Web漏洞扫描工具(AWVS、Goby)

一、背景

        想针对自己项目或者小公司的Web安全做相关扫描,自己做漏洞进行自查工作,能够减少自身系统的安全风险,提高系统的安全性。但是没有找到一些开源性质的、扫描质量比较高的相关工具,使用安全公司的专业产品价格又承受不起。

        功夫不负有心人,找了两款开源或者具备有社区版的Web安全漏洞扫描工具: AWVS、Goby。

         使用下来感觉还蛮不错的。 至少也能扫描到一些常见OWASP的TOP10漏洞、常规漏洞等,避免安全部门来扫描的时候让我们去整改(被扫出漏洞,要么扣分、要么罚款,按照漏洞级别进行惩罚)。  所以说主动做这个事情对我们本身也是有益的。

1、AWVS

        Acunetix Web Vulnerability Scanner(AWVS)是一款专业级别的自动化Web应用程序安全扫描工具,由Acunetix公司开发。AWVS旨在帮助企业、组织和安全专家检测和评估Web应用程序中的潜在安全漏洞。它通过模拟攻击和深入扫描技术,能够识别出多种类型的Web安全威胁,包括但不限于:

  • SQL注入
  • 跨站脚本(XSS)
  • 文件包含漏洞
  • 目录遍历
  • 认证和会话管理问题
  • 不安全的直接对象引用
  • 敏感数据泄露
  • 缺乏功能级访问控制
  • 不安全的反序列化
  • 使用含有已知漏洞的组件
  • 不安全的通讯
  • 未验证的重定向和转发

AWVS的主要特点包括:

  1. 深度扫描能力:AWVS能够对Web应用程序进行全面扫描,不仅包括表面层面的HTML和CSS,还能深入到动态生成的内容和客户端脚本。

  2. 智能爬虫:内置的网络爬虫能够自动发现和枚举Web应用程序的所有可访问页面和功能,包括AJAX和框架中的内容。

  3. 自动化与定制:AWVS提供预设的扫描模板,同时也允许用户自定义扫描策略,包括选择特定的漏洞类型进行扫描。

  4. 详细的报告:扫描完成后,AWVS生成详细的报告,包括发现的每一个漏洞的信息、严重程度、位置以及修复建议。

  5. 直观的用户界面:AWVS拥有一个图形用户界面,使得非技术背景的用户也能够轻松使用。

  6. 集成与扩展性:AWVS可以与多种CI/CD工具和开发环境集成,支持自动化扫描和持续集成流程。

  7. 实时监测与警报:AWVS能够实时监测Web应用程序的健康状况,并在发现新漏洞时发出警报。

  8. 合规性报告:支持生成符合PCI DSS、OWASP Top 10等标准的报告,帮助组织达到合规要求。

  9. 多目标扫描:能够同时对多个Web应用程序进行扫描,适用于企业级环境。

  10. 代理功能:可以作为中间代理,捕获和分析Web流量,用于更细致的安全审计。

  11. 云与本地部署选项:AWVS提供云端服务和本地部署版本,满足不同场景下的需求。

        需要注意的是,尽管AWVS是一款强大的工具,但它不能替代人工渗透测试和专业的安全审查。它应该被视为安全评估过程中的一个辅助工具,用于快速识别可能的风险点,后续还需要结合人工分析和测试来确认和修复发现的问题。

2、Goby

        Goby是一款先进的网络安全测试工具,专注于网络空间测绘和漏洞扫描,由知名安全专家赵武(网名Zwell)创建,他也是Pangolin、JSky和FOFA等其他安全工具的作者。Goby的设计理念强调实战性和体系性,旨在为企业提供全面的网络安全防护方案。

以下是Goby的一些主要特性和功能:

  1. 资产发现与管理:Goby能够帮助企业梳理和管理其网络资产,包括硬件设备、服务器、网络设备和应用系统,建立完整的资产知识库。

  2. 漏洞扫描:Goby具备高效的漏洞扫描能力,能够自动检测网络设备和Web应用中存在的安全漏洞,支持超过10万种规则的识别引擎。

  3. 网络空间测绘:通过网络空间测绘技术,Goby可以绘制出目标网络的详细地图,包括开放端口、服务、操作系统信息等,帮助安全团队了解网络架构和潜在的攻击面。

  4. 自动化工作流:Goby支持自动化扫描和报告生成,减少手动操作,提高效率。同时,它还能够自动切换和扩展攻击路径,实现从一个入口点到横向移动的快速过渡。

  5. 自定义规则与插件:用户可以自定义漏洞扫描规则和开发插件,增强工具的功能和适应性,使其能够应对不断变化的威胁形势。

  6. 用户友好的界面:Goby提供了直观的用户界面和多个皮肤选项,使得安全测试和管理变得更加简便和高效。

  7. 跨平台支持:Goby可在Windows、Linux和macOS等操作系统上运行,提供广泛的兼容性。

  8. 报告与导出:工具内置了报告导出功能,可以生成详细的扫描报告,便于安全团队分析和分享结果。

  9. 教育与培训价值:Goby通过智能自动化的方式,帮助安全新手熟悉攻防演练,同时也助力高级渗透测试人员快速定位和攻克目标。

  10. 社区与生态:Goby有一个活跃的用户社区,提供技术支持、插件共享和最佳实践交流。

        Goby作为一个开源项目,对于网络安全研究者和企业来说,是一个值得探索的资源,它不仅提供了一套强大的安全测试工具,还促进了网络安全领域内的知识共享和技术进步。由于它是免费提供的,这使得它成为众多企业和个人用户的首选工具之一。

二、工具使用过程

1、AWVS

1、docker安装,方便、快捷
docker run -it -d -p 443:3443 --cap-add LINUX_IMMUTABLE secfa/docker-awvs:240111130

访问路径:  https://$ip:443

默认访问账号和密码:  admin@admin.com  Admin123

2、添加扫描站点

3、查看扫描任务

4、查看扫描漏洞
 5、查看生成扫描报告,查看pdf

 

 

 

2、Goby

官网:  https://gobysec.net/

1、安装GUI客户端

2、套路一样,添加资产信息,进行扫描即可

 三、关于网络安全与渗透的思考

        网安是一个复杂的学科,除非是大公司或者非常看重安全的公司,一般需要第三方专业安全公司去做这个事情才是有保障。 毕竟有一些赔付协议在里面,同时专业的安全公司,他们的处理能力和预防能力更强。

        说实在的,中小型公司很多老板对网络安全不是很重视,或者说在对网络安全上,不想投入成本。 但是,如果哪天因为被人利用漏洞入侵到系统,删除数据或者做一些恶意的操作才后悔,那就太晚了。报警都没用,侦查难度高,同时看你这个损失满不满足立案的门槛。

        所以要防范于未然,除了DDOS这种无脑攻击无能为力(上WAF这些太氪金了,普通小企业根本扛不住,大公司都得脱一层皮)。其它如SQL注入、XSS、CSRF等等常见的OWASP Top10漏洞要做好防范,至少90%的"黑客"搞不到你这边了。 剩下的10%,只能说看运气了,真的要有人搞你,方法多的是,除非你的任何资源都不在公网展示了,那也等于倒闭了.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/384501.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MySQL_JDBC

目录 一、JDBC常用的接口和类 1.1 数据库连接 Connection 1.2 Statement 对象 二、JDBC的使用 总结 【Java 的数据库编程】 JDBC 即 Java Database Connectivity (Java数据库连接),是一种用于执行 SQL 语句的 Java API。这个 API 由 java.sql.*,javax.sql.* …

kettle从入门到精通 第八十一课 ETL之kettle kettle中的json对象字段写入postgresql中的json字段正确姿势

1、上一节可讲解了如何将json数据写入pg数据库表中的json字段,虽然实现了效果,但若客户继续使用表输出步骤则仍然无法解决问题。 正确的的解决方式是设置数据库连接参数stringtypeunspecified 2、stringtypeunspecified 参数的作用: 当设置…

ERROR: Cannot find command ‘git’- do you have ‘git’ installed and in your PATH?

ERROR: Cannot find command ‘git’- do you have ‘git’ installed and in your PATH? 目录 ERROR: Cannot find command ‘git’- do you have ‘git’ installed and in your PATH? 【常见模块错误】 【解决方案】 欢迎来到英杰社区https://bbs.csdn.net/topics/61780…

Java开发新趋势!MyEclipse v2024.1全新首发——支持AI编码协助

在MyEclipse 2024中,通过Copilot集成提供的AI编码协助,让开发者的生产力提高了近10倍;同时支持Java 22,并部署到最新版本的应用服务器(如WildFly和Payara);拥有更高性能的Spring工具支持更流畅的编码体验,而…

新增ClamAV病毒扫描功能、支持Java和Go运行环境,1Panel开源面板v1.10.12版本发布

2024年7月19日,现代化、开源的Linux服务器运维管理面板1Panel正式发布了v1.10.12版本。 在这一版本中,1Panel新增了多项实用功能。社区版方面,1Panel新增ClamAV病毒扫描功能、支持Java和Go运行环境,同时1Panel还新增了文件编辑器…

耳机、音响UWB传输数据模组,飞睿智能低延迟、高速率超宽带uwb模块技术音频应用

在数字化浪潮席卷全球的今天,无线通信技术日新月异,其中超宽带(Ultra-Wideband,简称UWB)技术以其独特的优势,正逐步成为无线传输领域的新星。本文将深入探讨飞睿智能UWB传输数据模组在音频应用中的创新应用…

Xilinx Ultrascale+ FPGA 驱动MIPI DSI屏显示源码工程

作者:Hello,Panda 大家早上好,中午好,下午好,我是熊猫君。 曾记否,之前熊猫家发了一篇博文《分享一下使用Xilinx FPGA驱动MIPI DSI屏的心路历程》,此文发布以后,后台收到了不少朋友…

FPGA与ASIC:深入解析芯片设计的双子星

前言 在半导体世界里,FPGA(Field-Programmable Gate Array,现场可编程门阵列)与ASIC(Application-Specific Integrated Circuit,专用集成电路)是两种截然不同的芯片设计策略,各自在…

【Linux】虚拟机安装 openEuler 24.03 X86_64

目录 一、概述 1.1 openEuler 覆盖全场景的创新平台 1.2 系统框架 1.3 平台框架 二、安装详细步骤 一、概述 1.1 openEuler 覆盖全场景的创新平台 openEuler 已支持 x86、Arm、SW64、RISC-V、LoongArch 多处理器架构,逐步扩展 PowerPC 等更多芯片架构支持&…

C++编译jsoncpp库

下载https://github.com/hailong0715/jsoncpp/tree/master windows编译工程 jsoncpp-master\makefiles\vs71 1.msvcprtd.lib(MSVCP140D.dll) : error LNK2005 解决办法: (1).工程(Project)->属性(Properties)->配置属性(Configuration Properties)->c/c-…

在invidia jetpack4.5.1上运行c++版yolov8(tensorRT)

心路历程(可略过) 为了能在arm64上跑通yolov8,我试过很多很多代码,太多对库版本的要求太高了; 比如说有一个是需要依赖onnx库的,(https://github.com/UNeedCryDear/yolov8-opencv-onnxruntime-…

GraphHopper路径规划引擎-可执行jar版

本文是使用开源的graphhopper路径规划引擎,可执行jar包的方式启动引擎服务,按照官方地址,进行实践记录。 Graphhopper后台服务启动(可执行 JAR 文件) 特别说明:当前graphhopper的版本是9.x,运…

AI有关的学习和python

一、基本概念 AIGC(AI Generated content AI 生成内容) AI生成的文本、代码、图片、音频、视频。都可以成为AIGC。 Generative AI(生成式AI)所生成的内容就是AIGC AI指代计算机人工智能,模仿人类的智能从而解决问题…

STM32自己从零开始实操10:PCB全过程

一、PCB总体分布 分布主要参考有: 方便供电布线。方便布信号线。方便接口。人体工学。 以下只能让大家看到各个模块大致分布在板子的哪一块,只能说每个人画都有自己的理由,我的理由如下。 还有很多没有表达出来的东西,我也不知…

NXP i.MX 6系列处理器加入“产品长期供货计划”

近期,NXP(恩智浦半导体)的i.MX 6系列处理器已加入其“产品长期供货计划”,不同型号处理器的生命周期得到了10~15年的延长,确保了长期稳定的供货与维护。 (NXP产品长期供货计划的目的,是给客户的…

Elasticsearch:Java ECS 日志记录 - log4j2

ECS 记录器是你最喜欢的日志库的格式化程序/编码器插件。它们可让你轻松将日志格式化为与 ECS 兼容的 JSON。ECS 兼容的 JSON 日志记录可以帮我们简化很多分析,可视化及解析的工作。在今天的文章里,我来详述如何在 Java 应用里生成 ECS 相兼容的日志。 …

Prometheus各类监控及监控指标和告警规则

目录 linux docker监控 linux 系统进程监控 linux 系统os监控 windows 系统os监控 配置文件&告警规则 Prometheus配置文件 node_alert.rules docker_container.rules mysql_alert.rules vmware.rules Alertmanager告警规则 consoul注册服务 Dashboard JSON…

GD 32 流水灯

前言: 通过后面的学习掌握了一些逻辑架构的知识,通过复习的方式将学到的裸机任务架构的知识运用起来,同时巩固前面学到的知识,GPIO的配置等。 开发板上LED引脚使用示意图 注:此次LED灯的点亮凡是是高电平点亮&#xff…

如何解决ChromeDriver 126找不到chromedriver.exe问题

引言 在使用Selenium和ChromeDriver进行网页自动化时,ChromeDriver与Chrome浏览器版本不匹配的问题时有发生。最近,许多开发者在使用ChromeDriver 126时遇到了无法找到chromedriver.exe文件的错误。本文将介绍该问题的原因,并提供详细的解决…

【第一天】计算机网络 TCP/IP模型和OSI模型,从输入URL到页面显示发生了什么

TCP/IP模型和OSI模型 这两个模型属于计算机网络的体系结构。 OSI模型是七层模型,从上到下包括: 应用层,表示层,会话层,传输层,网络层,数据链路层,物理层 TCP/IP模型是四层模型&…