需要一个 Web 漏洞扫描，求推荐

需要一个 Web 漏洞扫描，求推荐，最好是开源免费的，哈哈！

HuasLeung

2019-05-27 11:19:51 +08:00

sqlmap

w9ay

2019-05-27 11:39:09 +08:00

https://github.com/w-digital-scanner/w9scan

yuhao2019

2019-05-27 13:55:22 +08:00

sqlmap

jiangxinlingdu

2019-05-27 15:34:43 +08:00

感谢，sqlmap 的确非常不错，一般漏洞扫描是填写一个 url，爬虫的方式一个一个扫描吗？　 XSS 漏洞、SSL 的漏洞类似这些还是需要代码实现吧，还有怎么快速扫描完成呢，如果 url 太多爬的时间过久是不是效果不太好？

fengjianxinghun

2019-05-27 15:39:44 +08:00

w3af

xfspace

2019-05-27 15:46:13 +08:00

openvas

钱多课上 nessus

NetworkManager

2019-05-27 15:52:58 +08:00

WDScanner

lr3800

2019-05-27 17:22:24 +08:00

sqlmap 只能单一检测 sql 注入,如果你需要批量检测的话可以试试这个爬虫脚本 https://github.com/s0md3v/Photon，再利用 sqlmapapi 进行批量检测，可以参考我这个脚本 https://github.com/lr3800/sqlmapapi_

我还是推荐开源的 OWASP ZAP ，可以在开发和测试应用程序时自动查找 Web 应用程序中的安全漏洞。
https://github.com/zaproxy/zaproxy/wiki/Downloads

heyncik

2019-05-27 17:28:21 +08:00

以我参加攻防的经验，你需要 Burp Suite Scanner

alienangel

2019-05-27 17:40:31 +08:00

Metasploit

fatbear

2019-05-27 18:19:18 +08:00

估计楼主是想要一个填写 URL 然后无脑下一步就能自动化发现 web 漏洞的程序，楼上有些人推荐的不太能满足楼主的要求，sqlmap 只能针对 sql 注入进行检测； Metasploit 侧重于攻击方面，而不是扫描，他的扫描模块是基于 nessus 进行的，可以看看 w3af，tangscan，burpsuite scanner，nessus，前两个是开源免费的，在 github 上可以搜到，第三个免费的社区版不提供 scanner 功能，专业版需要在网上找破解资源，nessus 对个人免费，可以在官网下载

yzkcy

2019-05-27 18:23:29 +08:00

没人提 awvs ？最好用的没有之一，满足你的需求，填个 url 无脑下一步。

yurang

2019-05-27 18:27:36 +08:00

Nessus，个人用户可以扫描 15 个资产，可以更新特征库

linvaux

2019-05-27 18:30:37 +08:00

appscan

qiaoy

2019-05-27 19:19:24 +08:00

awvs、appscan 52 破解上搜一搜破解方法

jiangxinlingdu

2019-05-28 12:51:43 +08:00

感谢各位，多谢多谢……

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/567968

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.