漏洞扫描工具汇总「建议收藏」

漏洞扫描工具汇总「建议收藏」漏洞扫描器可以快速帮助我们发现漏洞,如SQL注入漏洞、CSRF、缓冲区溢出等。下面就介绍几种常用的漏洞扫描工具。Fortify代码审计工具FortifySCA(FortifyStaticCodeAnalyzer),一款软件代码安全测试工具,提供静态源码扫描能力,包含了五大引擎分析系统:语义、结构、数据流、控制流、配置流。分析的过程中与特有的软件安全漏洞规则集进行全面的匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并生成报告。BurpSuiteAWVSAppScanDependen

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

漏洞扫描器可以快速帮助我们发现漏洞,如SQL注入漏洞、CSRF、缓冲区溢出等。下面就介绍几种常用的漏洞扫描工具

Fortify

代码审计工具Fortify SCA (Fortify Static Code Analyzer),一款软件代码安全测试工具,提供静态源码扫描能力,包含了五大引擎分析系统:语义、结构、数据流、控制流、配置流。分析的过程中与特有的软件安全漏洞规则集进行全面的匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并生成报告。
Fortify软件是收费的,如果个人使用可以看看有无激活成功教程版,软件使用的规则安装在Core\config\rules。
软件使用步骤如下图:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Burp Suite

Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。

模块 描述
Proxy 拦截浏览器的http会话内容,给其他模块功能提供数据
Target 站点地图,主要显示信息,如:会默认记录浏览器访问的所有页面,使用Spider模块扫描后,可以再此看到爬虫所爬行的页面及每个页面的请求头和响应信息。
Spider 网络爬虫,能完整的枚举应用程序的内容和功能。
Scanner 帮助测试人员发现web应用程序的安全漏洞。
Intruder 高度可配置的工具,最重要的是配置Attack Type、程序变量以及字典,可以对web应用程序进行自动化攻击
Decoder 解码器,支持对URL、HEX、HTML等格式字符进行编码或解码。
Comparer 字符串比较器,可以快速发现两段字符串中的差异。
Repeater HTTP请求编辑工具。
其他 自带解决中文乱码、恢复默认选项、使用插件功能

安装和简单使用可以参考:https://www.cnblogs.com/zewutest/p/13895187.html

AWVS

自动化的web应用程序安全测试工具,可以扫描任何通过web浏览器访问的和遵循HTTP/HTTPS规则的web站点和应用。

AppScan

AppScan是IBM的一款web应用安全测试工具,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

DependencyCheck

Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、PHP、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。
工具链接:https://github.com/jeremylong/DependencyCheck
使用命令:

./cli/target/release/bin/dependency-check.sh -h
./cli/target/release/bin/dependency-check.sh  --project example --out . --scan ./src/test/resources

SonarQube

一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。
下载地址:https://www.sonarqube.org/downloads/,安装、配置及使用网上有很多教程和方案,可自行Google或百度。

总结

这些工具有的自己使用过,有的只是总结一下,仅供参考。后续如果遇到新的漏洞分析和扫描工具,再继续补充,欢迎读者给予补充和建议。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/194338.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • ElasticSearch安装&安装成windows服务

    ElasticSearch安装&安装成windows服务ElasticSearch安装&安装成windows服务

  • 大数据分析那点事

    写在前文,首先声明博主对数据分析领域也在不断学习当中,文章中难免可能会出现一些错误,欢迎大家及时指正,博主在此之前也曾对不同量级、不同领域的数据进行过分析,但是在过程中总是感觉有许多困惑,即自己也会问自己?自己分析的是否全面,是否有价值,从哪些方面出发?对于这些问题博主做了思考。归根到底还是在理论上,在阅读了相关的专业书籍和材料的基础上总结出本文,希望能给大家带来收获,同时由于内容过多,计划分三次完成全部内容,同时如果大家感觉对自己有帮助的话,记得收藏,博主会不断完善本文的缺陷和不足,希望真正能给大家带来收

  • 关于python中可迭代对象和迭代器的一些理解

    关于python中可迭代对象和迭代器的一些理解

  • ActiveMQ详细入门教程系列(一)

    ActiveMQ详细入门教程系列(一)

    2020年11月20日
  • 数据结构:栈和队列(Stack & Queue)【详解】

    数据结构:栈和队列(Stack & Queue)【详解】栈和队列知识框架栈一、栈的基本概念1、栈的定义栈(Stack):是只允许在一端进行插入或删除的线性表。首先栈是一种线性表,但限定这种线性表只能在某一端进行插入和删除操作。栈顶(Top):线性表允许进行插入删除的那一端。栈底(Bottom):固定的,不允许进行插入和删除的另一端。空栈:不含任何元素的空表。栈又称为先进先出(LastInFirstOut)的线性表,简称LIFO结构2、栈的基本操作InitStack(&S):初始化一个空栈S。StackEmpty(S):

  • 使用阻塞队列实现线程同步_线程可以并行执行吗

    使用阻塞队列实现线程同步_线程可以并行执行吗一、串行,并行,并发1.名称解释串行:程序按顺序执行,同一时间只能执行一个程序,前一个执行完毕后才轮到后一个并行:多个程序可以同时执行,宏观和微观上看程序都是同时执行并发:同一时刻只有一条程序

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号