Security URL扫描工具

我正在寻找一个工具来扫描一个给定的URL的安全漏洞。我在谷歌上搜索了一下，找到了一些，但大多数都需要公开的东西，而我的开发环境不是公开的，或者他们有一些昂贵的解决方案，比我现在需要的要多。我不需要任何超级强大的东西，因为我现在正在做轻量级测试，QA人员稍后将运行他们更复杂的测试电池

编辑：用于澄清的用例

我递给工具一个URL进行扫描，即：

它在该页面上运行了一系列测试，以查看是否存在它暴露的任何可能的安全漏洞。示例包括但不限于SQL注入、跨端脚本等

---

你是说扫描某人从你的站点请求的URI吗

如果是这样，您可以使用.htaccess文件将数据库中不存在或找不到的任何URI重定向到404页面（取决于您构建站点的方式）

---

因此，您可以强制请求以特定的方式出现，任何不以特定方式出现的请求都将自动被屏蔽。

假设您希望扫描web应用程序，通过向渗透测试工具提供应用程序的“基本”URL，您将发现该项目非常有用。CD上提供的可能是最有用的，因为它似乎是列表中最成熟的渗透测试工具。该项目是LiveCD上的其他渗透测试工具

---

此外，还能够检测应用程序中的某些漏洞，尽管它要求使用Fiddler作为代理访问应用程序中的各个页面。

为此，您可以找到两种形式的工具，一种类型的工具具有已知问题列表（IIS 5.34版或其他版本中的错误）并通过列表尝试每一个问题。这类工具也会尝试常见的文件名，如robots.txt和web.config等。Nikito就是这种类型的一个例子

---

还有一种类型将查看所有querystring/cookie/form参数，并调整它们以尝试触发错误。我相信这是最适合你的，为此我推荐了打嗝代理。有免费版和专业版。在这组工具中还有昂贵的东西，如IBMs appscan和Hps webinspect

你什么意思？URL字符串的形成中存在漏洞？运行由URL解析的服务的服务器？它将扫描/测试URL，以通过请求对其进行可能的攻击。在postdata和诸如此类的东西里放一些古怪的东西。我试着打嗝。但除非我遗漏了什么，否则它需要你自己编辑请求。我需要一些东西来进行自动扫描。我的公司刚刚获得AppScan，所以我现在一直在使用它。哎哟，你说得对，“完全成熟的web漏洞扫描器。[仅限专业版]”。不管它值多少钱，我认为打嗝是最好的扫描器，尽管它值200美元左右。它几乎没有误报，并且发现比其他扫描仪更多的xss问题。Appscan虽然速度慢，但并不可怕。我建议关闭appscan的许多规则包，以加快速度，并确保手动检查每个安全问题（我想您无论如何都会这样做：）