反渗透,sql注入漏洞扫描工具

工具一:zap

下载地址：ZAP · GitHub

OWASP Zed 攻击代理（ZAP）是世界上最受欢迎的免费安全审计工具之一，由数百名国际志愿者积极维护。它可以帮助你在开发和测试应用程序时自动查找 Web 应用程序中的安全漏洞。可以说 ZAP 是一个中间人代理，它能够获取你对 Web 应用程序发出的所有请求以及你从中收到的所有响应。

它即可以用于安全专家、开发人员、功能测试人员，甚至是渗透测试入门人员。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。虽然 OWASP-ZAP 拥有很多的功能，但是他最强大的功能还是主动扫描，可以自动对目标网站发起渗透测试，可以检测的缺陷包括路径遍历、文件包含、跨站脚本、SQL 注入等等。

工具二:Arachni

官网：https://www.arachni-scanner.com

下载：https://www.arachni-scanner.com/download

环境：https://www.kali.org ( kali linux )

Arachni 是一个全面的、模块化的 Ruby 框架，它能够帮助渗透人员和网络管理人员测试 Web 应用的安全性。 Arachni 是非常智能的，在安全审计过程中，它能够从每个 HTTP 响应中训练提升自己的检测能力。与其他扫描工具不同的是，它能够发现很多隐蔽较深的漏洞。

# 解压安装包
tar xvf arachni-1.6.1.3-0.6.1.1-linux-x86_64.tar.gz
# 进入启动目录
cd arachni-1.6.1.3-0.6.1.1/bin
# 以web方式启动
./arachni_web

进入后选择 New Scan 按钮就能设置新的扫描。可以看到：

1. 可以选择默认全面的扫描
2. 可以选择专项 XSS 注入扫描
3. 可以选择专项 SQL 注入扫描