随着互联网的快速发展,越来越多的企业会选择开发自己的网上商城系统,但是网络的发展带动了黑客的发展,许多的黑客以攻击网站和泄露数据来赚钱,因此,为了确保您的网站或在线数
据安全,需要针对商城系统进行安全测试,下面商派小编给大家介绍11个商城系统安全测试工具!
1、Wapiti
Wapiti是一种高效的商城系统安全测试工具,可用于评估商城系统的安全性。它执行“黑盒测试”,以检查商城系统是否存在可能的漏洞。在测试过程中,它会扫描网页并注入测试数据以检
查安全性失效。Wapiti支持GET和POST HTTP攻击,可识别各种类型的漏洞,例如:
文件披露
数据库注入
XSS注射
命令执行检测
CRLF注射
XXE注射
潜在危险的文件
弱.htaccess配置易于绕过
备份文件给出披露
Wapiti是一个命令行应用程序,对初学者来说很难,但对专家来说很容易。该软件需要完整的命令知识。
2、Zed攻击代理
Zed攻击代理通常称为ZAP,是由OWASP开发的开源代码。在Windows,Unix / Linux和Mac OS的支持下,ZAP使您能够在商城系统中找到各种安全漏洞,即使在开发和测试阶段也是如此。即使
您是渗透测试的初学者,该测试工具也易于使用。Zap的主要特点是:
自动扫描仪
身份验证支持
AJAX蜘蛛
动态SSL证书
强制浏览
拦截代理
Web套接字支持
即插即用支持
基于REST的API等等。
3、Vega
Vega是一个免费的开源商城系统测试工具。Vega采用JAVA编写,带有GUI界面。它适用于Windows,Linux和Mac OS。它可以帮助你:
查找SQL注入
验证SQL注入
文件包含
跨站点脚本(XSS)
提高TLS服务器的安全性
该工具还允许您设置首选项,例如每秒的最大和最小请求数,路径后代数和节点数等。一旦提供了适当的凭据,您可以使用Vega作为自动扫描程序,拦截代理并运行它作为代理扫描程序。
4、 W3af
W3af是一个流行的商城系统安全测试框架。使用Python开发,它提供了一个高效的商城系统渗透测试平台。此工具可用于检测商城系统中的200多种类型的安全问题,包括SQL注入和跨站点脚
本。它会检查商城系统中的以下漏洞:
盲SQL注入漏洞
缓冲区溢出漏洞
多个CORS配置错误
不安全的DAV配置
CSRF漏洞等等
W3af提供GUI和控制台界面,易于理解。它还允许您通过身份验证模块对网站进行身份验证。
5、 Skipfish
Skipfish是一种商城系统安全测试工具,可以递归地抓取网站并检查每个页面是否存在可能的漏洞,并最终准备审计报告。Skipfish采用C语言编写,针对HTTP处理进行了优化,并留下了最
小的CPU占用空间。该软件声称每秒处理2K请求,而不显示CPU占用空间。此外,该工具声称提供高质量的积极因素,因为它在抓取和测试商城系统时使用启发式方法。
适用于商城系统的Skipfish安全测试工具适用于Linux,FreeBSD,Mac OS X和Windows。
6、 Ratproxy
Ratproxy是另一个开源商城系统安全测试工具,可用于查找商城系统中的任何失效,从而使应用程序免受任何可能的黑客攻击。这种半自动测试软件由Linux,FreeBSD,MacOS X和Windows(
Cygwin)系统支持。
Ratproxy经过优化,可以克服其他代理系统中用户反复遇到的安全审计问题。此测试工具可以轻松区分CSS样式表和JavaScript代码。
7、SQLMap
SQLMap是一种流行的开源商城系统安全测试工具,可以自动检测和利用网站数据库中的SQL注入漏洞。它具有多种功能,具有强大的测试引擎,可以毫不费力地穿透测试并在商城系统上执行
SQL注入检查。
SQLMap支持大量的数据库服务,包括MySQL,Oracle,PostgreSQL,Microsoft SQL Server等。此外,测试工具支持六种类型的SQL注入方法。
8、 Wfuzz
Wfuzz是另一种用于商城系统安全测试工具的开源工具,可以在市场上免费获得。该测试工具以Python开发,用于强制商城系统。Wfuzz的一些功能是:
多个注射点
输出到HTML
模糊的饼干
多线程
代理支持
SOCK支持
身份验证支持
所有参数暴力强制(POST和GET)
基线请求(过滤结果)
蛮力HTTP方法
多代理支持
HEAD扫描
帖子,标题和身份验证数据强制执行
使用WFuzz时,您必须使用命令行界面,因为没有可用的GUI界面。
9、Grendel-Scan
Grendel-Scan是一个有用的开源商城系统安全工具,旨在发现商城系统中的安全性失效。该工具适用于Windows,Linux和Macintosh,是用Java开发的。它附带一个自动测试模块,用于检测
商城系统中的漏洞。此外,该软件还包括许多功能,尤其是手动渗透测试。
10、Arachni
Arachni是一个开源商城系统安全测试工具,旨在帮助渗透测试人员和管理员评估商城系统的安全性。开发此工具是为了识别商城系统中的安全性失效并使其成为黑客证明。Arachni可以检测
到:
SQL注入
XSS
本地文件包含
远程文件包含
无效的重定向和许多其他重定向
Arachni支持所有主要操作系统,如MS Windows,Mac OS X和Linux。
11、Grabber
Grabber是一款开源商城系统扫描程序,可检测 商城系统中的安全漏洞。它是便携式的,旨在扫描小型商城系统,如论坛和个人网站。它可以识别以下问题:
跨站脚本
SQL注入
文件包含
备份文件验证
简单的AJAX验证
使用PHP-SAT对PHP应用程序进行混合分析测试
生成用于统计分析的文件
Grabber是一个小型测试工具,需要更多时间来扫描大型应用程序。此外,由于它是专为个人使用而设计的,因此扫描仪没有任何GUI界面,也没有生成PDF报告的功能。Grabber是用Python开
发的。人们可以很容易地找到源代码并根据需求进行修改。
如果您使用的是任何重要工具但它不在列表中,您可以删除注释,我会尝试添加它。
