Web漏洞扫描工具(AWVS、Goby)
一、背景
想针对自己项目或者小公司的Web安全做相关扫描,自己做漏洞进行自查工作,能够减少自身系统的安全风险,提高系统的安全性。但是没有找到一些开源性质的、扫描质量比较高的相关工具,使用安全公司的专业产品价格又承受不起。
功夫不负有心人,找了两款开源或者具备有社区版的Web安全漏洞扫描工具: AWVS、Goby。
使用下来感觉还蛮不错的。 至少也能扫描到一些常见OWASP的TOP10漏洞、常规漏洞等,避免安全部门来扫描的时候让我们去整改(被扫出漏洞,要么扣分、要么罚款,按照漏洞级别进行惩罚)。 所以说主动做这个事情对我们本身也是有益的。
1、AWVS
Acunetix Web Vulnerability Scanner(AWVS)是一款专业级别的自动化Web应用程序安全扫描工具,由Acunetix公司开发。AWVS旨在帮助企业、组织和安全专家检测和评估Web应用程序中的潜在安全漏洞。它通过模拟攻击和深入扫描技术,能够识别出多种类型的Web安全威胁,包括但不限于:
- SQL注入
- 跨站脚本(XSS)
- 文件包含漏洞
- 目录遍历
- 认证和会话管理问题
- 不安全的直接对象引用
- 敏感数据泄露
- 缺乏功能级访问控制
- 不安全的反序列化
- 使用含有已知漏洞的组件
- 不安全的通讯
- 未验证的重定向和转发
AWVS的主要特点包括:
-
深度扫描能力:AWVS能够对Web应用程序进行全面扫描,不仅包括表面层面的HTML和CSS,还能深入到动态生成的内容和客户端脚本。
-
智能爬虫:内置的网络爬虫能够自动发现和枚举Web应用程序的所有可访问页面和功能,包括AJAX和框架中的内容。
-
自动化与定制:AWVS提供预设的扫描模板,同时也允许用户自定义扫描策略,包括选择特定的漏洞类型进行扫描。
-
详细的报告:扫描完成后,AWVS生成详细的报告,包括发现的每一个漏洞的信息、严重程度、位置以及修复建议。
-
直观的用户界面:AWVS拥有一个图形用户界面,使得非技术背景的用户也能够轻松使用。
-
集成与扩展性:AWVS可以与多种CI/CD工具和开发环境集成,支持自动化扫描和持续集成流程。
-
实时监测与警报:AWVS能够实时监测Web应用程序的健康状况,并在发现新漏洞时发出警报。
-
合规性报告:支持生成符合PCI DSS、OWASP Top 10等标准的报告,帮助组织达到合规要求。
-
多目标扫描:能够同时对多个Web应用程序进行扫描,适用于企业级环境。
-
代理功能:可以作为中间代理,捕获和分析Web流量,用于更细致的安全审计。
-
云与本地部署选项:AWVS提供云端服务和本地部署版本,满足不同场景下的需求。
需要注意的是,尽管AWVS是一款强大的工具,但它不能替代人工渗透测试和专业的安全审查。它应该被视为安全评估过程中的一个辅助工具,用于快速识别可能的风险点,后续还需要结合人工分析和测试来确认和修复发现的问题。
2、Goby
Goby是一款先进的网络安全测试工具,专注于网络空间测绘和漏洞扫描,由知名安全专家赵武(网名Zwell)创建,他也是Pangolin、JSky和FOFA等其他安全工具的作者。Goby的设计理念强调实战性和体系性,旨在为企业提供全面的网络安全防护方案。
以下是Goby的一些主要特性和功能:
-
资产发现与管理:Goby能够帮助企业梳理和管理其网络资产,包括硬件设备、服务器、网络设备和应用系统,建立完整的资产知识库。
-
漏洞扫描:Goby具备高效的漏洞扫描能力,能够自动检测网络设备和Web应用中存在的安全漏洞,支持超过10万种规则的识别引擎。
-
网络空间测绘:通过网络空间测绘技术,Goby可以绘制出目标网络的详细地图,包括开放端口、服务、操作系统信息等,帮助安全团队了解网络架构和潜在的攻击面。
-
自动化工作流:Goby支持自动化扫描和报告生成,减少手动操作,提高效率。同时,它还能够自动切换和扩展攻击路径,实现从一个入口点到横向移动的快速过渡。
-
自定义规则与插件:用户可以自定义漏洞扫描规则和开发插件,增强工具的功能和适应性,使其能够应对不断变化的威胁形势。
-
用户友好的界面:Goby提供了直观的用户界面和多个皮肤选项,使得安全测试和管理变得更加简便和高效。
-
跨平台支持:Goby可在Windows、Linux和macOS等操作系统上运行,提供广泛的兼容性。
-
报告与导出:工具内置了报告导出功能,可以生成详细的扫描报告,便于安全团队分析和分享结果。
-
教育与培训价值:Goby通过智能自动化的方式,帮助安全新手熟悉攻防演练,同时也助力高级渗透测试人员快速定位和攻克目标。
-
社区与生态:Goby有一个活跃的用户社区,提供技术支持、插件共享和最佳实践交流。
Goby作为一个开源项目,对于网络安全研究者和企业来说,是一个值得探索的资源,它不仅提供了一套强大的安全测试工具,还促进了网络安全领域内的知识共享和技术进步。由于它是免费提供的,这使得它成为众多企业和个人用户的首选工具之一。
二、工具使用过程
1、AWVS
1、docker安装,方便、快捷
docker run -it -d -p 443:3443 --cap-add LINUX_IMMUTABLE secfa/docker-awvs:240111130
访问路径: https://$ip:443
默认访问账号和密码: admin@admin.com Admin123
2、添加扫描站点
3、查看扫描任务
4、查看扫描漏洞
5、查看生成扫描报告,查看pdf
2、Goby
1、安装GUI客户端
2、套路一样,添加资产信息,进行扫描即可
三、关于网络安全与渗透的思考
网安是一个复杂的学科,除非是大公司或者非常看重安全的公司,一般需要第三方专业安全公司去做这个事情才是有保障。 毕竟有一些赔付协议在里面,同时专业的安全公司,他们的处理能力和预防能力更强。
说实在的,中小型公司很多老板对网络安全不是很重视,或者说在对网络安全上,不想投入成本。 但是,如果哪天因为被人利用漏洞入侵到系统,删除数据或者做一些恶意的操作才后悔,那就太晚了。报警都没用,侦查难度高,同时看你这个损失满不满足立案的门槛。
所以要防范于未然,除了DDOS这种无脑攻击无能为力(上WAF这些太氪金了,普通小企业根本扛不住,大公司都得脱一层皮)。其它如SQL注入、XSS、CSRF等等常见的OWASP Top10漏洞要做好防范,至少90%的"黑客"搞不到你这边了。 剩下的10%,只能说看运气了,真的要有人搞你,方法多的是,除非你的任何资源都不在公网展示了,那也等于倒闭了.
原文地址:https://blog.csdn.net/xyz_dream/article/details/140252154
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!