以下是几款免费开源的 Web 应用程序漏洞扫描器:
Grabber Grabber は、多くのセキュリティの脆弱性を検出することができる、無料のオープンソースの Web アプリケーションスキャンツールです。クロスサイトスクリプティング、SQL インジェクション、Ajax テスト、ファイルインクルード、JS ソースコードアナライザー、バックアップファイルチェックなどが含まれます。Grabber は、小規模な Web アプリケーションのテストに適していますが、大規模なアプリケーションではスキャンに時間がかかります。このツールには GUI インターフェースも提供されておらず、PDF レポートも生成できません。主に個人の使用を対象としています。
ダウンロードリンク:https://github.com/neuroo/grabber
Vega Vega は、無料のオープンソースの Web 脆弱性スキャンツールおよびテストプラットフォームです。このツールを使用すると、Web アプリケーションのセキュリティテストを実行できます。Vega は Java で開発されており、GUI ベースの環境を提供しており、OS X、Linux、Windows に対応しています。SQL インジェクション、ヘッダーインジェクション、ディレクトリリスト、シェルインジェクション、クロスサイトスクリプティング、ファイルインクルード、その他の Web アプリケーションの脆弱性を検出するために使用できます。
ダウンロードリンク:https://subgraph.com/vega/
Zed Attack Proxy (ZAP) Zed Attack Proxy は、OWASP によって開発されたオープンソースのツールで、Windows、Unix/Linux、Macintosh プラットフォームに対応しています。さまざまな脆弱性を検出するために使用でき、非常に簡単に使用できます。ペネトレーションテストに詳しくない場合でも、このツールを使用して Web アプリケーションのペネトレーションテストを簡単に学ぶことができます。ZAP には、インターセプトプロキシ、自動スキャナー、スパイダー、ファズ、Web ソケットサポート、プラグアンドプレイサポート、認証サポート、REST ベースの API、ダイナミック SSL 証明書、スマートカード、クライアントデジタル証明書サポートなどの重要な機能が含まれています。
ダウンロードリンク:https://github.com/zaproxy/zaproxy
Wapiti Wapiti は優れた Web アプリケーションセキュリティスキャンツールであり、Web アプリケーションのセキュリティを監査するために使用できます。ウェブページをスキャンし、有効なペイロードを注入してスクリプトが攻撃を受けやすいかどうかを確認します。GET および POST の HTTP 攻撃をサポートし、ファイルの公開、ファイルのインクルード、クロスサイトスクリプティング(XSS)、コマンド実行の検出、CRLF インジェクション、SEL インジェクション、Xpath インジェクション、.htaccess の設定、バックアップファイルの公開などの脆弱性を検出できます。
ダウンロードリンク:http://wapiti.sourceforge.net/
W3af W3af は人気のある Web アプリケーション攻撃および監査フレームワークであり、より優れた Web アプリケーションのペネトレーションテストプラットフォームを提供することを目指して Python で開発されています。このツールを使用すると、SQL インジェクション、クロスサイトスクリプティングなど、200 種類以上の Web アプリケーションの脆弱性を特定できます。
ダウンロードリンク:http://w3af.org/
WebScarab WebScarab は、HTTP または HTTPS プロトコルを使用している Web アプリケーションを分析するための Java ベースのセキュリティフレームワークです。利用可能なプラグインにより、このツールの機能を拡張することができます。インターセプトプロキシとして使用されるため、ブラウザがサーバーに送信するリクエストとレスポンスを表示し、それらのリクエストまたはレスポンスをサーバーまたはブラウザに到達する前に変更することができます。このツールは、HTTP プロトコルについて理解があり、コードを書くことができる人に適しており、初心者には向いていません。
ダウンロードリンク:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Skipfish Skipfish も優れた Web アプリケーションセキュリティツールです。ウェブサイトをクロールし、各ページがセキュリティ上の脅威を持っているかどうかをチェックし、最終的なレポートを生成します。このツールは C 言語で書かれており、HTTP 処理に最適化されており、最小限の CPU リソースを使用します。Skipfish は、1 秒あたり 2000 のリクエストを処理し、CPU に負荷をかけずに実行できると主張しています。
ダウンロードリンク:https://code.google.com/archive/p/skipfish/
Ratproxy Ratproxy もオープンソースの Web アプリケーションセキュリティ監査ツールであり、Web アプリケーションのセキュリティ脆弱性を検出するために使用できます。Linux、FreeBSD、MacOS X、Windows(Cygwin)環境をサポートしています。このツールは、他のプロキシツールを使用してセキュリティ監査を行う際に通常遭遇する問題を解決することを目指しています。CSS スタイルシートと JavaScript コードを区別することができ、中間者攻撃での SSL 復号化をサポートしているため、SSL で送信されるデータを表示することができます。
ダウンロードリンク:https://code.google.com/archive/p/ratproxy/
SQLMap は、強力なオープンソースのペネトレーションテストツールであり、ウェブサイトのデータベースに存在する SQL インジェクションの脆弱性を自動的に検出および利用することができます。高度な検出エンジンと便利な機能を備えており、ペネトレーションテスト担当者が SQL インジェクションの検出を容易に行えるようにしています。
ダウンロードリンク:https://github.com/sqlmapproject/sqlmap
Wfuzz は、強制的に GET および POST パラメータをテストするための無料のオープンソースの Web アプリケーションペネトレーションテストツールであり、SQL インジェクション、XSS、LDAP などのさまざまなインジェクションタイプをテストすることができます。また、Cookie のファジングテスト、マルチスレッド、SOCK、プロキシ、認証、パラメータのブルートフォース攻撃、マルチプロキシなどの機能もサポートしています。
ダウンロードリンク:https://github.com/xmendez/wfuzz
Grendel-Scan は、自動的に Web アプリケーションのセキュリティ脆弱性を検出するためのオープンソースの Web アプリケーションセキュリティツールです。多くの機能を提供しており、手動のペネトレーションテストにも使用できます。このツールは、Windows、Linux、Macintosh システムで使用でき、Java で開発されています。
ダウンロードリンク:https://sourceforge.net/projects/grendel/
Arachni は、ペネトレーションテスト環境向けに開発されたオープンソースのツールです。SQL インジェクション、XSS、ローカルファイルインクルード、リモートファイルインクルード、未検証のリダイレクトなど、さまざまな Web アプリケーションのセキュリティ脆弱性を検出することができます。
ダウンロードリンク:http://www.arachni-scanner.com/