网站安全测试工具(api安全测试工具)

PHP的安全性现在是越来越好了PHP6。0版本都把存在的SQL漏洞都解决了 但是为了安全起见还是应该做安全检测 检测方法：SQL 注入法 、脚本代码、参数传递等方法 具体情况参看PHP官方网站 安全篇章
如果要提升网站的安全性，推荐使用思客云开发的找八哥软件源代码安全测试系统，对网站源代码进行全面的白盒测试再上线，以免出现其他漏洞从而遭受攻击。找八哥软件源代码安全测试系统支持安全漏洞，性能缺陷，编码规范等9大类1000多类小问题的综合性分析。可全面的源代码进行详细的检测，解决网站安全隐患。
http://bbs.et8.net/bbs/printthread.php?t=890692&pp=100 可以解决的

今天小编要跟大家分享的文章是关于开源Web应用的安全测试工具汇总。Web应用安全测试可对Web应用程序执行功能测试，找到尽可能多的安全问题，大大降低黑客入侵几率。 在研究并推荐一些最佳的开源Web应用安全测试工具之前，让我们首先了解一下安全测试的定义、功用和价值。一、安全测试的定义安全测试可以提高信息系统中的数据安全性，防止未经批准的用户访问。在Web应用安全范畴中，成功的安全测试可以保护Web应用程序免受严重的恶意软件和其他恶意威胁的侵害，这些恶意软件和恶意威胁可能导致Web应用程序崩溃或产生意外行为。安全测试有助于在初始阶段解决Web应用程序的各种漏洞和缺陷。此外，它还有助于测试应用程序的代码安全性。Web安全测试涵盖的主要领域是：·认证方式·授权书·可用性·保密·一致性·不可否认二、安全测试的目的全球范围内的组织和专业人员都使用安全测试来确保其Web应用程序和信息系统的安全性。实施安全测试的主要目的是：·帮助提高产品的安全性和保质期·在开发初期识别并修复各种安全问题·评估当前状态下的稳定性三、为什么我们需要重视Web安全测试·避免性能不一致·避免失去客户信任·避免以安全漏洞的形式丢失重要信息·防止身份不明的用户盗窃信息·从意外故障中恢复·节省解决安全问题所需的额外费用目前市场上有很多免费、付费和开源工具可用来检查Web应用程序中的漏洞和缺陷。关于开源工具，除了免费之外，最大的优点是可以自定义它们，以符合您的特定要求。以下，是我们推荐的十大开源安全测试列表：1、ArachniArachni面向渗透测试人员和管理员的旨在识别Web应用程序中的安全问题。该开源安全测试工具能够发现许多漏洞，包括：·无效的重定向·本地和远程文件包含·SQL注入·XSS注射主要亮点：·即时部署·模块化，高性能Ruby框架·多平台支持下载：https://github.com/Arachni/arachni2、劫掠者便携式Grabber旨在扫描小型Web应用程序，包括论坛和个人网站。轻量级的安全测试工具没有GUI界面，并且使用Python编写。Grabber发现的漏洞包括：·备份文件验证·跨站脚本·文件包含·简单的AJAX验证·SQL注入主要亮点：·生成统计分析文件·简单便携·支持JS代码分析下载：https://github.com/amoldp/Grabber-Security-and-Vulnerability-Analysis-3、IronWaspIronWasp是一种开放源代码，功能强大的扫描工具，能够发现25种以上的Web应用程序漏洞。此外，它还可以检测误报和误报。IronWasp可帮助暴露各种漏洞，包括：·身份验证失败·跨站脚本·CSRF·隐藏参数·特权提升主要亮点：·通过插件或模块可扩展地用C#、Python、Ruby或VB.NET编写·基于GUI·以HTML和RTF格式生成报告下载：https://github.com/Lavakumar/IronWASP4、NogotofailNogotofail是Google开发的网络流量安全测试工具，一款轻量级的应用程序，能够检测TLS/SSL漏洞和配置错误。Nogotofail暴露的漏洞包括：·MiTM攻击·SSL证书验证问题·SSL注入·TLS注入主要亮点：·易于使用·轻巧的·易于部署·支持设置为路由器、代理或VPN服务器下载：https://github.com/google/nogotofail5、SonarQube另一个值得推荐的开源安全测试工具是SonarQube。除了公开漏洞外，它还用于衡量Web应用程序的源代码质量。尽管使用Java编写，SonarQube仍能够分析20多种编程语言。此外，它可以通过持续集成工具轻松地集成到Jenkins之类的产品中。SonarQube发现的问题以绿色或红色突出显示。前者代表低风险的漏洞和问题，而后者则代表严重的漏洞和问题。对于高级用户，可以通过命令提示符进行访问。对于那些相对较新的测试人员，有一个交互式GUI。SonarQube暴露的一些漏洞包括：·跨站脚本·拒绝服务(DoS)攻击·HTTP响应拆分·内存损坏·SQL注入主要亮点：·检测棘手的问题·DevOps集成·设置pullrequests请求分析·支持短期和长期代码分支的质量跟踪·提供QualityGate·可视化项目历史下载：https://github.com/SonarSource/sonarqube6、SQLMapSQLMap完全免费，可以实现网站数据库中SQL注入漏洞检测和利用过程的自动化。该安全测试工具附带一个功能强大的测试引擎，能够支持6种类型的SQL注入技术：·基于布尔的盲注·基于错误·带外·堆叠查询·基于时间的盲注·UNION查询主要亮点：·自动化查找SQL注入漏洞的过程·也可以用于网站的安全测试·强大的检测引擎·支持多种数据库，包括MySQL、Oracle和PostgreSQL下载：https://github.com/sqlmapproject/sqlmap7、W3afW3af是最受Python开发者喜欢的Web应用程序安全测试框架之一。该工具覆盖Web应用程序中超过200多种类型的安全问题，包括：·SQL盲注·缓冲区溢出·跨站脚本·CSRF·不安全的DAV配置主要亮点：·认证支持·易于上手·提供直观的GUI界面·输出可以记录到控制台，文件或电子邮件中下载：https://github.com/andresriancho/w3af8、WapitiWapiti是领先的Web应用程序安全测试工具之一，它是SourceForge和devloop提供的免费的开源项目。Wapiti可执行黑盒测试，检查Web应用程序是否存在安全漏洞。由于是命令行应用程序，因此了解Wapiti使用的各种命令非常重要。Wapiti对于经验丰富的人来说易于使用，但对于新手来说却是一个的考验。但请放心，您可以在官方文档中找到所有Wapiti说明。为了检查脚本是否易受攻击，Wapiti注入了有效负载。该开源安全测试工具同时支持GET和POSTHTTP攻击方法。Wapiti暴露的漏洞包括：·命令执行检测·CRLF注射·数据库注入·档案披露·Shellshock或Bash错误·SSRF(服务器端请求伪造)·可以绕开的.htaccess弱配置·XSS注入·XXE注入主要亮点：·允许通过不同的方法进行身份验证，包括Kerberos和NTLM·带有buster模块，可以暴力破解目标Web服务器上的目录和文件名·操作类似fuzzer·同时支持GET和POSTHTTP方法进行攻击下载：https://github.com/mbarbon/wapiti9、WfuzzWfuzz是用Python开发的，普遍用于暴力破解Web应用程序。该开源安全测试工具没有GUI界面，只能通过命令行使用。Wfuzz暴露的漏洞包括：·LDAP注入·SQL注入·XSS注入主要亮点：·认证支持·Cookiesfuzzing·多线程·多注入点·支持代理和SOCK下载：https://github.com/xmendez/wfuzz10、Zed攻击代理(ZAP)ZAP或ZedAttackProxy由OWASP(开放Web应用程序安全项目)开发，是一种跨多平台，开放源代码Web应用程序安全测试工具。ZAP用于在开发和测试阶段查找Web应用程序中的许多安全漏洞。由于其直观的GUI，新手和专家都可以轻松使用ZedAttachProxy。安全测试工具支持高级用户的命令行访问。除了是最著名的OWASP项目之一，ZAP还是当之无愧的Web安全测试旗舰产品。ZAP用Java编写。除了用作扫描程序外，ZAP还可以用来拦截代理以手动测试网页。ZAP暴露的漏洞包括：·应用错误披露·非HttpOnlyCookie标识·缺少反CSRF令牌和安全标头·私人IP披露·URL重写中的会话ID·SQL注入·XSS注入主要亮点：·自动扫描·易于使用·多平台·基于休息的API·支持身份验证·使用传统而强大的AJAX蜘蛛下载：https://github.com/zaproxy以上就是小编今天为大家分享的关于开源Web应用的安全测试工具汇总的文章，希望本篇文章能够对大家有所帮助，想要了解更多Web相关知识记得关注北大青鸟Web培训官网，最后祝愿小伙伴们工作顺利。

试试安全软件扫描 打开腾讯电脑管家——工具箱——漏洞修复 可以自动修复漏洞：第一时间发现并修复系统存在的高危漏洞，在不打扰您的情况下自动为系统打上漏洞补丁，轻轻松松将病毒木马拒之门外。自动修复漏洞电脑管家可以在发现高危漏洞（仅包括高危漏洞，不包括其它漏洞）时，第一时间自动进行修复，无需用户参与，最大程度保证用户电脑安全。
Nikto是基于PERL开发的程序，所以需要PERL环境。Nikto支持Windows（使用ActiveState Perl环境）、Mac OSX、多种Linux 或Unix系统。Nikto使用SSL需要Net::SSLeay PERL模式，则必须在Unix平台上安装OpenSSL。从官方网站上下载nikto-current.tar.gz文件，在Linux系统解压操作：tar -xvf nikto-current.tar.gzgzip -d nikto-current.tar解压后的结果如下所示：Config.txt、docs、kbase、nikto.pl、plugins、 templatesNikto的使用说明：Nikto扫描需要主机目标IP、主机端口。默认扫描的是80端口。扫描主机目标IP地址可以使用选项-h(host)。下面将扫描IP为192.168.0.1的TCP 80端口，如下所示：perl nkito.pl –h 192.168.0.1也可以自定义扫描的端口，可以使用选项-p(port)，下面将扫描IP为192.168.0.1的TCP 443端口，如下所示：perl nikto.pl –h 192.168.0.1 –p 443Nikto也可以同时扫描多个端口，使用选项-p(port)，可以扫描一段范围（比如：80-90），也可以扫描多个端口（比如：80,88,90）。下面扫描主机的80/88/443端口，如下所示：Perl nikto.pl –h 192.168.0.1 –p 80,88,443如果运行Nikto的主机是通过HTTP proxy来访问互联网的，也可以使用代理来扫描，使用选项-u(useproxy)。下面将通过HTTP proxy来扫描，如下所示：Perl nikto.ph –h 192.168.0.1 –p 80 –uNikto的更新：Nikto的升级可以通过-update的命令来更新插件和数据库，如下所示：Perl nikto.ph –update也可以通过从网站下载来更新插件和数据库：http://updates.cirt.net/Nikto的选项说明：-Cgidirs扫描CGI目录。-config使用指定的config文件来替代安装在本地的config.txt文件-dbcheck选择语法错误的扫描数据库。-evasion使用LibWhisker中对IDS的躲避技术，可使用以下几种类型：1．随机URL编码（非UTF-8方式）2．自选择路径（/./）3．虚假的请求结束4．长的URL请求5．参数隐藏6．使用TAB作为命令的分隔符7．大小写敏感8．使用Windows路径分隔符替换/9．会话重组-findonly仅用来发现HTTP和HTTPS端口，而不执行检测规则-Format指定检测报告输出文件的格式，默认是txt文件格式（csv/txt/htm）-host目标主机，主机名、IP地址、主机列表文件。-idID和密码对于授权的HTTP认证。格式：id:password-mutate变化猜测技术1.使用所有的root目录测试所有文件2.猜测密码文件名字3.列举Apache的用户名字(/~user)4.列举cgiwrap的用户名字(/cgi-bin/cgiwrap/~user)-nolookup不执行主机名查找-output报告输出指定地点-port扫描端口指定，默认为80端口。-Pause每次操作之间的延迟时间- Display控制Nikto输出的显示1.直接显示信息2.显示的cookies信息3.显示所有200/OK的反应4.显示认证请求的URLs5.Debug输出-ssl强制在端口上使用SSL模式-Single执行单个对目标服务的请求操作。-timeout每个请求的超时时间，默认为10秒-TuningTuning 选项控制Nikto使用不同的方式来扫描目标。0．文件上传1.日志文件2.默认的文件3.信息泄漏4.注射（XSS/Script/HTML）5.远程文件检索（Web 目录中）6.拒绝服务7.远程文件检索（服务器）8.代码执行－远程shell9.SQL注入a.认证绕过b.软件关联g.属性（不要依懒banner的信息）x.反向连接选项-useproxy使用指定代理扫描-update更新插件和数据库

如果对网站进行自动化测试的话，首先要考虑的是性能，推荐使用性能测试工具Loadrunner，这个软件可以模拟负载人数，模拟压力测试，最终以报告的形式展示出网站的总体性能情况；其次，要考虑的是安全，也就是说要对网站进行安全测试，安全测试工具可以使用Acunetix Web Vulnerability Scanner，此工具很强大，可以对XSS以及SQL注入等安全问题进行全方位的测试，最后以分数的形式展示被测网站的安全指数，并对安全漏洞进行提示，最后，我想说的是，安全测试最好配合手动测试来进行，因为只用工具不一定能达到最好的测试效果，手动测试也是很重要的；另外，还有一种工具是测试网站链接的，就是测试网站是否存在死链接等情况，这个工具叫Xenu Link Sleuth，需要说明的是，这个软件运行的时候也要对网站产生少量的压力，使用的话需要主要一点。

1. Page Speed Online Google的Page Speed Online（页面在线速度）启用了Google的网页性能优化方案。输入你的网站，跑网页分析。结束之后，Page Speed会打出一个综合分数，让后提供一套该净方案的总结报告：你可以逐个点击查看。它还包括了手机端的网速测试。2. Pingdom ToolsPingdom提供服务器，网络和网页监测。它的总结报告更加详细：网页上的每一个对象的速度都有一份独立报告（图像、视屏、脚本、样式表等)，其中还包括了网页缓存。报告中的细目包括了下载速度，网页大小和提交的协议3. Free Website Performance Test (BrowserMob)BrowserMob的产品，提供网页加载测试和监测服务。它的报告信息量更大（如图)。还有一个特点是，它从全球4个地方ping你的网站，让后给出综合报告。给了你一个全球性的视角。4. Which loads faster?这个工具比较两个网站的速度，最后提供的报道是个相对的信息。这样的工具很有用处：譬如输入google 和bing 来比较两者的优劣。同样的，你可以用它来比较自己和竞争者的网站。值得一提的是，它是个开源的工具。5. WebPagetest这个小巧的工具是把你的网页加载到浏览器上从而测试他们的网页加载速度（浏览器包括了Chrome,Firefox 和IE).用户还能选择全球不同的地点打开你的网页的速度。更加高级的功能是你能选择用户端网速和是否包括“屏蔽广告”，你就能知道在网页上跑广告的性能代价6. Web Page Analyzer这是所有这些性能测试里面最老的一个，建于2003年；根据测试报告，附加提供性能的意见。7. Show Slow服务器应用ShowSlow的开源网页版；你可以添加需要检测的网页，show slow帮你用三大测试工具（YSlow,PageSpeed 和dynaTrac）定时测试。这个工具虽然是免费的，但是需要注册使用。8. Site-Perf这个对于网页设计人员来讲，有点太技术性，它的数据报告是基于发送包的数量和经过的路由器等等数据结合的；没有针对网页设计人员的总结。但是对于技术人员来讲，又简单了点。但是它有一个特点，对于需要登录的网页，提供用户名和密码也能监测。9. Load Impact这个是20个工具里面功能最强大的。它可以进行压力测试：用虚拟器模拟用户，观测随着用户增加，网页性能的变化。可以测试出你的网页的耐用和高效。10. OctaGate SiteTimer这个是所有工具里面最直观的；如果你就想知道你的网页里面哪个元素拖了后腿，就跑这个工具。它就一张图，告诉你每个网页元素下载需要时间。另外10个：11.Web Site Performance Test (Gomez) – 实时检测，深入到包括了查找域名时间。12.Webslug – 比较两个网站从而给出一个相对性能优劣总结13.WebWait – 简单的工具；你给出要多少次要求，它显示每次要网页间的时间差14.Website Speed Test (Searchmetrics) – 基于网络速度，给出网页性能报表。15.GTmetrix – 用Yslow和PageSpeed做测试的工具网站。总结报告一目了然，适用于对外报告。16.Website Speed Test (WebToolHub) – 表格形式，可以用在商务企划书上。17.Yottaa Site Speed Optimizer – 需要注册。可以用在商业企划书上，总结报告做地很漂亮。18.Zoompf Free Web Performance Scan – 需要电邮注册。它会扫一下你的网页，总结出取决网页性能的元素。19.Site speed checker – 可以定义测试，然后放在最多10个网页上一起跑。 20.Free web site speed test (Self SEO) – 可以10个网页一起测试，看它们之间的差别。