Web漏洞扫描工具(AWVS、Goby)

一、背景

        想针对自己项目或者小公司的Web安全做相关扫描,自己做漏洞进行自查工作,能够减少自身系统的安全风险,提高系统的安全性。但是没有找到一些开源性质的、扫描质量比较高的相关工具,使用安全公司的专业产品价格又承受不起。

        功夫不负有心人,找了两款开源或者具备有社区版的Web安全漏洞扫描工具: AWVS、Goby。

         使用下来感觉还蛮不错的。 至少也能扫描到一些常见OWASP的TOP10漏洞、常规漏洞等,避免安全部门来扫描的时候让我们去整改(被扫出漏洞,要么扣分、要么罚款,按照漏洞级别进行惩罚)。  所以说主动做这个事情对我们本身也是有益的。

1、AWVS

        Acunetix Web Vulnerability Scanner(AWVS)是一款专业级别的自动化Web应用程序安全扫描工具,由Acunetix公司开发。AWVS旨在帮助企业、组织和安全专家检测和评估Web应用程序中的潜在安全漏洞。它通过模拟攻击和深入扫描技术,能够识别出多种类型的Web安全威胁,包括但不限于:

  • SQL注入
  • 跨站脚本(XSS)
  • 文件包含漏洞
  • 目录遍历
  • 认证和会话管理问题
  • 不安全的直接对象引用
  • 敏感数据泄露
  • 缺乏功能级访问控制
  • 不安全的反序列化
  • 使用含有已知漏洞的组件
  • 不安全的通讯
  • 未验证的重定向和转发

AWVS的主要特点包括:

  1. 深度扫描能力:AWVS能够对Web应用程序进行全面扫描,不仅包括表面层面的HTML和CSS,还能深入到动态生成的内容和客户端脚本。

  2. 智能爬虫:内置的网络爬虫能够自动发现和枚举Web应用程序的所有可访问页面和功能,包括AJAX和框架中的内容。

  3. 自动化与定制:AWVS提供预设的扫描模板,同时也允许用户自定义扫描策略,包括选择特定的漏洞类型进行扫描。

  4. 详细的报告:扫描完成后,AWVS生成详细的报告,包括发现的每一个漏洞的信息、严重程度、位置以及修复建议。

  5. 直观的用户界面:AWVS拥有一个图形用户界面,使得非技术背景的用户也能够轻松使用。

  6. 集成与扩展性:AWVS可以与多种CI/CD工具和开发环境集成,支持自动化扫描和持续集成流程。

  7. 实时监测与警报:AWVS能够实时监测Web应用程序的健康状况,并在发现新漏洞时发出警报。

  8. 合规性报告:支持生成符合PCI DSS、OWASP Top 10等标准的报告,帮助组织达到合规要求。

  9. 多目标扫描:能够同时对多个Web应用程序进行扫描,适用于企业级环境。

  10. 代理功能:可以作为中间代理,捕获和分析Web流量,用于更细致的安全审计。

  11. 云与本地部署选项:AWVS提供云端服务和本地部署版本,满足不同场景下的需求。

        需要注意的是,尽管AWVS是一款强大的工具,但它不能替代人工渗透测试和专业的安全审查。它应该被视为安全评估过程中的一个辅助工具,用于快速识别可能的风险点,后续还需要结合人工分析和测试来确认和修复发现的问题。

2、Goby

        Goby是一款先进的网络安全测试工具,专注于网络空间测绘和漏洞扫描,由知名安全专家赵武(网名Zwell)创建,他也是Pangolin、JSky和FOFA等其他安全工具的作者。Goby的设计理念强调实战性和体系性,旨在为企业提供全面的网络安全防护方案。

以下是Goby的一些主要特性和功能:

  1. 资产发现与管理:Goby能够帮助企业梳理和管理其网络资产,包括硬件设备、服务器、网络设备和应用系统,建立完整的资产知识库。

  2. 漏洞扫描:Goby具备高效的漏洞扫描能力,能够自动检测网络设备和Web应用中存在的安全漏洞,支持超过10万种规则的识别引擎。

  3. 网络空间测绘:通过网络空间测绘技术,Goby可以绘制出目标网络的详细地图,包括开放端口、服务、操作系统信息等,帮助安全团队了解网络架构和潜在的攻击面。

  4. 自动化工作流:Goby支持自动化扫描和报告生成,减少手动操作,提高效率。同时,它还能够自动切换和扩展攻击路径,实现从一个入口点到横向移动的快速过渡。

  5. 自定义规则与插件:用户可以自定义漏洞扫描规则和开发插件,增强工具的功能和适应性,使其能够应对不断变化的威胁形势。

  6. 用户友好的界面:Goby提供了直观的用户界面和多个皮肤选项,使得安全测试和管理变得更加简便和高效。

  7. 跨平台支持:Goby可在Windows、Linux和macOS等操作系统上运行,提供广泛的兼容性。

  8. 报告与导出:工具内置了报告导出功能,可以生成详细的扫描报告,便于安全团队分析和分享结果。

  9. 教育与培训价值:Goby通过智能自动化的方式,帮助安全新手熟悉攻防演练,同时也助力高级渗透测试人员快速定位和攻克目标。

  10. 社区与生态:Goby有一个活跃的用户社区,提供技术支持、插件共享和最佳实践交流。

        Goby作为一个开源项目,对于网络安全研究者和企业来说,是一个值得探索的资源,它不仅提供了一套强大的安全测试工具,还促进了网络安全领域内的知识共享和技术进步。由于它是免费提供的,这使得它成为众多企业和个人用户的首选工具之一。

二、工具使用过程

1、AWVS

1、docker安装,方便、快捷
docker run -it -d -p 443:3443 --cap-add LINUX_IMMUTABLE secfa/docker-awvs:240111130

访问路径:  https://$ip:443

默认访问账号和密码:  admin@admin.com  Admin123

2、添加扫描站点

3、查看扫描任务

4、查看扫描漏洞
 5、查看生成扫描报告,查看pdf

 

 

 

2、Goby

官网:  https://gobysec.net/

1、安装GUI客户端

2、套路一样,添加资产信息,进行扫描即可

 三、关于网络安全与渗透的思考

        网安是一个复杂的学科,除非是大公司或者非常看重安全的公司,一般需要第三方专业安全公司去做这个事情才是有保障。 毕竟有一些赔付协议在里面,同时专业的安全公司,他们的处理能力和预防能力更强。

        说实在的,中小型公司很多老板对网络安全不是很重视,或者说在对网络安全上,不想投入成本。 但是,如果哪天因为被人利用漏洞入侵到系统,删除数据或者做一些恶意的操作才后悔,那就太晚了。报警都没用,侦查难度高,同时看你这个损失满不满足立案的门槛。

        所以要防范于未然,除了DDOS这种无脑攻击无能为力(上WAF这些太氪金了,普通小企业根本扛不住,大公司都得脱一层皮)。其它如SQL注入、XSS、CSRF等等常见的OWASP Top10漏洞要做好防范,至少90%的"黑客"搞不到你这边了。 剩下的10%,只能说看运气了,真的要有人搞你,方法多的是,除非你的任何资源都不在公网展示了,那也等于倒闭了.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/50579.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

loj2143组合题解

组合 求 ∑ i 0 ∞ C n k i k r \sum_{i0}^{\infty} C_{n k}^{i kr} ∑i0∞​Cnkikr​ 模 p p p 的值。 这道题题目非常的善良,直接把式子送给我们了,那我们直接开始推式子: ∑ i 0 ∞ C n k i k r ∑ i 0 ∞ ∑ j 0 w C w j C n…

Dav_笔记11:SQL Tuning Overview-sql调优 之 4

开发高效的SQL语句 本节介绍了提高SQL语句效率的方法: ■验证优化程序统计信息 ■审查执行计划 ■重构SQL语句 ■重组索引 ■修改或禁用触发器和约束 ■重组数据 ■随着时间的推移维护执行计划 ■尽可能少地访问数据 验证优化程序统计信息 查询优化器在确定最佳执行…

每日一练,java06

这里写目录标题 题目1.局部变量能否和成员变量重名?2.下面哪个不属于HttpServletResponse接口完成的功能?3.以下代码结果是什么?4.实现或继承了Collection接口的是()知识点局部变量与成员变量重名equals与HttpServletR…

5. 开发环境搭建

1. 概述 基于ubuntu20.04搭建开发环境 2. 开发环境安装 恒玄SDK编译,依赖gcc-arm的编译工具,编译工具由恒玄提供; 2.1 配置编译工具链的环境变量 修改~/.profile文件 source ~/.profile 2.2 安装依赖包 sudo apt install ccache sudo a…

Spring框架笔记详解

主要讲解了Spring框架的基本内容,可以当作笔记需要的时候查看!!! 文章目录 前言Spring1、Spring简介1.1、Spring概述1.2、Spring家族1.3、Spring Framework1.3.1、Spring Framework特性1.3.2、Spring Framework五大功能模块 2、IO…

一刷代码随想录(回溯4)

递增子序列 题意: 给定一个整型数组, 你的任务是找到所有该数组的递增子序列,递增子序列的长度至少是2。 示例: 输入: [4, 6, 7, 7]输出: [[4, 6], [4, 7], [4, 6, 7], [4, 6, 7, 7], [6, 7], [6, 7, 7], [7,7], [4,7,7]] 说明: 给定数组的长度不会…

【最新】cuda和cudnn和显卡驱动的对应关系

NV官方文档Support Matrix — NVIDIA cuDNN v9.2.1 documentation下列的非常清楚,如图:

【SpringBoot】 4 Thymeleaf

官网 https://www.thymeleaf.org/ 介绍 Thymeleaf 是一个适用于 Web 和独立环境的现代服务器端 Java 模板引擎。 模板引擎:为了使用户界面和业务数据分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎会生成一个标准的 html 文档…

目标检测损失计算部分(YOLO)

ComputeLoss 标准化坐标的增益张量 标准化坐标的增益张量(gain tensor)用于将归一化的目标转换为特定特征层的网格尺度,以便进行匹配和计算。 在目标检测模型中,输入图像被划分为多个网格,每个网格负责预测多个锚框…

【Git】Git小项目模型梳理

事情的起因是笔者正在做的项目,是一个小团队,团队成员不到5人,且项目处于第一个生产版本的创建过程中,为没有合适的Git模型而犹豫了很久,最终确定的模型和最初的也有不同。特此记录,主要是为了个人总结&…

捉虫笔记(1)之 WinDbg符号配置

WinDbg符号配置 1、WinDbg简单介绍 WinDbg 是微软的一款强大的调试工具,用于 Windows 平台的内核和用户模式调试。它提供了一系列强大的功能,包括内存和寄存器的查看、断点设置、堆栈跟踪、性能分析等。 WinDbg 的历史可以追溯到微软早期的调试工具&a…

[Unity] ShaderGraph实现不同贴图素材的同一材质球复用

无意间发现的ShaderGraph小技巧, 可以实现同一个ShaderGraph,同一个Material材质球, 但使用不同的Texture贴图,而Sprite显示不会相互覆盖。 具体实现方法如下: 声明Texture2D时,把名字命名成&#xff1a…

Spring Boot学习|Stopwatch 在 Spring Boot 中的使用

文章目录 什么是 Stopwatch?使用场景优点缺点注意事项使用步骤使用案例及结果可能面试题1. **理解与解释**2. **技术细节**3. **实际应用**4. **优缺点与替代方案**5. **面向框架的具体问题**6. **高级主题** 什么是 Stopwatch? Stopwatch 是由 Apache …

51单片机嵌入式开发:17、STC89C52的嵌入式 遥控器 控制步进电机 转速 和 转向 操作并 printf打印信息

51单片机嵌入式开发 STC89C52的嵌入式 遥控器 控制步进电机 转速 和 转向 操作并 printf打印信息 51单片机嵌入式开发STC89C52的嵌入式 遥控器 控制步进电机 转速 和 转向 操作并 printf打印信息1 概述2 硬件电路2.1 遥控器2.2 红外接收器电路2.3 STC89C52单片机电路2.4 数码管…

Qt 编译配置 Protobuf 详解

在Qt项目中使用Protobuf(Protocol Buffers)可以有效地处理数据序列化和反序列化。以下是如何在Qt项目中配置和编译Protobuf的详细步骤。 步骤 1: 安装Protobuf 首先,你需要在系统上安装Protobuf库。可以通过以下几种方式安装: …

skynet热更新之inject

游戏服务器的热更新是一种常见的需求,skynet可以通过inject的方式,来修改一个服务的消息处理函数,达到热更新的效果。 skynet内置服务debug_console skynet自带了一个调试控制台服务。inject注入代码需要先启动这个服务。 skynet.newservi…

【python】python大学排名数据抓取+可视化(源码+数据集+可视化+论文)【独一无二】

👉博__主👈:米码收割机 👉技__能👈:C/Python语言 👉公众号👈:测试开发自动化【获取源码商业合作】 👉荣__誉👈:阿里云博客专家博主、5…

Linux 4: Bash

1 Bash环境 1 命令执行的顺序 1 绝对路径、相对路径 2 alias 3 内置的builtin 4 $PATH找到的第一个命令 2 bash的登录信息,保存在哪里? 保存在/etc/issue. 3 bash的环境配置文件 1 如果是login shell,读以下,有优先级:如果…

uart开发调试

1. Uart基本框架 1.1概念 通信系统有两种方式,同步通信和异步通信. 同步通信的典型特征:通信双方公用同一个时钟,发送/接受速率完全一致,通信时需要带时钟信号传输. 异步通信的典型特征:通信双方各自具有独立的时钟…

MyBatis操作数据库 -- 动态SQL

T04BF &#x1f44b;专栏: 算法|JAVA|MySQL|Spring &#x1faf5; 与天斗其乐无穷 文章目录 1. 动态SQL<if>标签<trim>标签<where> 标签<set> 标签<foreach> 标签<include>标签注解方式 1. 动态SQL 动态sql能够实现不同条件下的sql拼接 …