亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

漏洞評估工具可以掃描IT資產，查找已知的漏洞、錯誤配置及其他缺陷。然后，這類掃描器為IT安全和應用程序開發(fā)運營（DevOps）團隊生成報告，這些團隊將已確定優(yōu)先級的任務饋入工單和工作流系統，以修復漏洞。

(相關資料圖)

開源漏洞測試工具提供了經濟高效的漏洞檢測解決方案。除了商業(yè)漏洞掃描工具外，許多IT團隊甚至部署一個或多個開源工具作為補充，或者用來核查漏洞。以下是知名安全網站eSecurity Planet近日遴選出來的十佳開源漏洞工具。

OSV-Scanner：最佳開源代碼掃描器

圖1

另幾款軟件組合分析（SCA）工具早在OSV Scanner發(fā)布之前就面市了，可高效地掃描靜態(tài)軟件查找開源編程代碼漏洞。然而，谷歌開發(fā)的OSV借助OSV.dev開源漏洞數據庫，適用于許多不同的生態(tài)系統。

作為后起之秀，OSV提供了更廣泛的漏洞來源和語言，被視為DevOps團隊的替代性開源掃描工具，至少是補充性開源掃描工具。

主要特點掃描軟件，找出影響軟件的依賴項和漏洞。以JSON格式存儲有關受影響版本的信息，這種機讀格式方便與開發(fā)者軟件包集成。掃描目錄、軟件物料清單（SBOM）、鎖文件、基于Debian的docker映像或在Docker容器中運行的軟件。優(yōu)點從Android、Debian、Linux、npm和PyPI等眾多來源提取漏洞。顯示簡化的結果，縮短了分析所需的時間。可通過ID號忽略漏洞。谷歌仍在積極開發(fā)中，因此會添加新功能。

缺點

仍在積極開發(fā)中，因此缺少開發(fā)者工作流集成所需的完整功能?？赡苓€無法超越針對專門編程語言的更專門化、更悠久的開源SCA工具所具有的專門功能。

傳送門：https://github.com/google/osv-scanner

Sqlmap：最適合數據庫掃描

圖2

一些DevOp團隊希望在將后端數據庫連接到代碼之前加以掃描。Sqlmap支持數據庫漏洞掃描和針對各種數據庫的滲透測試，DevOp團隊無需為不必要的功能特性而分心。

主要特點自動識別和使用密碼哈希。用Python開發(fā)，可以在任何帶有Python解釋器的系統上運行?？梢酝ㄟ^DBMS憑據、IP地址、端口和數據庫名稱，直接連接到數據庫進行測試。全面支持逾35種數據庫管理系統，包括MySQL、Oracle、Postgre SQL、Microsoft SQL Server、IBM DB2、Sybase、SAP MaxDB、Microsoft Access、Amazon Redshift和Apache Ignite等。執(zhí)行六類SQL注入技術：基于布爾的盲注、基于時間的盲注、基于錯誤的注入、基于UNION查詢的注入、堆疊查詢和帶外注入。優(yōu)點可以執(zhí)行密碼破解?？梢运阉魈囟ǖ臄祿烀Q和表。支持任意命令的執(zhí)行和標準輸出的檢索。缺點沒有圖形用戶界面的命令行工具。非常專門化的工具。需要數據庫專長才能高效地使用。傳送門：https://sqlmap.org/Wapiti：最適合SQLi測試

圖3

Wapiti可以在不檢查代碼的情況下對網站和應用程序執(zhí)行黑盒掃描。相反，Wapiti使用模糊測試技術將攻擊載荷注入腳本，并檢查常見漏洞。

主要特點支持GET和POST HTTP攻擊方法?？梢詫QL注入（SQLi）、XPath注入、跨站腳本（XSS）、文件披露、Xml外部實體注入（XXE）、文件夾和文件枚舉等執(zhí)行模塊測試。支持HTTP、HTTPS和SOCKS5代理。通過Basic、Digest、NTLM或GET/POST在登錄表單上進行身份驗證?？梢葬槍τ?、文件夾、網頁和URL執(zhí)行掃描。優(yōu)點可以測試眾多潛在漏洞。一些測試表明，Wapiti比ZAP等其他開源工具檢測出更多的SQLi和Blind SQLi漏洞。缺點沒有圖形用戶界面的命令行工具。需要具備大量的專長和知識才能使用。

傳送門：https://wapiti-scanner.github.io/

ZAP （OWASP Zed攻擊代理）：最適合XSS測試

圖4

OWASP的Zed攻擊代理（ZAP）還可以在Kali Linux上使用，它介于測試者的瀏覽器和Web應用程序之間以攔截請求，并充當代理。這項技術允許ZAP通過修改內容、轉發(fā)數據包及模擬用戶和黑客行為的其他活動來測試應用程序。

主要特點支持各大操作系統和Docker。提供Docker打包掃描，以便快速啟動。提供自動化框架。提供綜合API。提供手動搜索和自動搜索。優(yōu)點由OWASP團隊積極維護。非常全面。同時提供圖形界面和命令行接口。易于上手，文檔詳細。方便從初學者到安全團隊的各層次用戶使用。可以非常高效地檢測XSS漏洞。能夠執(zhí)行模糊測試攻擊。缺點一些功能需要額外的插件。需要具備一定的專長才能使用。生成的誤報通常比商業(yè)產品要多。

傳送門：https://owasp.org/www-project-zap/

CloudSploit：最佳云資源掃描器

圖5

Aqua開放了CloudSploit核心掃描引擎的源代碼，以便用戶可以下載和修改基礎版工具，并享用其好處。CloudSploit掃描可以按需執(zhí)行，也可以配置成連續(xù)運行，并向安全和DevOp團隊提供警報。

主要特點針對API使用充分利用REST的接口。API可以從命令行、腳本或構建系統（Jenkins、CircleCL和AWS CodeBuild等）來調用。讀/寫控制可以為每個API密鑰提供特定的權限。每個API調用都可以單獨跟蹤。為AWS、Azure和Google Cloud提供持續(xù)的CIS基準審計。優(yōu)點實時結果。安全的HMAC256簽名用于API密鑰驗證。在幾秒鐘內掃描超過95個安全風險。直觀的Web GUI。支持HIPAA和PCI（DSS）合規(guī)框架?？梢酝ㄟ^Slack、Splunk、OpsGenie、Amazon SNS和電子郵件等途徑發(fā)送警報。缺點無法通過GitHub獲取。自動更新推送、一些報告工具和一些集成只針對付費產品（額外功能不是開源的）。

傳送門：https://cloudsploit.com/

Firmwalker：最適合物聯網掃描

圖6

開源團隊開發(fā)了眾多工具來掃描網絡設備和物聯網的固件及設置。然而，大多數人傾向于使用安全工具，而不是漏洞掃描器。然而，Firmwalker可以全面搜索提取或加載的固件，并報告潛在漏洞。

主要特點可以搜索與SSl相關的文件和etc/ SSl目錄。可以搜索配置、腳本和pin文件?？梢宰R別和報告admin、password和remote等關鍵字?？梢运阉鱑RL、電子郵件地址和IP地址。優(yōu)點對物聯網、網絡、OT及其他固件進行安全審計。可以找出意外的文件、嵌入的密碼或隱藏的URL。提供bash腳本版本。缺點需要一些編程技巧才能高效地使用。沒有GUI。支持Shodan API目前處于實驗階段。

傳送門：https://github.com/craigz28/firmwalker

Nikto2：最佳Web服務器掃描器

圖7

Nikto2是一款開源Web服務器掃描器，可以發(fā)現黑客想要利用的危險文件和程序以及服務器錯誤配置。用戶也可以在Kali Linux上訪問Nikto。

主要特點檢查超過6700個可能危險的文件和程序。測試超過1250個過時的服務器版本和270個針對特定版本的問題。檢查多個索引文件和HTTP服務器選項。提供了減少誤報的技術。優(yōu)點小巧的輕量級軟件，但功能依然強大。支持文件輸入和輸出。掃描項和插件經常更新，且自動更新?？梢詸z測和標記Web服務器的許多常見問題。SSL支持Unix和Windows操作系統，并支持HTTP代理。缺點沒有界面，只有命令行。非常專門化，可能讓初學者感到困惑。搜索方面比一些商業(yè)工具更有限。徹底掃描至少需要45分鐘才能完成。

傳送門：https://cirt.net/Nikto2

OpenSCAP：最適合注重合規(guī)的掃描

圖8

OpenSCAP是一種面向Linux平臺的開源框架，基于美國國家標準與技術研究所（NIST）維護的安全內容自動化協議（SCAP）。OpenSCAP項目創(chuàng)建了一些開源工具，用于實施和執(zhí)行這項用于枚舉缺陷和錯誤配置的開放標準。

掃描器提供了廣泛的工具，支持掃描Web應用程序、網絡基礎設施、數據庫和主機。與大多數測試常見漏洞和暴露（CVE）的掃描器不同，OpenSCAP根據SCAP標準測試設備。

主要特點針對系統進行漏洞評估?？梢栽L問公共漏洞數據庫。OpenSCAP Base工具提供了NIST認證的命令行掃描工具，并提供更易于使用的圖形用戶界面（GUI）。OpenSCAP守護進程可以持續(xù)掃描基礎設施，以確保遵守SCAP策略。優(yōu)點快速識別安全問題，并立即糾正。得到Red Hat及其他開源開發(fā)商的支持。結合安全漏洞和合規(guī)掃描?？梢話呙鑔ocker容器映像。缺點比其他許多工具更難上手。OpenSCAP系統中的多款工具可能令人困惑。用戶需要了解符合其需求的安全策略。許多工具只在Linux上運行，一些工具只在特定的Linux發(fā)行版上運行。

傳送門：https://www.open-scap.org/

OpenVAS：最適合端點和網絡掃描

圖9

開發(fā)人員使用Nessus的開源代碼創(chuàng)建了OpenVAS這款多用途掃描器，Nessus現在是Tenable發(fā)布的領先市場的商業(yè)產品。OpenVAS保持了針對傳統端點和網絡執(zhí)行大規(guī)模評估和網絡漏洞測試的高端功能。該工具從大量來源和龐大的漏洞數據庫收集信息來源。

主要特點掃描系統查找已知的漏洞和缺失的補丁?；赪eb的管理控制臺。可以安裝在任何本地或基于云的機器上。提供關于每個漏洞的信息，比如如何消除漏洞或攻擊者如何利用漏洞。優(yōu)點Greenbone積極維護。涵蓋許多CVE。掃描數據庫定期更新。社區(qū)版無法滿足需要的組織可以升級到更高級版本。缺點對初學者來說過于復雜，需要具備一些專長。大量并發(fā)掃描可能導致程序崩潰。沒有策略管理。

傳送門：https://www.openvas.org/

Nmap：最適合網絡和端口掃描

圖10

Nmap安全掃描器支持Windows、macOS和Linux的二進制軟件包，包含在許多Linux版本中。Nmap使用IP數據包掃描設備端口，確定在檢查的資產中有哪些主機、服務和操作系統可用。滲透測試人員和IT團隊認為Nmap是一種快速、高效的輕量級工具，可以列出系統上的敞開端口。

主要特點主機發(fā)現可以快速確定網絡上可用的IP地址。使用TCP/IP棧特征來猜測設備操作系統。500個腳本庫用于增強網絡發(fā)現和漏洞評估功能。優(yōu)點快速掃描系統上的敞開端口，確定可用的TCP/UDP服務。查詢端口以確定運行中的協議、應用程序和版本號。龐大的用戶群和開源社區(qū)。缺點沒有為客戶提供正式支持。需要具備一定的專長和IT知識才能高效地使用。

傳送門：https://nmap.org/