Web前端安全測試工具有哪些？

今天小編要跟大家分享的文章是關(guān)于開源Web應(yīng)用的安全測試工具匯總。Web應(yīng)用安全測試可對Web應(yīng)用程序執(zhí)行功能測試，找到盡可能多的安全問題，大大降低黑客入侵幾率。在研究并推薦一些最佳的開源Web應(yīng)用安全測試工具之前，讓我們首先了解一下安全測試的定義、功用和價值。

一、安全測試的定義

安全測試可以提高信息系統(tǒng)中的數(shù)據(jù)安全性，防止未經(jīng)批準的用戶訪問。在Web應(yīng)用安全范疇中，成功的安全測試可以保護Web應(yīng)用程序免受嚴重的惡意軟件和其他惡意威脅的侵害，這些惡意軟件和惡意威脅可能導致Web應(yīng)用程序崩潰或產(chǎn)生意外行為。

安全測試有助于在初始階段解決Web應(yīng)用程序的各種漏洞和缺陷。此外，它還有助于測試應(yīng)用程序的代碼安全性。Web安全測試涵蓋的主要領(lǐng)域是：

認證方式

授權(quán)書

可用性

保密

一致性

不可否認

二、安全測試的目的

全球范圍內(nèi)的組織和專業(yè)人員都使用安全測試來確保其Web應(yīng)用程序和信息系統(tǒng)的安全性。實施安全測試的主要目的是：

幫助提高產(chǎn)品的安全性和保質(zhì)期

在開發(fā)初期識別并修復各種安全問題

評估當前狀態(tài)下的穩(wěn)定性

三、為什么我們需要重視Web安全測試

避免性能不一致

避免失去客戶信任

避免以安全漏洞的形式丟失重要信息

防止身份不明的用戶盜竊信息

從意外故障中恢復

節(jié)省解決安全問題所需的額外費用

目前市場上有很多免費、付費和開源工具可用來檢查Web應(yīng)用程序中的漏洞和缺陷。關(guān)于開源工具，除了免費之外，最大的優(yōu)點是可以自定義它們，以符合您的特定要求。

以下，是我們推薦的十大開源安全測試列表：

1、Arachni

Arachni面向滲透測試人員和管理員的旨在識別Web應(yīng)用程序中的安全問題。該開源安全測試工具能夠發(fā)現(xiàn)許多漏洞，包括：

無效的重定向

本地和遠程文件包含

SQL注入

XSS注射

主要亮點：

即時部署

模塊化，高性能Ruby框架

多平臺支持

2、劫掠者

便攜式Grabber旨在掃描小型Web應(yīng)用程序，包括論壇和個人網(wǎng)站。輕量級的安全測試工具沒有GUI界面，并且使用Python編寫。Grabber發(fā)現(xiàn)的漏洞包括：

備份文件驗證

跨站腳本

文件包含

簡單的AJAX驗證

SQL注入

主要亮點：

生成統(tǒng)計分析文件

簡單便攜

支持JS代碼分析

3、Iron Wasp

Iron Wasp是一種開放源代碼，功能強大的掃描工具，能夠發(fā)現(xiàn)25種以上的Web應(yīng)用程序漏洞。此外，它還可以檢測誤報和誤報。Iron Wasp可幫助暴露各種漏洞，包括：

身份驗證失敗

跨站腳本

CSRF

隱藏參數(shù)

特權(quán)提升

主要亮點：

通過插件或模塊可擴展地用C#、Python、Ruby或VB.NET編寫

基于GUI

以HTML和RTF格式生成報告

4、Nogotofail

Nogotofail是Google開發(fā)的網(wǎng)絡(luò)流量安全測試工具，一款輕量級的應(yīng)用程序，能夠檢測TLS / SSL漏洞和配置錯誤。Nogotofail暴露的漏洞包括：

MiTM攻擊

SSL證書驗證問題

SSL注入

TLS注入

主要亮點：

易于使用

輕巧的

易于部署

支持設(shè)置為路由器、代理或VPN服務(wù)器

5、SonarQube

另一個值得推薦的開源安全測試工具是SonarQube。除了公開漏洞外，它還用于衡量Web應(yīng)用程序的源代碼質(zhì)量。盡管使用Java編寫，SonarQube仍能夠分析20多種編程語言。此外，它可以通過持續(xù)集成工具輕松地集成到Jenkins之類的產(chǎn)品中。SonarQube發(fā)現(xiàn)的問題以綠色或紅色突出顯示。前者代表低風險的漏洞和問題，而后者則代表嚴重的漏洞和問題。對于高級用戶，可以通過命令提示符進行訪問。對于那些相對較新的測試人員，有一個交互式GUI。SonarQube暴露的一些漏洞包括：

跨站腳本

拒絕服務(wù)(DoS)攻擊

HTTP響應(yīng)拆分

內(nèi)存損壞

SQL注入

主要亮點：

檢測棘手的問題

DevOps集成

設(shè)置pull requests請求分析

支持短期和長期代碼分支的質(zhì)量跟蹤

提供Quality Gate

可視化項目歷史

6、SQLMap

SQLMap完全免費，可以實現(xiàn)網(wǎng)站數(shù)據(jù)庫中SQL注入漏洞檢測和利用過程的自動化。該安全測試工具附帶一個功能強大的測試引擎，能夠支持6種類型的SQL注入技術(shù)：

基于布爾的盲注

基于錯誤

帶外

堆疊查詢

基于時間的盲注

UNION查詢

主要亮點：

自動化查找SQL注入漏洞的過程

也可以用于網(wǎng)站的安全測試

強大的檢測引擎

支持多種數(shù)據(jù)庫，包括MySQL、Oracle和PostgreSQL

7、W3af

W3af是最受Python開發(fā)者喜歡的Web應(yīng)用程序安全測試框架之一。該工具覆蓋Web應(yīng)用程序中超過200多種類型的安全問題，包括：

SQL盲注

緩沖區(qū)溢出

跨站腳本

CSRF

不安全的DAV配置

主要亮點：

認證支持

易于上手

提供直觀的GUI界面

輸出可以記錄到控制臺，文件或電子郵件中

8、Wapiti

Wapiti是領(lǐng)先的Web應(yīng)用程序安全測試工具之一，它是SourceForge和devloop提供的免費的開源項目。Wapiti可執(zhí)行黑盒測試，檢查Web應(yīng)用程序是否存在安全漏洞。由于是命令行應(yīng)用程序，因此了解Wapiti使用的各種命令非常重要。Wapiti對于經(jīng)驗豐富的人來說易于使用，但對于新手來說卻是一個的考驗。但請放心，您可以在官方文檔中找到所有Wapiti說明。為了檢查腳本是否易受攻擊，Wapiti注入了有效負載。該開源安全測試工具同時支持GET和POSTHTTP攻擊方法。Wapiti暴露的漏洞包括：

命令執(zhí)行檢測

CRLF注射

數(shù)據(jù)庫注入

檔案披露

Shellshock或Bash錯誤

SSRF(服務(wù)器端請求偽造)

可以繞開的.htaccess弱配置

XSS注入

XXE注入

主要亮點：

允許通過不同的方法進行身份驗證，包括Kerberos和NTLM

帶有buster模塊，可以暴力破解目標Web服務(wù)器上的目錄和文件名

操作類似fuzzer

同時支持GET和POSTHTTP方法進行攻擊

Wfuzz是用Python開發(fā)的，普遍用于暴力破解Web應(yīng)用程序。該開源安全測試工具沒有GUI界面，只能通過命令行使用。Wfuzz暴露的漏洞包括：

LDAP注入

SQL注入

XSS注入

主要亮點：

認證支持

Cookies fuzzing

多線程

多注入點

支持代理和SOCK

10、Zed攻擊代理(ZAP)

ZAP或Zed Attack Proxy由OWASP(開放Web應(yīng)用程序安全項目)開發(fā)，是一種跨多平臺，開放源代碼Web應(yīng)用程序安全測試工具。ZAP用于在開發(fā)和測試階段查找Web應(yīng)用程序中的許多安全漏洞。由于其直觀的GUI，新手和專家都可以輕松使用Zed Attach Proxy。安全測試工具支持高級用戶的命令行訪問。 除了是最著名的OWASP 項目之一，ZAP還是當之無愧的Web安全測試旗艦產(chǎn)品。ZAP用Java編寫。除了用作掃描程序外，ZAP還可以用來攔截代理以手動測試網(wǎng)頁。ZAP暴露的漏洞包括：

應(yīng)用錯誤披露

非HttpOnly Cookie標識

缺少反CSRF令牌和安全標頭

私人IP披露

URL重寫中的會話ID

SQL注入

XSS注入

主要亮點：

自動掃描

易于使用

多平臺

基于休息的API

支持身份驗證

使用傳統(tǒng)而強大的AJAX蜘蛛