ZAP值得一提的优良功能:
- Fuzzer
- 自动与被动扫描
- 支持多种脚本语言
- Forced browsing(强制浏览)
Wapiti扫描特定的目标网页,寻找能够注入数据的脚本和表单,从而验证其中是否存在漏洞。它不是对源代码的安全检查,而是执行黑盒扫描。
如果你懂开发,还可以利用vega API创建新的攻击模块。
9. SQLmap顾名思义,我们可以借助sqlmap对数据库进行渗透测试和漏洞查找。
支持所有操作系统上的Python 2.6或2.7。如果你正在查找SQL注入和数据库漏洞利用,sqlmap是一个好助手。
10. Grabber这也是一个做得不错的Python小工具。这里列举一些特色功能:
- JavaScript源代码分析器
- 跨站点脚本、SQL注入、SQL盲注
- 利用PHP-SAT的PHP应用程序测试
这是一个管理和运行Wfuzz、DNS recon、sqlmap、OpenVas、机器人分析器等一些流行安全工具的框架。
Golismero非常智能,能够整合其它工具的测试反馈,输出一个统一的结果。
12. OWASP Xenotix XSSOWASP的Xenotix XSS是一个用于查找和利用跨站点脚本的高级框架,内置了三个智能模糊器,用于快速扫描和结果优化。
