漏洞層出不窮 試試這些開源漏洞檢測工具

最近漏洞新聞層出不窮，作為一名技術人員，我們在注意自身文件安全的同時更要學會如何防護漏洞，同時這也是企業安全策略的重要組成部分。本文將介紹 10 款開源的漏洞檢測工具，以供開發者們參考選擇。

1、Java自動化SQL注入測試工具 jSQL

鏈接：http://www.oschina.net/p/jsql-tool

jSQL是一款輕量級安全測試工具，可以檢測SQL注入漏洞。它跨平台（Windows, Linux, Mac OS X, Solaris）、開源且免費。

2、漏洞評估系統 OpenVAS

鏈接：http://www.oschina.net/p/openvas

OpenVAS是開放式漏洞評估系統，也可以說它是一個包含著相關工具的網路掃描器。其核心部件是一個伺服器，包括一套網路漏洞測試程序，可以檢測遠程系統和應用程序中的安全問題。

其架構如下圖所示：

3、漏洞檢測工具 cvechecker

鏈接：http://www.oschina.net/p/cvechecker

cvechecker 將檢查你的系統和已安裝的軟體，並報告可能存在的漏洞。通過匹配 CVE 資料庫。

4、Web安全測試平台 Vega Platform

鏈接：https://www.oschina.net/p/vega

Vega是一個開放源代碼的web應用程序安全測試平台，Vega能夠幫助你驗證SQL注入、跨站腳本（XSS）、敏感信息泄露和其它一些安全漏洞。 Vega使用Java編寫，有GUI，可以在Linux、OS X和windows下運行。Vega類似於 Paros Proxy, Fiddler, Skipfish and ZAproxy。

5、路由器漏洞檢測及利用框架 RouterSploit

鏈接：https://www.oschina.net/p/routersploit

RouteSploit框架是一款開源的漏洞檢測及利用框架，其針對的對象主要為路由器等嵌入式設備。

RouteSploit框架主要由可用於滲透測試的多個功能模塊組件組成：

• Scanners：模塊功能主要為檢查目標設備是否存在可利用的安全漏洞；

• Creds：模塊功能主要針對網路服務的登錄認證口令進行檢測；

• Exploits：模塊功能主要為識別到目標設備安全漏洞之後，對漏洞進行利用，實現提權等目的。

6、Web滲透測試 Zed Attack Proxy

鏈接：https://www.oschina.net/p/zap

Zed Attack Proxy (Zaproxy) 是一個滲透測試工具，用來使Web應用更安全。雖然 ZAP 可以自動檢測一些安全問題，它主要用於手動幫助您尋找安全漏洞。

7、基於Java的開源URL嗅探器 URL-Detector

鏈接：https://www.oschina.net/p/url-detector

這是一個可以檢測並規範化文本中的URL地址的Java庫。是由 Linkedin 公司 開源的一個URL探測工具。

Linkedin 在每一秒鐘，會檢查數十萬數量級的 URLs 。這些 URL 可能是來自惡意軟體或者釣魚網站的，為了保障每一個用戶有一個安全的瀏覽體驗，同時防止潛在的危險，Linkedin後端的內容檢查服務程序會檢查所有由用戶產生的內容。為了在這每秒數十萬規模的用戶內容上檢測不良的 URL，Linkedin要有能夠在快速此規模上提取文本中URL 的方法。

8、漏洞掃描工具 Nikto

鏈接：https://www.oschina.net/p/nikto

Nikto是一款開放源代碼的、功能強大的WEB掃描評估軟體，能對web伺服器多種安全項目進行測試的掃描軟體，能在230多種伺服器上掃描出 2600多種有潛在危險的文件、CGI及其他問題，它可以掃描指定主機的WEB類型、主機名、特定目錄、COOKIE、特定CGI漏洞、返回主機允許的 http模式等等。它也使用LibWhiske庫，但通常比Whisker更新的更為頻繁。Nikto是網管安全人員必備的WEB審計工具之一。

9、漏洞掃描程序 Nessus

鏈接：https://www.oschina.net/p/nessus

Nessus 號稱是"世界上最流行的漏洞掃描程序,全世界超過75,000個組織在使用它".儘管這個掃描程序可以免費下載得到,但是要從Tenable Network Security更新到所有最新的威脅信息,每年的直接訂購費用是$1,200.Linux, FreeBSD, Solaris, Mac OS X和Windows下都可以使用 Nessus。

10、容器漏洞分析服務 Clair

鏈接：https://www.oschina.net/p/clair

Clair 是一個容器漏洞分析服務。它提供一個能威脅容器漏洞的列表，並且在有新的容器漏洞發布出來後會發送通知給用戶。

如果你還用過其他更好的工具，歡迎在評論區列出。

本文由開源中國整理，轉載必須在正文中標註出處並保留原文鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！