若是你刚好是某个网络应用程序的所有者，怎样才能保证你的网站是平安的、不会泄露敏感信息？

若是是基于云的平安解决方案，那么可能只需要举行通例漏扫。但若是不是，我们就必须执行例行扫描，接纳需要的行动降低平安风险。

下面推荐几款免费的扫描器。

1. Arachni

Arachni是一款基于Ruby框架搭建的高性能平安扫描程序，适用于现代Web应用程序。可用于Mac、Windows及Linux系统的可移植二进制文件。

Arachni不仅能对基本的静态或CMS网站举行扫描，还能够做到对以下平台指纹信息（(硬盘序列号和网卡物理地址)）的识别。且同时支持自动检查和被动检查。

• Windows、Solaris、Linux、BSD、Unix
• Nginx、Apache、Tomcat、IIS、Jetty
• Java、Ruby、Python、ASP、PHP
• Django、Rails、CherryPy、CakePHP、ASP.NET MVC、Symfony

一样平常检测的破绽类型包罗：

• NoSQL/Blind/SQL/Code/LDAP/Command/Path注入
• 跨站请求伪造
• 路径遍历
• 内陆/远程文件包罗
• Response splitting
• 跨站剧本
• 未验证的DOM重定向
• 源代码披露

另外，你可以选择输出HTML、ML、Text、JSON、YAML等花样的审计讲述。

Arachni辅助我们以插件的形式将扫描局限扩展到更深层的级别。

2. ssPy

一个有力的事实是，微软、斯坦福、摩托罗拉、Informatica等许多大型企业机构都在用这款基于python的SS（跨站剧本）破绽扫描器。它的编写者Faizan Ahmad才华出众，ssPy是一个异常智能的工具，不仅能检查主页或给定页面，还能够检查网站上的所有链接以及子域。因此，ssPy的扫描异常仔细且局限普遍。

3. w3af

w3af是一个从2006年年底最先的基于Python的开源项目，可用于Linux和Windows系统。w3af能够检测200多个破绽，包罗OWASP top 10中提到的。这个程序建立在一个插件架构上的。

w3af能够帮你将payload注入header、URL、cookies、字符串查询、post-data等，行使Web应用程序举行审计，且支持种种纪录方式完成讲述，例如：

• CSV
• HTML
• Console
• Text
• ML
• Email

4. Nikto

信赖许多人对Nikto并不生疏，这是由Netsparker（专做web平安扫描器企业，总部坐标英国）赞助的开源项目，旨在发现Web服务器设置错误、插件和Web破绽。Nikto对6500多个风险项目举行过综合测试。支持HTTP署理、SSL或NTLM身份验证等，还能确定每个目的扫描的最大执行时间。

Nikto也适用于Kali Linux，在企业内部网络解决方案中查找web服务器平安风险的应用远景异常广漠。

5. Wfuzz

Wfuzz（Web Fuzzer）也是渗透中会用到的应用程序评估工具。它可以对任何字段的HTTP请求中的数据举行模糊处置，对Web应用程序举行审查。

Wfuzz需要在被扫描的盘算机上安装Python。

6. OWASP ZAP

ZAP（Zet Attack Proxy）是全球数百名志愿者程序员在努力更新维护的著名渗透测试工具之一。它是一款跨平台的Java工具，甚至都可以在Raspberry Pi上运行。ZAP在浏览器和Web应用程序之间阻挡和检查新闻。

ZAP值得一提的优良功效：

• Fuzzer
• 自动与被动扫描
• 支持多种剧本语言
• Forced browsing（强制浏览）

7. Wapiti

Wapiti扫描特定的目的网页，寻找能够注入数据的剧本和表单，从而验证其中是否存在破绽。它不是对源代码的平安检查，而是执行黑盒扫描。

若是你懂开发，还可以行使vega API建立新的攻击模块。

9. SQLmap

顾名思义，我们可以借助sqlmap对数据库举行渗透测试和破绽查找。

支持所有操作系统上的Python 2.6或2.7。若是你正在查找SQL注入和数据库破绽行使，sqlmap是一个好助手。

10. Grabber

这也是一个做得不错的Python小工具。这里枚举一些特色功效：

• JavaScript源代码分析器
• 跨站点剧本、SQL注入、SQL盲注
• 行使PHP-SAT的PHP应用程序测试

11. Golismero

这是一个治理和运行Wfuzz、DNS recon、sqlmap、OpenVas、机器人分析器等一些盛行平安工具的框架。

Golismero异常智能，能够整合其它工具的测试反馈，输出一个统一的效果。

12. OWASP enotix SS

OWASP的enotix SS是一个用于查找和行使跨站点剧本的高级框架，内置了三个智能模糊器，用于快速扫描和效果优化。

这款工具有上百个功效；网络平安对于在线营业至关重要，希望上面这些免费的漏扫程序能够辅助列位读者及时发现风险，在被恶意职员行使之前即完成破绽修复。

(责任编辑：网络)