很多受歡迎的網(wǎng)站都曾遭到過黑客入侵而蒙受經(jīng)濟損失，web 漏洞掃描器是一種軟件程序，可在 Web 應(yīng)用程序上執(zhí)行自動黑盒測試并識別安全漏洞，掃描程序不訪問源代碼，只執(zhí)行功能測試并嘗試查找安全漏洞。在這篇文章中，我們列出了 14 個免費開源 Web 應(yīng)用程序漏洞掃描器，排名不分先后。

1.Grabber

Grabber 是一款免費開源的 Web 應(yīng)用程序掃描程序，可以檢測 Web 應(yīng)用程序中的大多數(shù)安全漏洞，可以檢測以下漏洞：跨站腳本，SQL 注入，Ajax 測試，文件包含，JS 源代碼分析器，備份文件檢查。Grabbe 僅用于測試小型 Web 應(yīng)用程序，因為掃描大型應(yīng)用程序需要花費太多時間。此工具不提供任何 GUI 界面，也無法創(chuàng)建任何 PDF 報告。該工具主要面向個人使用。

下載地址：https://github.com/neuroo/grabber

2.Vega

Vega 是一個免費開源 Web 漏洞掃描程序和測試平臺。使用此工具，您可以執(zhí)行 Web 應(yīng)用程序的安全性測試。該工具用 Java 編寫，并提供基于 GUI 的環(huán)境，適用于 OS X，Linux 和 Windows?？捎糜诓檎?SQL 注入，標頭注入，目錄列表，shell 注入，跨站點腳本，文件包含和其他 Web 應(yīng)用程序漏洞。

下載地址：https://subgraph.com/vega/

3.Zed Attack Proxy

Zed Attack Proxy 是開源的，由 AWASP 開發(fā)。適用于 Windows，Unix / Linux 和 Macintosh 平臺。可用于在 Web 應(yīng)用程序中查找各種漏洞，該工具簡單易用。即使您不熟悉滲透測試，也可以輕松使用此工具開始學(xué)習(xí) Web 應(yīng)用程序的滲透測試。ZAP 包含以下關(guān)鍵功能：攔截代理，自動掃描儀，蜘蛛，模糊器，Web 套接字支持，即插即用支持，身份驗證支持，基于 REST 的 API，動態(tài) SSL 證書，智能卡和客戶端數(shù)字證書支持。

下載地址：https://github.com/zaproxy/zaproxy

4.Wapiti

Wapiti 是一個不錯的 Web 漏洞掃描程序，可審核 Web 應(yīng)用程序的安全性。通過掃描網(wǎng)頁和注入數(shù)據(jù)來執(zhí)行黑盒測試，嘗試注入有效負載并查看腳本是否容易受到攻擊，支持 GET 和 POSTHTTP 攻擊并檢測多個漏洞。可以檢測以下漏洞：文件披露，文件包含，跨站點腳本（XSS），命令執(zhí)行檢測，CRLF 注射，SEL 注射和 Xpath 注射，.htaccess 配置，備份文件披露等。

下載地址：http://wapiti.sourceforge.net/

5.W3af

W3af 是一種流行的 Web 應(yīng)用程序攻擊和審計框架。該框架旨在提供更好的 Web 應(yīng)用程序滲透測試平臺，使用 Python 開發(fā)。通過使用此工具，您能夠識別 200 多種 Web 應(yīng)用程序漏洞，包括 SQL 注入，跨站點腳本和許多其他漏洞。

下載地址：http://w3af.org/

6.WebScarab

WebScarab 是一個基于 Java 的安全框架，用于使用 HTTP 或 HTTPS 協(xié)議分析 Web 應(yīng)用程序。使用可用的插件，可以擴展該工具的功能。此工具用作攔截代理。因此，您可以查看來自瀏覽器并轉(zhuǎn)到服務(wù)器的請求和響應(yīng)，還可以在服務(wù)器或瀏覽器收到請求或響應(yīng)之前修改它們。此工具不適合初學(xué)者，此工具專為那些對 HTTP 協(xié)議有很好理解并且可以編寫代碼的人而設(shè)計。

下載地址：https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

7.Skipfish

Skipfish 也是一個不錯的 Web 應(yīng)用程序安全工具。它抓取網(wǎng)站，然后檢查每個頁面是否存在各種安全威脅，然后準備最終報告。該工具用 C 語言編寫。針對 HTTP 處理進行了高度優(yōu)化，并且利用了最少的 CPU。Skipfish 聲稱每秒可以輕松處理 2000 個請求而無需在 CPU 上添加負載。

下載地址：https://code.google.com/archive/p/skipfish/

8.Ratproxy

Ratproxy 也是一個開源 Web 應(yīng)用程序安全審計工具，可用于查找 Web 應(yīng)用程序中的安全漏洞。它支持 Linux，F(xiàn)reeBSD，MacOS X 和 Windows（Cygwin）環(huán)境。此工具旨在克服用戶在使用其他代理工具進行安全審核時通常會遇到的問題。它能夠區(qū)分 CSS 樣式表和 JavaScript 代碼。它還支持中間人攻擊中的 SSL 人員，這意味著您還可以看到通過 SSL 傳遞的數(shù)據(jù)。

下載地址：https://code.google.com/archive/p/ratproxy/

9.SQLMap

SQLMap 是一種開源滲透測試工具，它可以自動執(zhí)行在網(wǎng)站數(shù)據(jù)庫中查找和利用 SQL 注入漏洞的過程。它具有強大的檢測引擎和一些有用的功能。因此，滲透測試人員可以輕松地在網(wǎng)站上執(zhí)行 SQL 注入檢查。

下載地址：https://github.com/sqlmapproject/sqlmap

10.Wfuzz

Wfuzz 是一個免費開源的 Web 應(yīng)用程序滲透測試工具，可用于強制 GET 和 POST 參數(shù)，以便針對 SQL，XSS，LDAP 等許多類型的注入進行測試。它還支持 cookie 模糊測試，多線程，SOCK，代理，身份驗證，參數(shù)暴力破解，多代理等。

下載地址：https://github.com/xmendez/wfuzz

11.Grendel-Scan

Grendel-Scan 是一個開源 Web 應(yīng)用程序安全工具，是一種用于在 Web 應(yīng)用程序中查找安全漏洞的自動工具。許多功能也可用于手動滲透測試。此工具適用于 Windows，Linux 和 Macintosh，該工具用 Java 開發(fā)。

下載地址：https://sourceforge.net/projects/grendel/

12.Watcher

Watcher 是一種被動的網(wǎng)絡(luò)安全掃描程序，它不會攻擊大量請求或爬網(wǎng)目標網(wǎng)站。它是 Fiddler 的附加組件，所以你需要先安裝 Fiddler 然后安裝 Watcher 才能使用它。

下載地址：http://websecuritytool.codeplex.com/

13.X5S

X5s 也是 Fiddler 的一個附加組件，旨在提供一種查找跨站點腳本漏洞的方法。這不是一個自動工具，您需要手動查找注入點，然后檢查 XSS 在應(yīng)用程序中的位置。

下載地址：https://archive.codeplex.com/?p=xss

14.Arachni

Arachni 是一個開源工具，專為提供滲透測試環(huán)境而開發(fā)。此工具可以檢測各種 Web 應(yīng)用程序安全漏洞。它可以檢測各種漏洞，如 SQL 注入，XSS，本地文件包含，遠程文件包含，未經(jīng)驗證的重定向等等。

下載地址：http://www.arachni-scanner.com/