漏洞評估工具可以掃描IT資產(chǎn),查找已知的漏洞、錯誤配置及其他缺陷。然后,這類掃描器為IT安全和應(yīng)用程序開發(fā)運營(DevOps)團隊生成報告,這些團隊將已確定優(yōu)先級的任務(wù)饋入工單和工作流系統(tǒng),以修復(fù)漏洞。
(相關(guān)資料圖)
開源漏洞測試工具提供了經(jīng)濟高效的漏洞檢測解決方案。除了商業(yè)漏洞掃描工具外,許多IT團隊甚至部署一個或多個開源工具作為補充,或者用來核查漏洞。以下是知名安全網(wǎng)站eSecurity Planet近日遴選出來的十佳開源漏洞工具。
OSV-Scanner:最佳開源代碼掃描器圖1
另幾款軟件組合分析(SCA)工具早在OSV Scanner發(fā)布之前就面市了,可高效地掃描靜態(tài)軟件查找開源編程代碼漏洞。然而,谷歌開發(fā)的OSV借助OSV.dev開源漏洞數(shù)據(jù)庫,適用于許多不同的生態(tài)系統(tǒng)。
作為后起之秀,OSV提供了更廣泛的漏洞來源和語言,被視為DevOps團隊的替代性開源掃描工具,至少是補充性開源掃描工具。
主要特點掃描軟件,找出影響軟件的依賴項和漏洞。以JSON格式存儲有關(guān)受影響版本的信息,這種機讀格式方便與開發(fā)者軟件包集成。掃描目錄、軟件物料清單(SBOM)、鎖文件、基于Debian的docker映像或在Docker容器中運行的軟件。優(yōu)點從Android、Debian、Linux、npm和PyPI等眾多來源提取漏洞。顯示簡化的結(jié)果,縮短了分析所需的時間。可通過ID號忽略漏洞。谷歌仍在積極開發(fā)中,因此會添加新功能。缺點
仍在積極開發(fā)中,因此缺少開發(fā)者工作流集成所需的完整功能。可能還無法超越針對專門編程語言的更專門化、更悠久的開源SCA工具所具有的專門功能。傳送門:https://github.com/google/osv-scanner
Sqlmap:最適合數(shù)據(jù)庫掃描圖2
一些DevOp團隊希望在將后端數(shù)據(jù)庫連接到代碼之前加以掃描。Sqlmap支持?jǐn)?shù)據(jù)庫漏洞掃描和針對各種數(shù)據(jù)庫的滲透測試,DevOp團隊無需為不必要的功能特性而分心。
主要特點自動識別和使用密碼哈希。用Python開發(fā),可以在任何帶有Python解釋器的系統(tǒng)上運行。可以通過DBMS憑據(jù)、IP地址、端口和數(shù)據(jù)庫名稱,直接連接到數(shù)據(jù)庫進行測試。全面支持逾35種數(shù)據(jù)庫管理系統(tǒng),包括MySQL、Oracle、Postgre SQL、Microsoft SQL Server、IBM DB2、Sybase、SAP MaxDB、Microsoft Access、Amazon Redshift和Apache Ignite等。執(zhí)行六類SQL注入技術(shù):基于布爾的盲注、基于時間的盲注、基于錯誤的注入、基于UNION查詢的注入、堆疊查詢和帶外注入。優(yōu)點可以執(zhí)行密碼破解。可以搜索特定的數(shù)據(jù)庫名稱和表。支持任意命令的執(zhí)行和標(biāo)準(zhǔn)輸出的檢索。缺點沒有圖形用戶界面的命令行工具。非常專門化的工具。需要數(shù)據(jù)庫專長才能高效地使用。傳送門:https://sqlmap.org/Wapiti:最適合SQLi測試圖3
Wapiti可以在不檢查代碼的情況下對網(wǎng)站和應(yīng)用程序執(zhí)行黑盒掃描。相反,Wapiti使用模糊測試技術(shù)將攻擊載荷注入腳本,并檢查常見漏洞。
主要特點支持GET和POST HTTP攻擊方法。可以對SQL注入(SQLi)、XPath注入、跨站腳本(XSS)、文件披露、Xml外部實體注入(XXE)、文件夾和文件枚舉等執(zhí)行模塊測試。支持HTTP、HTTPS和SOCKS5代理。通過Basic、Digest、NTLM或GET/POST在登錄表單上進行身份驗證。可以針對域、文件夾、網(wǎng)頁和URL執(zhí)行掃描。優(yōu)點可以測試眾多潛在漏洞。一些測試表明,Wapiti比ZAP等其他開源工具檢測出更多的SQLi和Blind SQLi漏洞。缺點沒有圖形用戶界面的命令行工具。需要具備大量的專長和知識才能使用。傳送門:https://wapiti-scanner.github.io/
ZAP (OWASP Zed攻擊代理):最適合XSS測試圖4
OWASP的Zed攻擊代理(ZAP)還可以在Kali Linux上使用,它介于測試者的瀏覽器和Web應(yīng)用程序之間以攔截請求,并充當(dāng)代理。這項技術(shù)允許ZAP通過修改內(nèi)容、轉(zhuǎn)發(fā)數(shù)據(jù)包及模擬用戶和黑客行為的其他活動來測試應(yīng)用程序。
主要特點支持各大操作系統(tǒng)和Docker。提供Docker打包掃描,以便快速啟動。提供自動化框架。提供綜合API。提供手動搜索和自動搜索。優(yōu)點由OWASP團隊積極維護。非常全面。同時提供圖形界面和命令行接口。易于上手,文檔詳細。方便從初學(xué)者到安全團隊的各層次用戶使用。可以非常高效地檢測XSS漏洞。能夠執(zhí)行模糊測試攻擊。缺點一些功能需要額外的插件。需要具備一定的專長才能使用。生成的誤報通常比商業(yè)產(chǎn)品要多。傳送門:https://owasp.org/www-project-zap/
CloudSploit:最佳云資源掃描器圖5
Aqua開放了CloudSploit核心掃描引擎的源代碼,以便用戶可以下載和修改基礎(chǔ)版工具,并享用其好處。CloudSploit掃描可以按需執(zhí)行,也可以配置成連續(xù)運行,并向安全和DevOp團隊提供警報。
主要特點針對API使用充分利用REST的接口。API可以從命令行、腳本或構(gòu)建系統(tǒng)(Jenkins、CircleCL和AWS CodeBuild等)來調(diào)用。讀/寫控制可以為每個API密鑰提供特定的權(quán)限。每個API調(diào)用都可以單獨跟蹤。為AWS、Azure和Google Cloud提供持續(xù)的CIS基準(zhǔn)審計。優(yōu)點實時結(jié)果。安全的HMAC256簽名用于API密鑰驗證。在幾秒鐘內(nèi)掃描超過95個安全風(fēng)險。直觀的Web GUI。支持HIPAA和PCI(DSS)合規(guī)框架。可以通過Slack、Splunk、OpsGenie、Amazon SNS和電子郵件等途徑發(fā)送警報。缺點無法通過GitHub獲取。自動更新推送、一些報告工具和一些集成只針對付費產(chǎn)品(額外功能不是開源的)。傳送門:https://cloudsploit.com/
Firmwalker:最適合物聯(lián)網(wǎng)掃描圖6
開源團隊開發(fā)了眾多工具來掃描網(wǎng)絡(luò)設(shè)備和物聯(lián)網(wǎng)的固件及設(shè)置。然而,大多數(shù)人傾向于使用安全工具,而不是漏洞掃描器。然而,F(xiàn)irmwalker可以全面搜索提取或加載的固件,并報告潛在漏洞。
主要特點可以搜索與SSl相關(guān)的文件和etc/ SSl目錄。可以搜索配置、腳本和pin文件。可以識別和報告admin、password和remote等關(guān)鍵字。可以搜索URL、電子郵件地址和IP地址。優(yōu)點對物聯(lián)網(wǎng)、網(wǎng)絡(luò)、OT及其他固件進行安全審計。可以找出意外的文件、嵌入的密碼或隱藏的URL。提供bash腳本版本。缺點需要一些編程技巧才能高效地使用。沒有GUI。支持Shodan API目前處于實驗階段。傳送門:https://github.com/craigz28/firmwalker
Nikto2:最佳Web服務(wù)器掃描器圖7
Nikto2是一款開源Web服務(wù)器掃描器,可以發(fā)現(xiàn)黑客想要利用的危險文件和程序以及服務(wù)器錯誤配置。用戶也可以在Kali Linux上訪問Nikto。
主要特點檢查超過6700個可能危險的文件和程序。測試超過1250個過時的服務(wù)器版本和270個針對特定版本的問題。檢查多個索引文件和HTTP服務(wù)器選項。提供了減少誤報的技術(shù)。優(yōu)點小巧的輕量級軟件,但功能依然強大。支持文件輸入和輸出。掃描項和插件經(jīng)常更新,且自動更新。可以檢測和標(biāo)記Web服務(wù)器的許多常見問題。SSL支持Unix和Windows操作系統(tǒng),并支持HTTP代理。缺點沒有界面,只有命令行。非常專門化,可能讓初學(xué)者感到困惑。搜索方面比一些商業(yè)工具更有限。徹底掃描至少需要45分鐘才能完成。傳送門:https://cirt.net/Nikto2
OpenSCAP:最適合注重合規(guī)的掃描圖8
OpenSCAP是一種面向Linux平臺的開源框架,基于美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)維護的安全內(nèi)容自動化協(xié)議(SCAP)。OpenSCAP項目創(chuàng)建了一些開源工具,用于實施和執(zhí)行這項用于枚舉缺陷和錯誤配置的開放標(biāo)準(zhǔn)。
掃描器提供了廣泛的工具,支持掃描Web應(yīng)用程序、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、數(shù)據(jù)庫和主機。與大多數(shù)測試常見漏洞和暴露(CVE)的掃描器不同,OpenSCAP根據(jù)SCAP標(biāo)準(zhǔn)測試設(shè)備。
主要特點針對系統(tǒng)進行漏洞評估。可以訪問公共漏洞數(shù)據(jù)庫。OpenSCAP Base工具提供了NIST認證的命令行掃描工具,并提供更易于使用的圖形用戶界面(GUI)。OpenSCAP守護進程可以持續(xù)掃描基礎(chǔ)設(shè)施,以確保遵守SCAP策略。優(yōu)點快速識別安全問題,并立即糾正。得到Red Hat及其他開源開發(fā)商的支持。結(jié)合安全漏洞和合規(guī)掃描。可以掃描docker容器映像。缺點比其他許多工具更難上手。OpenSCAP系統(tǒng)中的多款工具可能令人困惑。用戶需要了解符合其需求的安全策略。許多工具只在Linux上運行,一些工具只在特定的Linux發(fā)行版上運行。傳送門:https://www.open-scap.org/
OpenVAS:最適合端點和網(wǎng)絡(luò)掃描圖9
開發(fā)人員使用Nessus的開源代碼創(chuàng)建了OpenVAS這款多用途掃描器,Nessus現(xiàn)在是Tenable發(fā)布的領(lǐng)先市場的商業(yè)產(chǎn)品。OpenVAS保持了針對傳統(tǒng)端點和網(wǎng)絡(luò)執(zhí)行大規(guī)模評估和網(wǎng)絡(luò)漏洞測試的高端功能。該工具從大量來源和龐大的漏洞數(shù)據(jù)庫收集信息來源。
主要特點掃描系統(tǒng)查找已知的漏洞和缺失的補丁。基于Web的管理控制臺。可以安裝在任何本地或基于云的機器上。提供關(guān)于每個漏洞的信息,比如如何消除漏洞或攻擊者如何利用漏洞。優(yōu)點Greenbone積極維護。涵蓋許多CVE。掃描數(shù)據(jù)庫定期更新。社區(qū)版無法滿足需要的組織可以升級到更高級版本。缺點對初學(xué)者來說過于復(fù)雜,需要具備一些專長。大量并發(fā)掃描可能導(dǎo)致程序崩潰。沒有策略管理。傳送門:https://www.openvas.org/
Nmap:最適合網(wǎng)絡(luò)和端口掃描圖10
Nmap安全掃描器支持Windows、macOS和Linux的二進制軟件包,包含在許多Linux版本中。Nmap使用IP數(shù)據(jù)包掃描設(shè)備端口,確定在檢查的資產(chǎn)中有哪些主機、服務(wù)和操作系統(tǒng)可用。滲透測試人員和IT團隊認為Nmap是一種快速、高效的輕量級工具,可以列出系統(tǒng)上的敞開端口。
主要特點主機發(fā)現(xiàn)可以快速確定網(wǎng)絡(luò)上可用的IP地址。使用TCP/IP棧特征來猜測設(shè)備操作系統(tǒng)。500個腳本庫用于增強網(wǎng)絡(luò)發(fā)現(xiàn)和漏洞評估功能。優(yōu)點快速掃描系統(tǒng)上的敞開端口,確定可用的TCP/UDP服務(wù)。查詢端口以確定運行中的協(xié)議、應(yīng)用程序和版本號。龐大的用戶群和開源社區(qū)。缺點沒有為客戶提供正式支持。需要具備一定的專長和IT知識才能高效地使用。傳送門:https://nmap.org/
標(biāo)簽:
