许多很好的自动化开放源代码黑盒子Web应用程序漏洞扫描程序。

• w3af
• 网络安全
• 鱼
• Netsparker社区版（免费，功能有限）
• 尼克托

最好不要仅依靠一台自动扫描仪，每个扫描仪都有自己的优缺点，因此请始终运行其中的几个并比较结果。您还必须检查误报和误报。

自动化漏洞扫描很有用，但是它应始终由了解漏洞并且也可以手动检查其他漏洞的安全专业人员来备份。自动扫描是一个好的开始，但是总比没有好。

Microsoft有一个执行此操作的代码分析工具（这是第9频道的视频，这是v1 的下载链接）。Wikipedia也提供了相当不错的静态代码分析工具列表。

Google的RatProxy也是检查XSS的绝佳选择。由于它是作为代理进行设置和运行的，因此易于使用，因为在正常测试站点时，它会随浏览器一起移动。它记录所有交互，POST，GET等，并可以重播那些试图注入恶意内容的交互。重放请求后，它将检查输出中是否存在XSS的迹象。此外，它还记录了整个HTTP生命周期，可用于进一步调试。

惠普有Scrawlr用于检查常见的SQL注入漏洞。

我已经做了很长时间了，并且同意最好的解决方案是使用经验丰富的测试人员来检查您的安全配置文件，但是对这些类型的漏洞进行测试实际上很容易实现自动化。我已经管理了一个程序，可以在6个月内测试大约1000个Web应用程序，我可以说，对我来说，突出的工具是IBM的AppScan和Burp-在大多数情况下，Burp更轻，更快，更可配置，并且便宜很多！

使Burp非常容易检查输入验证失败-并解决SQL注入和XSS问题。您可以很好地涵盖这些类型的漏洞。

w3af是用于Web审核的最佳工具之一，也是FOSS

“ w3af是一个Web应用程序攻击和审核框架。该项目的目标是创建一个框架，以查找和利用易于使用和扩展的Web应用程序漏洞。”

确保尝试一下

Acunetix网络漏洞确实非常好，我已经使用过并且非常喜欢它。您可以扫描网站的XSS，SQL注入，弱上传系统等等。好好享受。