[ 更换 ]
热门城市
北京上海广州深圳成都杭州南京武汉天津西安重庆青岛沈阳长沙大连厦门无锡福州济南宁波昆明苏州郑州长春合肥南昌哈尔滨常州烟台南宁温州石家庄太原珠海南通扬州贵阳东莞徐州大庆佛山威海洛阳淮安呼和浩特镇江潍坊桂林中山临沂咸阳包头嘉兴惠州泉州三亚赣州九江金华泰安榆林许昌新乡舟山慈溪南阳聊城海口东营淄博漳州保定沧州丹东宜兴绍兴唐山湖州揭阳江阴营口衡阳郴州鄂尔多斯泰州义乌汕头宜昌大同鞍山湘潭盐城马鞍山襄樊长治日照常熟安庆吉林乌鲁木齐兰州秦皇岛肇庆西宁介休滨州台州廊坊邢台株洲德阳绵阳双流平顶山龙岩银川芜湖晋江连云港张家港锦州岳阳长沙县济宁邯郸江门齐齐哈尔昆山柳州绍兴县运城齐河衢州太仓张家口湛江眉山常德盘锦枣庄资阳宜宾赤峰余姚清远蚌埠宁德德州宝鸡牡丹江阜阳莆田诸暨黄石吉安延安拉萨海宁通辽黄山长乐安阳增城桐乡上虞辽阳遵义韶关泸州南平滁州温岭南充景德镇抚顺乌海荆门阳江曲靖邵阳宿迁荆州焦作丹阳丽水延吉茂名梅州渭南葫芦岛娄底滕州上饶富阳内江三明淮南孝感溧阳乐山临汾攀枝花阳泉长葛汉中四平六盘水安顺新余晋城自贡三门峡本溪防城港铁岭随州广安广元天水遂宁萍乡西双版纳绥化鹤壁湘西松原阜新酒泉张家界黔西南保山昭通河池来宾玉溪梧州鹰潭钦州云浮佳木斯克拉玛依呼伦贝尔贺州通化朝阳百色毕节贵港丽江安康德宏朔州伊犁文山楚雄嘉峪关凉山雅安西藏四川广东河北山西辽宁黑龙江江苏浙江安徽福建江西山东河南湖北湖南海南贵州云南陕西甘肃青海台湾内蒙古广西宁夏香港澳门
培训资讯网 - 为兴趣爱好者提供专业的职业培训资讯知识

2023年十佳开源漏洞评估工具

工具 评估

导语:以下是知名安全网站eSecurity Planet近日遴选出来的十佳开源漏洞工具。

漏洞评估工具可以扫描IT资产,查找已知的漏洞、错误配置及其他缺陷。然后,这类扫描器为IT安全和应用程序开发运营(DevOps)团队生成报告,这些团队将已确定优先级的任务馈入工单和工作流系统,以修复漏洞。

开源漏洞测试工具提供了经济高效的漏洞检测解决方案。除了商业漏洞扫描工具外,许多IT团队甚至部署一个或多个开源工具作为补充,或者用来核查漏洞。以下是知名安全网站eSecurity Planet近日遴选出来的十佳开源漏洞工具。

OSV-Scanner:最佳开源代码扫描器

2023年十佳开源漏洞评估工具

图1

另几款软件组合分析(SCA)工具早在OSV Scanner发布之前就面市了,可高效地扫描静态软件查找开源编程代码漏洞。然而,谷歌开发的OSV借助OSV.dev开源漏洞数据库,适用于许多不同的生态系统。

作为后起之秀,OSV提供了更广泛的漏洞来源和语言,被视为DevOps团队的替代性开源扫描工具,至少是补充性开源扫描工具。

主要特点

扫描软件,找出影响软件的依赖项和漏洞。

以JSON格式存储有关受影响版本的信息,这种机读格式方便与开发者软件包集成。

扫描目录、软件物料清单(SBOM)、锁文件、基于Debian的docker映像或在Docker容器中运行的软件。

优点

从Android、Debian、Linux、npm和PyPI等众多来源提取漏洞。

显示简化的结果,缩短了分析所需的时间。

可通过ID号忽略漏洞。

谷歌仍在积极开发中,因此会添加新功能。

缺点

仍在积极开发中,因此缺少开发者工作流集成所需的完整功能。

可能还无法超越针对专门编程语言的更专门化、更悠久的开源SCA工具所具有的专门功能。

传送门:https://github.com/google/osv-scanner

Sqlmap:最适合数据库扫描

2023年十佳开源漏洞评估工具

图2

一些DevOp团队希望在将后端数据库连接到代码之前加以扫描。Sqlmap支持数据库漏洞扫描和针对各种数据库的渗透测试,DevOp团队无需为不必要的功能特性而分心。

主要特点

自动识别和使用密码哈希。

用Python开发,可以在任何带有Python解释器的系统上运行。

可以通过DBMS凭据、IP地址、端口和数据库名称,直接连接到数据库进行测试。

全面支持逾35种数据库管理系统,包括MySQL、Oracle、Postgre SQL、Microsoft SQL Server、IBM DB2、Sybase、SAP MaxDB、Microsoft Access、Amazon Redshift和Apache Ignite等。

执行六类SQL注入技术:基于布尔的盲注、基于时间的盲注、基于错误的注入、基于UNION查询的注入、堆叠查询和带外注入。

优点

可以执行密码破解。

可以搜索特定的数据库名称和表。

支持任意命令的执行和标准输出的检索。

缺点

没有图形用户界面的命令行工具。

非常专门化的工具。

需要数据库专长才能高效地使用。

传送门:https://sqlmap.org/

Wapiti:最适合SQLi测试

2023年十佳开源漏洞评估工具

图3

Wapiti可以在不检查代码的情况下对网站和应用程序执行黑盒扫描。相反,Wapiti使用模糊测试技术将攻击载荷注入脚本,并检查常见漏洞。

主要特点

支持GET和POST HTTP攻击方法。

可以对SQL注入(SQLi)、XPath注入、跨站脚本(XSS)、文件披露、Xml外部实体注入(XXE)、文件夹和文件枚举等执行模块测试。

支持HTTP、HTTPS和SOCKS5代理。

通过Basic、Digest、NTLM或GET/POST在登录表单上进行身份验证。

可以针对域、文件夹、网页和URL执行扫描。

优点

可以测试众多潜在漏洞。

一些测试表明,Wapiti比ZAP等其他开源工具检测出更多的SQLi和Blind SQLi漏洞。

缺点

没有图形用户界面的命令行工具。

需要具备大量的专长和知识才能使用。

传送门:https://wapiti-scanner.github.io/

ZAP (OWASP Zed攻击代理):最适合XSS测试

2023年十佳开源漏洞评估工具

图4

OWASP的Zed攻击代理(ZAP)还可以在Kali Linux上使用,它介于测试者的浏览器和Web应用程序之间以拦截请求,并充当代理。这项技术允许ZAP通过修改内容、转发数据包及模拟用户和黑客行为的其他活动来测试应用程序。

主要特点

支持各大操作系统和Docker。

提供Docker打包扫描,以便快速启动。

提供自动化框架。

提供综合API。

提供手动搜索和自动搜索。

优点

由OWASP团队积极维护。

非常全面。

同时提供图形界面和命令行接口。

易于上手,文档详细。

方便从初学者到安全团队的各层次用户使用。

可以非常高效地检测XSS漏洞。

能够执行模糊测试攻击。

缺点

一些功能需要额外的插件。

需要具备一定的专长才能使用。

生成的误报通常比商业产品要多。

传送门:https://owasp.org/www-project-zap/

CloudSploit:最佳云资源扫描器

2023年十佳开源漏洞评估工具

图5

Aqua开放了CloudSploit核心扫描引擎的源代码,以便用户可以下载和修改基础版工具,并享用其好处。CloudSploit扫描可以按需执行,也可以配置成连续运行,并向安全和DevOp团队提供警报。

主要特点

针对API使用充分利用REST的接口。

API可以从命令行、脚本或构建系统(Jenkins、CircleCL和AWS CodeBuild等)来调用。

读/写控制可以为每个API密钥提供特定的权限。

每个API调用都可以单独跟踪。

为AWS、Azure和Google Cloud提供持续的CIS基准审计。

优点

实时结果。

安全的HMAC256签名用于API密钥验证。

在几秒钟内扫描超过95个安全风险。

直观的Web GUI。

支持HIPAA和PCI(DSS)合规框架。

可以通过Slack、Splunk、OpsGenie、Amazon SNS和电子邮件等途径发送警报。

缺点

无法通过GitHub获取。

自动更新推送、一些报告工具和一些集成只针对付费产品(额外功能不是开源的)。

传送门:https://cloudsploit.com/

Firmwalker:最适合物联网扫描

2023年十佳开源漏洞评估工具

图6

开源团队开发了众多工具来扫描网络设备和物联网的固件及设置。然而,大多数人倾向于使用安全工具,而不是漏洞扫描器。然而,Firmwalker可以全面搜索提取或加载的固件,并报告潜在漏洞。

主要特点

可以搜索与SSl相关的文件和etc/ SSl目录。

可以搜索配置、脚本和pin文件。

可以识别和报告admin、password和remote等关键字。

可以搜索URL、电子邮件地址和IP地址。

优点

对物联网、网络、OT及其他固件进行安全审计。

可以找出意外的文件、嵌入的密码或隐藏的URL。

提供bash脚本版本。

缺点

需要一些编程技巧才能高效地使用。

没有GUI。

支持Shodan API目前处于实验阶段。

传送门:https://github.com/craigz28/firmwalker

Nikto2:最佳Web服务器扫描器

2023年十佳开源漏洞评估工具

图7

Nikto2是一款开源Web服务器扫描器,可以发现黑客想要利用的危险文件和程序以及服务器错误配置。用户也可以在Kali Linux上访问Nikto。

主要特点

检查超过6700个可能危险的文件和程序。

测试超过1250个过时的服务器版本和270个针对特定版本的问题。

检查多个索引文件和HTTP服务器选项。

提供了减少误报的技术。

优点

小巧的轻量级软件,但功能依然强大。

支持文件输入和输出。

扫描项和插件经常更新,且自动更新。

可以检测和标记Web服务器的许多常见问题。

SSL支持Unix和Windows操作系统,并支持HTTP代理。

缺点

没有界面,只有命令行。

非常专门化,可能让初学者感到困惑。

搜索方面比一些商业工具更有限。

彻底扫描至少需要45分钟才能完成。

传送门:https://cirt.net/Nikto2

OpenSCAP:最适合注重合规的扫描

2023年十佳开源漏洞评估工具

图8

OpenSCAP是一种面向Linux平台的开源框架,基于美国国家标准与技术研究所(NIST)维护的安全内容自动化协议(SCAP)。OpenSCAP项目创建了一些开源工具,用于实施和执行这项用于枚举缺陷和错误配置的开放标准。

扫描器提供了广泛的工具,支持扫描Web应用程序、网络基础设施、数据库和主机。与大多数测试常见漏洞和暴露(CVE)的扫描器不同,OpenSCAP根据SCAP标准测试设备。

主要特点

针对系统进行漏洞评估。

可以访问公共漏洞数据库。

OpenSCAP Base工具提供了NIST认证的命令行扫描工具,并提供更易于使用的图形用户界面(GUI)。

OpenSCAP守护进程可以持续扫描基础设施,以确保遵守SCAP策略。

优点

快速识别安全问题,并立即纠正。

得到Red Hat及其他开源开发商的支持。

结合安全漏洞和合规扫描。

可以扫描docker容器映像。

缺点

比其他许多工具更难上手。

OpenSCAP系统中的多款工具可能令人困惑。

用户需要了解符合其需求的安全策略。

许多工具只在Linux上运行,一些工具只在特定的Linux发行版上运行。

传送门:https://www.open-scap.org/

OpenVAS:最适合端点和网络扫描

2023年十佳开源漏洞评估工具

图9

开发人员使用Nessus的开源代码创建了OpenVAS这款多用途扫描器,Nessus现在是Tenable发布的领先市场的商业产品。OpenVAS保持了针对传统端点和网络执行大规模评估和网络漏洞测试的高端功能。该工具从大量来源和庞大的漏洞数据库收集信息来源。

主要特点

扫描系统查找已知的漏洞和缺失的补丁。

基于Web的管理控制台。

可以安装在任何本地或基于云的机器上。

提供关于每个漏洞的信息,比如如何消除漏洞或攻击者如何利用漏洞。

优点

Greenbone积极维护。

涵盖许多CVE。

扫描数据库定期更新。

社区版无法满足需要的组织可以升级到更高级版本。

缺点

对初学者来说过于复杂,需要具备一些专长。

大量并发扫描可能导致程序崩溃。

没有策略管理。

传送门:https://www.openvas.org/

Nmap:最适合网络和端口扫描

2023年十佳开源漏洞评估工具

图10

Nmap安全扫描器支持Windows、macOS和Linux的二进制软件包,包含在许多Linux版本中。Nmap使用IP数据包扫描设备端口,确定在检查的资产中有哪些主机、服务和操作系统可用。渗透测试人员和IT团队认为Nmap是一种快速、高效的轻量级工具,可以列出系统上的敞开端口。

主要特点

主机发现可以快速确定网络上可用的IP地址。

使用TCP/IP栈特征来猜测设备操作系统。

500个脚本库用于增强网络发现和漏洞评估功能。

优点

快速扫描系统上的敞开端口,确定可用的TCP/UDP服务。

查询端口以确定运行中的协议、应用程序和版本号。

庞大的用户群和开源社区。

缺点

没有为客户提供正式支持。

需要具备一定的专长和IT知识才能高效地使用。

传送门:https://nmap.org/

翻译自:https://www.esecurityplanet.com/applications/open-source-vulnerability-scanners/

相关内容

怎么学?如何干?西藏7市(地)委书记在西藏日报发表文章

启航新征程 开创新局面为全面建设社会主义现代化新拉萨努力奋斗自治区党委常委、拉萨市委书记 普布顿珠党的二十大大笔擘画坚持以中国式现代化全面推进中华民族伟大复兴的宏伟蓝图,区党委十届三次全会全面铺开建设美丽幸福西藏、共圆伟大复兴梦想的壮阔实践···

2023年全区智慧旅游专业人才培训班圆满结业

6月2日,自治区旅游发展厅主办的全区智慧旅游专业人才培训班在拉萨圆满结业。培训共历时三天,累计完成全区旅游行政管理部门工作人员及涉旅企业专业技术人员培训100人。本次培训是区旅发厅深入推进学习贯彻习近平新时代中国特色社会主义思想主题教育重要···

徐汇萨迦共同举办大美西藏首届口腔学习班

随着现代医学的发展,口腔健康越来越受到人们的关注,为提高西藏地区口腔技术水平和服务质量,近日,徐汇区牙病防治所和萨迦县中心医院远程连线共同举办首届口腔学习班开班仪式。徐汇区卫生健康委副主任胡强,上海援藏干部、萨迦县委常务副书记、常务副县长沈···

自觉抵制“一对一”“一对多”等学科类培训!哈尔滨中小学生暑期预警来了

17日,记者从哈尔滨市各区教育局获悉,2023年暑假将至,南岗区、道里区、香坊区教育局向家长发出预警,自觉抵制违规培训,各区义务教育阶段学科类培训机构已经全部注销,暑假期间以任何形式开展的学科类培训均属于违规培训。家长要自觉抵制任何机构或个···

哈尔滨市道里区企投局举办“招商大讲堂”专题培训

黑龙江网讯(记者 王惠婷)10月24日,哈尔滨市道里区企投局组织开展“招商大讲堂”专题培训班,全区各招商专班负责同志及业务骨干参加培训。本次培训从实际需求出发,紧紧围绕当前招商工作中的热点、难点,对“什么是招商引资”“道里区的产业结构和主导···

团黑龙江省委举办全省青年文明号青年岗位能手学习宣传贯彻党的二十大精神培训交流会

中国青年报客户端讯(李海涛)为深入学习贯彻党的二十大精神,充分发挥青年文明号、青年岗位能手示范引领作用,在全省职业青年中掀起学习党的二十大精神热潮,11月22日,团黑龙江省委举办全省青年文明号青年岗位能手学习宣传贯彻党的二十大精神培训交流会···

辽宁葫芦岛举办外贸政策培训会推动外贸保稳增量

辽宁省葫芦岛市外贸政策培训会4月3日举办。 辽宁省贸促会供图中新网葫芦岛4月3日电 (李晛)辽宁省葫芦岛市外贸政策培训会4月3日举办。本次活动由辽宁省贸促会支持、葫芦岛市商务局主办,葫芦岛市贸促会、葫芦岛海关、中国出口信用保险辽宁分公司和辽···

山西运城:严查无证校外培训机构 查封9家警告2家

新华社太原8月5日电(记者王飞航)记者从山西省运城市政府了解到,运城市教育局近日联合市公安局等多家单位,对中心城区无证校外培训机构进行了一次突击检查,共检查了13家校外培训机构,查封9家,警告2家,发放整改通知书4份。今年7月,运城市教育局···

山西开展培训筑牢森林“防火墙”

山西新闻网3月30日讯(记者 卢奕如)今日,记者从山西省应急管理厅获悉,全省举办森林草原防灭火业务培训,邀请专家以视频会议形式,围绕森林扑火指挥实操、森林草原火灾防控经验做法、火灾现场各级各类指挥员具体操作中遇到的问题等内容进行授课。培训内···

校外培训机构治理工作取得进展 山西停办近1300所

资料图:小学生排队等待进入校园。中新社记者 刘文华 摄中新网5月11日电 据教育部网站消息,按照校外培训机构专项治理工作整体安排,教育部、民政部、国家市场监管总局启动了校外培训机构治理专项督查工作。5月9日至10日,督查组率先在北京市开展华···

山西综改区举办省技术创新中心申报培训

  8月18日,山西综改区科技金融部举办2023年度省技术创新中心申报培训会,来自区内企业、科研院所及有关单位代表160余人参加了培训。  山西省技术创新中心是以产业前沿引领技术和关键共性技术研发为核心的产业技术创新平台,承担着为区域和产业···

山西汾阳医院开展健康教育与控烟知识培训

来源:【吕梁日报-吕梁新闻网】本报讯 (记者 刘少伟) 5月18日,在“世界无烟日”到来之际,山西汾阳医院组织开展健康教育与控烟知识培训。近年来,山西汾阳医院全面落实健康中国战略,根据国家卫健委《关于2011年起全国医疗卫生系统全面禁烟的决···

山西省文物局年度田野考古技术培训班开班

10月10日,山西省文物局在运城闻喜上郭城址、邱家庄墓群举办2023年度田野考古技术培训班开班仪式。该次培训为期三个月,通过理论和实践两部分教学,旨在推进山西考古工作高质量发展,提升考古业务人员专业技术水平。本次培训由山西省考古研究院和山西···

最低每课时9元!全省学科类校外培训课时长和收费标准出台

近日,山西省发改委、省教育厅下发《关于中小学学科类校外培训收费标准及有关事项的通知》,明确全省中小学学科类校外培训收费标准,从12月17日起执行。《通知》对全省线上线下学科类校外培训基准收费标准和浮动幅度制定了科学标准。其中,义务教育阶段线···

山西天镇 阳光职业培训学校培养乡村“新农人”乡村振兴添动能

(记者 贺文生) 山西天镇县阳光职业培训学校紧紧围绕乡村振兴战略,按照“政府引导、农民自愿、立足产业、突出重点”的原则,创新高素质农民技能培训方式方法,采取以“授人以渔”的方式,让人才振兴成为助推农业农村现代化的内生动力,以高素质农民引领现···

山西:建立全过程 全链条 无缝隙安全培训制度

黄河新闻网讯(记者杨江涛)日前,山西省应急管理厅下发了《山西省安全培训管理暂行办法》(以下简称《办法》)。我省将进一步抓好安全生产这个基本盘、基本面,推动全省安全培训工作制度化、规范化、科学化,促进安全培训工作高质量发展。山西省应急管理厅厅···

山西:艺考培训机构纳入全国监管平台管理

央广网太原10月6日消息(记者郎麒) 日前,山西省教育厅、省发改委、省公安厅等部门联合制定《加强面向高中阶段学生艺考培训规范管理工作方案》,针对艺考培训的突出特点和实际情况,全面规范艺考培训行为,将艺考培训机构统一纳入全国校外教育培训监管与···

太平财险阳泉中支开展消防安全教育和有限空间作业培训

为强化员工安全意识,进一步提升员工消防和有限空间突发事件应急处理能力,9月14日,太平财险阳泉中支邀请北京市卫民安消防教育咨询中心山西分中心讲师向全体员工开展了一次消防安全教育和有限空间作业课程培训。按照防消结合、预防为主的原则,本次讲座通···

山西省数字化转型贯标试点工作宣贯培训会在太原举行

  10月20日消息,山西省数字化转型贯标试点工作宣贯培训会在太原举行。省工信厅介绍,作为国家数字化转型贯标试点省份,试点启动后将引导企业加快数字化转型,助力制造业高端化、智能化、绿色化发展。  今年,工信部启动数字化转型贯标试点工作,我省···

山西马兰花创业培训讲师大赛收官 太原市获多个奖项

山西新闻网8月31日讯(记者 冯耿姝)8月29日,山西省第四届马兰花创业培训讲师大赛圆满收官,太原市代表队在比赛中分获多个二、三等奖和优秀奖。本届大赛以“启迪创新思维·激发创业梦想”为主题,全省共有56名教师晋级复赛,其中,太原市有7名选手···