漏洞扫描程序有助于快速发现漏洞,如SQL注入漏洞、CSRF和缓冲区溢出。 以下是一些常见的漏洞扫描工具。
Fortify代码审核工具fortify SCA (fortifystaticcodeanalyzer )是一个提供静态源代码扫描功能的软件代码安全测试工具,它提供语义、结构、数据流、 与分析过程中特定的软件安全漏洞规则集完全匹配、搜索、扫描源代码中存在的安全漏洞并生成报告。
福利软件是收费的。 个人使用时可以看到有无解密版。 软件使用规则已安装在Coreconfigrules上。
软件的使用步骤如下图所示。
Burp Suite Burp Suite是一个用于攻击web APP应用程序的集成平台,包含许多工具。
模块由Proxy拦截浏览器http会话的内容,为其他模块功能提供数据Target站点的地图,主要显示信息。 例如,如果默认记录浏览器访问的所有页面,并通过Spider模块进行扫描,则可以看到爬行器爬行的页面以及各页面的请求标头和响应信息。 spiderweb爬虫完全列举了APP应用程序的内容和功能。 Scanner帮助测试人员发现web APP应用程序的安全漏洞。 Intruder是一种高度可配置的工具,最重要的是配置Attack Type、程序变量和词典,它可以自动攻击web APP应用程序并对格式字符(如URL、HEX和HTML )进行编码或解码比较器字符串比较器。 可以快速发现两个字符串之间的差异。 RepeaterHTTP请求编辑工具。 有关其他解决中文乱码、恢复默认选项、使用插件功能安装以及使用简单方法的信息,请访问https://www.cn blogs.com/zew utest/p/13895187.html
AWVS自动化的web APP应用安全测试工具。 可以通过web浏览器访问并扫描符合HTTP/HTTPS规则的网站和APP应用程序。
AppScan AppScan是IBM的web APP应用安全测试工具,它是常见的www,如SQL-injection、cross-site scripting和缓冲区溢出(bufferoverflling )
从属检查从属检查-检查是开放webapplicationsecurityproject (owasp )的一个实用的开放源代码程序,它标识项目依赖关系,并显示已知漏洞目前支持用Java、 NET、Ruby、PHP、Node.js和Python等语言编写的程序,对C/C构建系统(autoconf和cmake )的支持有限。 此工具也是OWASP Top 10解决方案的一部分。
工具链接: https://github.com/Jeremy long/dependency check
使用命令:
./cli/target/release/疯狂荷包蛋/dependency-check.sh-h./CLI/target/release /疯狂荷包蛋/dependency-check . 支持25种以上的语言(如CSS ),并可集成到IDE、Jenkins和Git等服务中,以便随时查看代码质量分析报告。
下载地址: https://www.sonar qube.org/downloads /,安装、配置和使用网上有很多教程和计划,可以自己使用谷歌和百度。
有些是我自己用过这些工具,有些只是总结一下。 仅供参考。 然后,遇到新的漏洞分析和扫描工具,继续补充,欢迎读者的补充和建议。