Symantec Internet Security Threat Report 2017 a soulevé son site Web balayé cette année, 76 pour cent des logiciels malveillants. Si vous utilisez WordPress, Sucuri rapport distinct a également montré que plus de 70% des sites sont analysés et il y a aussi une ou plusieurs vulnérabilités.
Si vous arrive d'être le propriétaire d'une application réseau, comment assurer que votre site est sûr et ne pas divulguer des informations sensibles?
Si la solution de sécurité basée sur le cloud, alors vous ne devrez peut-être balayage de fuite de routine. Mais sinon, il faut effectuer une analyse de routine, de prendre les mesures nécessaires pour réduire les risques de sécurité.
Bien sûr, de nombreuses fonctions du scanner de paie sera contient sortie du rapport plus complet, rigoureux, alarme, guides d'urgence détaillés et des fonctionnalités supplémentaires.
Le plus grand inconvénient est le logiciel de base de données de vulnérabilité d'outils open source ne peut être payé moins complète.
1. Arachnia
Arachni est un cadre basé sur Ruby pour scanner de sécurité haute performance conçu pour des applications Web modernes. Il peut être utilisé pour les systèmes Mac, Windows et Linux, fichier binaire portable.
Arachni ne peut pas analyser uniquement le site statique de base ou CMS, est également capable de faire l'identification de ces plates-formes d'informations d'empreintes digitales ((numéro de série disque dur et l'adresse physique de la carte réseau)) de. Et prend en charge les inspections de contrôle actif et passif.
Windows, Solaris, Linux, BSD, Unix
Nginx, Apache, Tomcat, IIS, jetée
Java, Ruby, Python, ASP, PHP
Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony
Détection des vulnérabilités de type comprennent généralement:
NoSQL / aveugle / SQL / code / LDAP / commande / XPath 注入
falsification de demande intersite
chemin Traversal
Inclusion de Fichier Local / Remote
response splitting
Cross-site scripting
DOM redirect Unverified
Code source Divulgation
En outre, vous pouvez sélectionner le code HTML de sortie, XML, texte, JSON, YAML et autres formats de rapports d'audit.
aide Arachni nous sous la forme de modules d'extension pour étendre la plage de balayage à un niveau plus profond.
2. XssPy
Un puissant fait est, Microsoft, Stanford, Motorola, Informatica, et de nombreuses grandes entreprises utilisent ce XSS base python (cross site scripting) scanner de vulnérabilité. Ses écrivains talentueux Faizan Ahmad, XssPy est un outil très intelligent, non seulement de vérifier la page d'accueil ou une page donnée, mais aussi être en mesure de vérifier tous les liens sur le site et les sous-domaines. Par conséquent, XssPy très détaillé et la numérisation large gamme.
3. w3af
w3af est de la fin de 2006 pour démarrer un projet open source en Python, disponible pour les systèmes Linux et Windows. w3af 200 capable de détecter de multiples vulnérabilités, y compris la partie supérieure de OWASP 10 mentionné.
w3af peut vous aider à injectez l'en-tête de charge utile, URL, les cookies, les chaînes de requête, les données post, etc., pour vérifier l'utilisation d'une application Web et prend en charge différentes méthodes d'enregistrement pour compléter le rapport, par exemple:
CSV
HTML
Console
Texte
XML
Ce programme est construit sur une architecture plug-in, toutes les adresses des plug-ins disponibles: cliquez ici.
4. Personne
Je crois que beaucoup de gens Nikto est pas étranger, ce qui est fait Netsparker (spécialisée dans la société du scanner de sécurité Web dont le siège est coordonnée au Royaume-Uni) a parrainé projet open source, visant à découvrir une erreur de configuration du serveur Web, les plug-ins et des vulnérabilités Web. risque Nikto pour plus de 6.500 projets a effectué des essais complets. HTTP support de proxy, SSL ou l'authentification NTLM, etc., mais aussi pour déterminer le temps d'exécution maximum de chaque balayage cible.
Nikto applique également à Kali Linux.
Nikto Trouver des risques de sécurité du serveur Web dans les solutions de réseaux d'entreprise dans les perspectives d'application très large.
5. Wfuzz
Wfuzz (Web Fuzzer) est un outil d'évaluation de pénétration des applications seront utilisées. Il peut obfuscate HTTP demande de données dans tous les domaines, un examen des applications Web.
Wfuzz Python est installé sur l'ordinateur en cours d'analyse. L'utilisation de lignes directrices spécifiques se trouvent dans ce: lien.
6. OWASP ZAP
ZAP (Zet Attaque Proxy) est les centaines de monde de programmeurs bénévoles dans l'un des fameux outil pour les tests de pénétration d'entretien de mise à jour positive. Il est un outil Java multi-plateforme, même courir sur Raspberry Pi. ZAP entre le navigateur et l'application Web pour intercepter et de surveiller les messages.
ZAP est utile de mentionner d'excellentes caractéristiques:
fuzzer
Automatique et balayage passif
En charge plusieurs langages de script
navigation forcée (navigation forcée)
7. Wapiti
Wapiti numériser une page de destination spécifique, recherchez les scripts et les formulaires peuvent injecter des données afin de vérifier l'existence des failles. Il n'est pas le code source pour le contrôle de la sécurité, mais exécute le balayage de la boîte noire.
GET support et méthode de requête HTTP POST, HTTP et HTTPS certification proxy et multiple.
8. Vega
Vega a été développé par sous-graphe, un sous-graphe est multi-plateforme écrite dans les outils de support Java pour trouver XSS, SQLi, RFI et bien d'autres lacunes.
Vega GUI apparence relativement. Il peut effectuer des analyses automatiques après une application par une informations de connexion particulier.
Si vous comprenez le développement, l'attaque peut également créer une nouvelle utilisation du module API vega.
9. sqlmap
Comme son nom l'indique, nous pouvons effectuer des tests de pénétration et la base de données de vulnérabilité pour trouver de l'aide sqlmap.
le support de Python sur tout système d'exploitation 2.6 ou 2.7. Si vous êtes à la recherche de bases de données et les exploits injection SQL, sqlmap est un bon assistant.
10. Grabber
Il est aussi un Python fait un bon travail de gadgets. Voici quelques-unes des caractéristiques:
analyseur JavaScript code source
Cross-site scripting, injection SQL, stores SQL
Utiliser les tests d'applications PHP PHP-SAT
Télécharger: cliquez ici.
11. Golismero
Voici quelques outils de sécurité populaires d'un cadre pour gérer et exécuter Wfuzz, recon DNS, sqlmap, openvas, analyseur robotique et ainsi de suite.
Golismero très intelligent, capable d'intégrer d'autres outils de rétroaction de test, la sortie d'un résultat unifié.
12. OWASP Xenotix XSS
Xenotix XSS OWASP est un cadre de haut niveau pour la recherche et l'utilisation de scripts inter-site, il a construit trois contrôleur flou intelligent pour les résultats d'analyse et d'optimisation rapide.
Cet outil a des centaines de fonctions
La sécurité du réseau est essentiel pour les entreprises en ligne, je l'espère au-dessus de ces programmes de balayage sans vidange peut aider nos lecteurs à découvrir le risque, la correction des vulnérabilités est terminée avant d'être utilisé dans une personne malveillante.
tests de pénétration de la sécurité intérieure et le site Web, le résumé du produit de balayage de vulnérabilité Daquan
En 2016 site montre le rapport de sécurité que les sites Web nationaux tous les jours en étant noir est lié à la Malaisie a augmenté à 20 millions de pages, la sécurité du site est de plus en plus importante, en particulier l'apprentissage a souligné à plusieurs reprises beaucoup Wuzhen Conférence Internet sur la sécurité Internet, de plus en plus conférence sur la sécurité Internet, les bulletins de nouvelles de CCTV nouvelles souvent liées à la sécurité, mais comment savoir si un site est sécurisé, ce qui a besoin d'un utilitaire tiers à analyser, suite à l'introduction de la plus célèbre à la maison et à l'étranger à propos de la liste des produits d'analyse de pénétration de sécurité.
tests de pénétration de la sécurité des sites étrangers, les produits d'analyse de la vulnérabilité:
Nessus: Nessus est la vulnérabilité du monde du système le plus largement utilisé la numérisation et le logiciel d' analyse. Au total, plus de 75.000 organisations utilisent Nessus pour scanner l'institution en tant que logiciel de systèmes informatiques.
nmap: nmap est beaucoup d'outils pirates aiment à utiliser, les pirates utilisent nmap pour recueillir les paramètres réseau de l'ordinateur cible afin que la méthode prévue d'attaque.
VeraCode: VeraCode fournit une plate - forme de test de sécurité des applications en nuage. Pas besoin d'acheter du matériel, aucun logiciel à installer, les clients peuvent immédiatement commencer à utiliser les applications de test et assainissement, en plus VeraCode fournit des services automatisés de statiques et de logiciels de test de sécurité des applications dynamiques et d' assainissement.
CAIN: très mis sur les techniques de craquage de mot de passe,
AppScan: IBM AppScan est développé pour l' infrastructure d'applications Web de numérisation, mais aussi les reports de pénétration de l' industrie de la sécurité des produits de poignée,
Nikto: Nikto est une page web open source (GPL) le scanner de serveur, il peut être plus serveur Web complet pour la numérisation,
parosproxy: parosproxy, qui est une vulnérabilité d'applications Web évaluation des programmes proxy;
WebScarab: WebScarab détecte session d'enregistrement contenu, la boîte utilisateur formes à visualiser les documents
WebInspect: la pénétration des produits de sécurité de HP, en cours d' exécution gourmandes en mémoire, Xiaojiabiyu sur la prudence,
Moustaches: Moustaches est un scanner libwhisker base, mais maintenant nous avons tous tendance à utiliser Nikto, il est également basé sur le libwhisker.
BurpSuite: information des professionnels de la sécurité est un outil de test de pénétration intégré essentiel que ces utilisations test en mode test semi-automatique et automatique;
Wikto: Wikto est un outil d'analyse de la vulnérabilité basée sur le Web écrit en C #;
Acunetix Web Vulnerability Scanner :( appelé AWVS) est un outil d'analyse de vulnérabilité réseau bien connu, il teste votre site Web sécurisé par un robot web, populaire détecter les failles de sécurité,
N-Stealth: N-Stealth est une sécurité du serveur Web commercial scanner.
Nessus
Nessus: Nessus est la vulnérabilité du monde du système le plus largement utilisé la numérisation et le logiciel d' analyse. Au total, plus de 75.000 organisations utilisent Nessus pour scanner l'institution en tant que logiciel de systèmes informatiques.
En même temps sur une commande locale ou à distance à distance, l'analyse de vulnérabilité de système de balayage. Son efficacité opérationnelle et peut se régler avec les ressources du système. Si l'hôte pour ajouter d' autres ressources (telles que la vitesse du processeur pour accélérer ou augmenter la taille de la mémoire), en raison de sa riche performances d'efficacité des ressources peut être améliorée, peut être prise définie (Plug-in) auto, un support complet pour le protocole SSL (Secure Socket Layer).
nmap
peuvent numériser rapidement les grands réseaux, une nouvelle façon d'utiliser les paquets IP bruts pour détecter quel hôte sur le réseau, les hôtes de fournir les services (nom de l' application et la version) ces services en cours d' exécution sur ce système d'exploitation (y compris les informations de version), ils utilisent ce type de filtres de paquets / pare - feu, et un tas d'autres fonctions. Alors que Nmap est utilisé pour les audits de sécurité, de nombreux administrateurs système et les administrateurs réseau peuvent également l' utiliser pour faire un travail de routine, telles que l' affichage des informations sur le réseau, la gestion du service de mise à niveau des plans et des hôtes de surveillance opérationnelle et des services.
En plus de la table de ports, Nmap peut fournir plus d' informations sur la machine cible, y compris inverse nom de domaine, une approximation du système d'exploitation, les types de dispositifs, et l' adresse MAC. 
VeraCode
VeraCode fournit une solution évolutive et la planification de la sécurité logicielle rentable pour les développeurs, le processus et la technologie. VeraCode fournit une plate - forme de test de sécurité des applications en nuage. Pas besoin d'acheter du matériel, aucun logiciel à installer, les clients peuvent immédiatement commencer à utiliser les applications de test et assainissement, en plus VeraCode fournit des services automatisés de statiques et de logiciels de test de sécurité des applications dynamiques et d' assainissement. Il y a: VeraCode analyse de statique statique, VeraCode analyse de dynamique dynamique, VeraCode DynamicMP dynamique multi-processeurs, l' analyse du renseignement d'application VeraCode Analytics, responsable de la stratégie de sécurité réseau politique Veracode, outils de test d'interface de programme d'application VeraCode API.
CAIN
écran de crack, mots de passe de PWL, les mots de passe de partage, les mots de passe mis en cache, mots de passe de partages distants, mot de passe SMB, support VNC Password décodeur, Cisco type 7 Mot de passe décodeur, Base64 Mot de passe décodeur, SQL Server 7.0 / 2000 Mot de passe décodeur, mot de passe de bureau à distance du décodeur, accès base de données décodeur de mot de passe, Cisco PIX décodeur de mot de passe du pare - feu, le décodage MD5 Cisco, session NTLM décodeur de mot de passe de sécurité, IKE mode agressif décodeur de mot de passe clés pré-partagées, décodeur de mot de passe d' accès à distance, à distance le mot de passe de bureau décodeur outil complet, vous pouvez également à distance peut pirater accrocher Dictionnaire et la force brute.
Son renifleur extrêmement puissant peut capturer tous les mots de passe de compte dans le texte brut, y compris FTP, HTTP, IMAP, POP3, SMB, TELNET, VNC, TDS, SMTP, MSKERB5- PREAUTH, MSN, RADIUS-clés, RADIUS UTILISATEURS, ICQ, IKE agressif Mode clés pré-partagées authentifications, etc.
AppScan
AppScan est développé par IBM pour les applications Web d' analyse infrastructure pour les tests de vulnérabilité de sécurité et fournir des rapports et des recommandations pratiques. des capacités d'analyse de AppScan, mises à jour de patch zero-day, des assistants de configuration et des systèmes de rapports détaillés ont été intégrés, la facilité d'utilisation, améliorer la productivité des utilisateurs, aide à protéger l'infrastructure de sécurité et de l' application Web. 
Nikto:
Ceci est un scanner de serveur Web open source, il peut être une variété de projets pour le serveur Web (y compris 3500 fichiers potentiellement dangereux / CGI, ainsi que plus de 900 version du serveur et des problèmes spécifiques de la version sur plus de 250 serveurs ) pour effectuer un test complet. Balayer les articles et les plug - ins qui est fréquemment mis à jour et peut être mis à jour automatiquement (si nécessaire). Nikto peut tester votre serveur Web dans la période la plus courte possible, ce qui est tout à fait évident dans son fichier journal. Toutefois, si vous voulez tester (ou tester votre système IDS), il peut également soutenir les méthodes anti-IDS libwhisker.
Cependant, chaque inspection peut identifier un problème de sécurité, bien que dans la plupart des cas comme celui - ci. Certains articles ne sont que le type d'inspection des informations disponibles ( « info uniquement »), l'inspection peut trouver certains des projets ne sont pas une vulnérabilité de sécurité, mais les administrateurs Web ou des ingénieurs de sécurité ne savent pas. Ces éléments peuvent généralement être marqués de façon appropriée. Il nous permet d' économiser beaucoup d'ennuis. 
parosproxy
Agent parosproxy Ceci est une évaluation continue de la vulnérabilité des applications Web, qui est un agent Web Java, vous pouvez évaluer la vulnérabilité des applications Web. Il prend en charge l' édition dynamique / affichage HTTP / HTTPS, changeant ainsi les biscuits et les champs de formulaire et d' autres projets. Il comprend un enregistreur de trafic Web, programme de caisse claire Web (araignée), calculatrice de hachage, et un scanner peut tester les attaques d'applications Web courantes (telles que les attaques par injection SQL et des attaques de script inter-sites). L'outil examine les formes de vulnérabilité comprennent: injection SQL, les attaques de cross-site scripting, directory traversal, CRLF - Retour chariot Line- Flux chariot saut de ligne de retour.
WebScarab
il peut être analysé en utilisant le protocole HTTP et HTTPS pour les applications de communication, il peut être WebScarab forme la plus simple , il est séance d' enregistrement vu, et permet à l'opérateur de vérifier le concept de la session de diverses manières. Si vous avez besoin d'observer un état de fonctionnement basé sur les applications HTTP (S), alors vous WebScarabi pour répondre à ce besoin. Que ce soit pour aider les développeurs déboguer d' autres aspects du problème, ou permettre à des professionnels de la sécurité pour identifier les vulnérabilités, il est un bon outil.
WebInspect
grand produits d'analyse de sécurité de HP, ce qui est un scanner d'applications Web puissant. SPI Dynamics de cet outil d'évaluation de la sécurité des applications Web aide à identifier l' application des vulnérabilités connues et inconnues. Il peut également vérifier un serveur Web est correctement configuré, et essayer des attaques Web courantes, telles que l' injection de paramètres, cross-site scripting, attaques traversal (répertoire répertoire traversal), et ainsi de suite.
Burpsuite
Burp Suite est une plate - forme intégrée pour attaquer les applications web. Il contient un certain nombre d'outils, et conçu un certain nombre d'interfaces de ces outils pour faciliter le processus d'application pour accélérer l'attaque. Tous les outils sont capables de traiter et d' afficher un message HTTP partagés, la persistance, l' authentification, journal proxy, une alarme cadre puissant et extensible. 
Wikto
peut dire que c'est un outil d'évaluation du serveur Web qui permet de vérifier les vulnérabilités du serveur Web, et offre de nombreuses fonctionnalités comme Nikto, a ajouté de nombreuses fonctionnalités intéressantes section, comme le mineur back-end et une intégration étroite Google. Il est HTTP: // MS.NET environnement à écrire, mais les utilisateurs ont besoin d'enregistrer pour télécharger les binaires et le code source.
Acunetix vulnérabilité Web Scanner
appelé WVS, qui est un scanner de vulnérabilité Web de qualité commerciale, qui peut vérifier les vulnérabilités des applications Web telles que l' injection SQL, les attaques de cross-site scripting, faible longueur de mot de passe sur la page d'authentification. Il a un fonctionnement pratique d'une interface utilisateur graphique, et la possibilité de créer le site Web de niveau professionnel rapport d'audit de sécurité. 
N-Stealth
N-Stealth est un programme de numérisation de sécurité du serveur Web commercial. Il est, comme plus de quelques gratuitement Scanner Web Moustaches / libwhisker, Nikto et d' autres fréquences mises à niveau, il prétend contient « 30.000 vulnérabilités et failles dans le programme », ainsi que « de plus en plus tous les jours pour vérifier un grand nombre de lacunes » , mais cet argument est discutable . Notez également que la quasi - totalité des outils généraux VA tels que Nessus, ISS Internet Scanner, Retina, SAINT, Sara et ainsi contenir des composants d'analyse Web. (Bien que ces outils ne sont pas toujours en mesure de garder le logiciel mis à jour, pas nécessairement très flexible.) Principal fournisseur N-Stealth de balayage pour la plate - forme Windows, mais ne fournit pas le code source.
Comme Nessus, ISS Internet Scanner, Retina, SAINT, Sara donc Web comprenant des moyens de balayage. (Bien que ces
outils ne sont pas toujours en mesure de garder le logiciel mis à jour, pas nécessairement très flexible.) Principal fournisseur N-Stealth de balayage pour la plate - forme Windows, mais
ne fournit pas le code source.
tests de pénétration de la sécurité des sites Web nationaux, produits d'analyse de vulnérabilité:
Huawei: les principaux secteurs d'activité du pare - feu, détection / prévention d' intrusion intrusion, gestion unifiée des menaces, anti-DDoS, VPN, nuage WAF.
Venus: Les principales zones d'affaires les pare - feu, l' isolation du réseau, la détection / prévention des intrusions intrusion, la gestion unifiée des menaces, anti-DDoS, sécurité de base de données, prévention des fuites de données, analyse de vulnérabilité, SOC et NGSOC et pour évaluer et renforcer les services d'exploitation de sécurité et de maintenance.
Profondément convaincu: les principaux secteurs d'activité, pare - feu, la gestion unifiée des menaces, la gestion du comportement Internet, VPN, sécurité du terminal mobile.
Ligue verte et de la technologie: Les principaux secteurs d'activité, pare - feu, détection / prévention des intrusions intrusion, la gestion unifiée des menaces, la sécurité hôte (vérification de la configuration, la protection de l' hôte), anti-DDoS, la sécurité de base de données, l' analyse de la vulnérabilité, l' analyse des applications Web et de surveillance, pare - feu d'application Web et la sécurité consultation, l' évaluation et le renforcement de la sécurité d' exploitation et d'entretien.
360 Enterprise Security: Les principaux domaines d'activité des pare - feu, l' isolation du réseau, la réponse de détection de terminal EDR, l' analyse des applications Web et de surveillance, WAF - Cloud, la sécurité mobile APP, renseignement des menaces, sécurité, grande analyse des données (APT), SOC & NGSOC, et fournir des services de test de pénétration.
AsiaInfo Sécurité: Les principaux secteurs d'activité, la gestion unifiée des menaces, la sécurité hôte (vérification de la configuration, la protection de l' hôte), le terminal et la protection anti-virus, les données prévention des fuites, la machine forteresse / fonctionnement et l' entretien, la sécurité terminal mobile, anti-phishing, SOC & NGSOC.
Westone: Les principaux secteurs d'activité: pare - feu, détection / prévention des intrusions intrusion, VPN, cryptage des données, la sécurité des documents, la machine de cryptage.
Talent: Les principaux secteurs d'activité, les pare - feu, l' isolement du réseau, la détection / prévention des intrusions intrusion, gestion des comportements Internet, VPN et l' évaluation et le renforcement des services d'exploitation de sécurité et de maintenance.
H3C: Les principaux secteurs d'activité pare - feu, détection / prévention des intrusions intrusion, la gestion unifiée des menaces et VPN.
Arnhem: Les principaux secteurs d'activité de la sécurité des bases de données, l' analyse des applications Web et de surveillance, pare - feu d'application Web, grande analyse des données (connaissance de la situation), le niveau des outils de protection.