Web 應用程序漏洞掃描程序建議？

我正在為 ol’ admin 工具包尋找一個新工具，並會重視一些建議。

我想對少數網站的 XSS（跨站點腳本）漏洞進行一些“自動”測試，同時檢查 SQL 注入機會。我意識到自動化工具方法不一定是唯一或最好的解決方案，但我希望它能給我一個好的開始。

我需要掃描的站點涵蓋了從 PHP / MySQL 到 Coldfusion 的堆棧範圍，其中混合了一些經典的 ASP 和 ASP.NET 以進行良好的衡量。

您會使用哪些工具來掃描 Web 應用程序漏洞？

（請注意，我直接關注網路應用程序，而不是伺服器本身）。

我從wapiti得到了很好的結果——它會掃描你的 web 表單並嘗試對它們進行注入和 XSS 攻擊。

如果你有時間，我建議你使用backtrack發行版——它是一個修改過的 ubuntu liveCD，已經載入了 nikto、wapiti、openVAS（nessus 的一個分支）和數百個其他出色的安全審計工具；我已經在一些審計中使用了它並且取得了很好的結果——它絕對值得探索它的工具。

請參閱此處的 nikto分步指南。

看看尼克托

引用自：https://serverfault.com/questions/45717