开源web漏洞扫描系统 – IronWASP 2014版发布

标签: 工具 IronWASP 漏洞扫描 | 发表时间:2014-04-25 12:05 | 作者:lock
出处:http://www.freebuf.com

IronWASP是一款开源的Web应用程序漏洞扫描系统,用户可以自定义安全扫描,并且可以自己用python/ruby来定义插件系统,来丰富漏洞测试项目,插件系统的语言版本是IronPython和IronRuby,语法上类似CPython和CRuby。

在2014版本中,加入了众多实用的功能,如下:
1、登陆记录
可以实时录制登陆信息进行自动化测试,这个功能相信在不少商业扫描器中已经集成了吧。
2、CSRF、失效的token、权限提升和隐藏参数自动化测试
IronWASP已经成为一个交互式测试igongju,能够发现一些手工发现的漏洞。
3、可以设置手工爬行
IronWASP自带一款浏览器,能够设置代理及自动处理SSL证书错误等。
4、DOM XSS检测支持
5、加入XPath注入模块 – XmlChor
6、无线路由器漏洞扫描模块 – WiHawk

下载地址
https://ironwasp.org/download.html

相关 [开源 web 漏洞] 推荐:

Google出品:开源Web App漏洞测试环境 – Firing Range

- - FreeBuf.COM | 关注黑客与极客
Google于周二发布了一个名为Firing Range的安全漏洞测试环境,旨在通过评估Web应用在XSS和其他方面的安全性,提高自动化扫描器的效率. Firing Range是由Google与米兰理工大学的安全研究员合作开发的,目的是为自动化扫描器建造一个“试验场”. Google公司自己也在使用Firing Range,目的“一是帮助我们测试,二是定义尽可能多的漏洞类型,包括一些我们目前尚且不能检测的”.

开源web漏洞扫描系统 – IronWASP 2014版发布

- - FreeBuf.COM
IronWASP是一款开源的Web应用程序漏洞扫描系统,用户可以自定义安全扫描,并且可以自己用python/ruby来定义插件系统,来丰富漏洞测试项目,插件系统的语言版本是IronPython和IronRuby,语法上类似CPython和CRuby. 在2014版本中,加入了众多实用的功能,如下:.

预防Web应用程序的漏洞

- - 月光博客
  如今的Web应用程序可能会包含危险的安全缺陷. 这些应用程序的全球化部署使其很容易遭受攻击,这些攻击会发现并恶意探测各种安全漏洞.   Web环境中两个主要的风险在于:注入——也就是SQL 注入,它会让黑客更改发往数据库的查询——以及 跨站脚本攻击(XSS),它们也是最危险的( Category:OWASP_Top_Ten_Project).

Apach警告Web Server发现拒绝服务漏洞

- coofucoo - Solidot
Apache发出警告,Apache HTTPD Web Server中发现拒绝服务漏洞,受影响的版本包括Apache 1.3分支和Apache 2分支的所有版本. Apache表示将在未来48小时内发布补丁. 名叫Apache Killer的攻击工具上周五发布在Full Disclosure邮件列表.

Web开发常见的几个漏洞解决方法

- - 博客园_知识库
本文主要根据本人项目的一些第三方安全测试结果,以及本人针对这些漏洞问题的修复方案,介绍在这方面的一些经验,希望对大家有帮助.   基本上,参加的安全测试(渗透测试)的网站,可能或多或少存在下面几个漏洞:SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露.   1、测试的步骤及内容.

WebPwn3r Web应用程序漏洞扫描程序(附视频)

- - FreeBuf.COM
WebPwn3r是一款Python语言编写的Web应用程序安全漏洞扫描程序,同时支持单对个URL及URL列表的漏洞检测. 1,检测代码执行漏洞 2,检测命令执行漏洞 3,检测典型的XSS漏洞 4,检测WebKnight WAF 5,指纹探测. 视频(以挖掘雅虎一个任意代码执行为例):. 链接: http://pan.baidu.com/s/1gd1ghHL.

2016年度Web漏洞统计之Exploit-db

- - FreeBuf.COM | 关注黑客与极客
2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析. 众所周知的 https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况.

基于Web页面验证码机制漏洞的检测

- - FreeBuf互联网安全新媒体平台
*声明:本篇文章仅供渗透测试参考,严禁用于非法用途. 在当今互联网上,每个用户或多或少都在部分网站上注册过一些帐号,当这些帐号涉及到金钱或者利益的时候,帐号的安全就是一个非常值得重视的问题,因此帐号的安全是各个厂商所非常关注的一个点. 但是依然会存在一些厂商在身份验证这一块上存在着漏洞,并不是厂商不注重这个问题,只是在代码层的验证过程中的逻辑出现了一些差异,往往这些逻辑漏洞利用起来比较容易.

WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案 - 牛奶、不加糖

- - 博客园_首页
一、跨站脚本攻击(XSS). XSS又叫CSS (Cross Site Script) ,跨站脚本攻击. 它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的. XSS攻击者通过构造URL的方式构造了一个有问题的页面;当其他人点击了此页面后,会发现页面出错,或者被暗中执行了某些js脚本,这时,攻击行为才真正生效.

Web是开源最大的成功

- Tomyail - 月光博客
  开源运动广受欢迎,并且在软件开发史上写下了浓重一笔. 有史以来,最成功的开源“项目”又是什么呢.   事实上,总体来看,Web不就是开源运动最大的成功么.   可能最有名的例子就是隐藏于众多网站背后的LAMP,也就是Linux、Apache、MySQL和PHP. 但当你仔细考虑后,你会发现更多.