httrack:将目标网站下载到本地可以离线查看
web扫描器
nikto:扫描服务器安装软件版本信息,扫描存在安全隐患的文件,配置漏洞,应用层的安全隐患,避免404误判
命令:nikto -host 目标
vega:图形化web扫描器
有两种模式:扫描模式,代理模式
skipfish:c语言编写,实验性web安全评估工具,递归爬网,基于字典,速度较快,误报较低
skipfish -o test 网址
-I hello只扫描包含hello的网址 -X /hello 不包含hello的网址 @后接写有网址的文件 -D url 跳转到页面 -l 并发请求 -A用户名密码 -C cookie
w3af:基于python语言编写,有9大类
audit:查找发现漏洞
arachni:开源免费
owasp_zap:很强大
burpsuite
优点:
web安全工具中的瑞士军刀
统一的集成工具可发现全部的web安全漏洞
proswigger开发