推荐几款免费的扫描器，你值得拥有！！

如果您恰好是网络应用程序的所有者，如何确保您的网站安全并且不会泄露敏感信息？

如果它是基于云的安全解决方案，那么您可能只需要定期进行漏扫描。 但如果没有网站漏洞在线扫描，我们必须进行例行扫描并采取必要的措施来降低安全风险。

这里推荐几款免费扫描仪。

1.

它是一个基于Ruby框架的高性能安全扫描器，适用于现代Web应用程序。 适用于 Mac 和 Linux 系统的便携式二进制文件。

它不仅可以扫描基本的静态或CMS网站，还可以识别以下平台指纹信息（（硬盘序列号和网卡物理地址））。 并且支持主动检测和被动检测。

常见检测到的漏洞类型包括：

此外，您还可以选择以HTML、XML、Text、JSON、YAML等格式输出审计报告。

以插件的形式帮助我们将扫描范围扩展到更深层次。

2.XssPy

一个强有力的事实是，许多大型企业组织如微软、斯坦福、摩托罗拉等都在使用这种基于它的XSS（跨站脚本）漏洞扫描器。 XssPy 由才华横溢的 Ahmad 编写，是一个非常智能的工具，不仅可以检查主页或给定页面，还可以检查网站上的所有链接以及子域。 因此网站漏洞在线扫描，XssPy的扫描非常详细和广泛。

3.w3af

w3af是一个开源项目，于2006年底启动，基于w3af，可用于Linux和系统。 w3af 能够检测 200 多个漏洞，包括 OWASP 前 10 名中提到的漏洞。该程序基于插件架构构建。

w3af可以帮助您使用Web应用程序审核注入、URL、字符串查询、后数据等，并支持各种记录方法来完成报告，例如：

4.尼克托

相信很多人都熟悉Nikto。 这是一个由（专门从事网络安全扫描仪，总部位于英国）赞助的开源项目，旨在发现网络服务器配置错误、插件和网络漏洞。 Nikto 已对 6,500 多个风险项目进行了全面测试。 支持HTTP代理、SSL或NTLM身份验证等，并确定每次目标扫描的最大执行时间。

Nikto 也可在 Kali Linux 上使用，并且在发现企业内联网解决方案中的 Web 服务器安全风险方面具有巨大潜力。

5.模糊

Wfuzz（Web）也是一个用于渗透的应用评估工具。 它可以对任意字段的 HTTP 请求中的数据进行混淆，并对 Web 应用程序进行审计。

需要在被扫描的计算机上安装 Wfuzz。

6.OWASP ZAP

ZAP（Zet Proxy）是著名的渗透测试工具之一，由全球数百名志愿者程序员积极更新和维护。 它是一个跨平台的 Java 工具，甚至可以在 Pi 上运行。 ZAP 拦截并检查浏览器和 Web 应用程序之间的消息。

ZAP值得一提的优秀特性：

7.

扫描特定目标网页中是否存在可注入数据的脚本和表单，以验证是否存在漏洞。 它不是对源代码进行安全检查，而是执行黑盒扫描。

如果您了解开发，还可以使用 vega API 创建新的攻击模块。

9.

顾名思义，我们可以用它来对数据库进行渗透测试和漏洞搜寻。

在所有操作系统上支持 2.6 或 2.7。 如果您正在寻找 SQL 注入和数据库漏洞，它是一个好助手。

10.

这也是一个做得很好的小工具。 以下是一些特殊功能：

11.

这是一个用于管理和运行一些流行的安全工具的框架，例如 Wfuzz、DNS recon、bot 分析器等。

它非常智能，可以整合其他工具的测试反馈，输出统一的结果。

12.OWASP XSS

OWASP 的 XSS 是一个用于查找和利用跨站点脚本的高级框架，内置三个智能模糊器，用于快速扫描和结果优化。

这个工具有数百个功能； 网络安全对于在线业务至关重要。 希望这些免费的漏洞扫描程序能够帮助读者及时发现风险，并在漏洞被恶意利用之前修复漏洞。