① 最好用的開源Web漏掃工具梳理
保證網路應用程序安全並防止敏感信息泄露,是網站所有者的重要任務。執行常規漏洞掃描,採取降低安全風險的措施,是確保網站安全性的重要步驟。雖然付費掃描器可能提供更全面、嚴謹的功能,如報表輸出、警報、詳細的應急指南等,但開源工具也是實現安全審計的有力工具。
開源Web漏洞掃描工具在性能、功能和靈活性方面具有顯著優勢,它們通常免費提供,適合預算有限或尋求社區支持的用戶。以下是一些備受推崇的開源Web漏洞掃描工具,它們在不同場景中展現出強大的功能和易用性。
Arachni
Arachni是一款基於Ruby框架的高性能Web安全掃描程序,適用於現代Web應用程序。它不僅能夠進行基本的靜態或CMS網站掃描,還能識別硬碟序列號、網卡物理地址等指紋信息。Arachni支持主動和被動檢查,可檢測的漏洞類型包括但不限於NoSQL/Blind/SQL/Code/LDAP/Command/XPath注入、跨站請求偽造、路徑遍歷、本地/遠程文件包含、響應分割、跨站腳本、未驗證的DOM重定向以及源代碼披露。掃描結果可輸出為HTML、XML、Text、JSON、YAML等格式的審計報告。
XssPy
XssPy是一款基於Python的XSS漏洞掃描器,由才華橫溢的開發者Faizan Ahmad開發,廣泛應用於微軟、斯坦福、摩托羅拉、Informatica等大型企業。它不僅能夠檢查主頁或給定頁面,還能深入檢查網站的所有鏈接和子域,實現細致且全面的掃描。
w3af
自2006年底開始,w3af是一個基於Python的開源項目,用於Linux和Windows系統,能夠檢測200多個漏洞,包括OWASP top 10中提到的。w3af支持將payload注入header、URL、cookies、字元串查詢、post-data等,幫助進行Web應用程序審計,並支持多種記錄方法生成報告,如CSV、HTML、Console、Text、XML和Email。
Nikto
Nikto是由Netsparker贊助的開源項目,旨在發現Web伺服器配置錯誤、插件和Web漏洞。它經過對6500多個風險項目進行綜合測試,支持HTTP代理、SSL或NTLM身份驗證,並允許設置每個目標掃描的最大執行時間。Nikto適用於Kali Linux,在企業內部網路解決方案中查找web伺服器安全風險的應用前景廣泛。
Wfuzz
Wfuzz(Web Fuzzer)是用於Web應用程序評估的滲透測試工具,能夠對任何欄位的HTTP請求中的數據進行模糊處理,對Web應用程序進行審查。Wfuzz需要在被掃描的計算機上安裝Python。
OWASP ZAP
ZAP(Zet Attack Proxy)是全球數百名志願者程序員維護的著名滲透測試工具之一,支持跨平台的Java應用,甚至可以在Raspberry Pi上運行。ZAP在瀏覽器和Web應用程序之間攔截和檢查消息,提供功能如Fuzzer、自動與被動掃描以及支持多種腳本語言、Forced browsing等。
Wapiti
Wapiti專注於掃描特定目標網頁,尋找能夠注入數據的腳本和表單,驗證是否存在漏洞。它執行的是黑盒掃描,而非源代碼安全檢查。
Vega
Vega是一個由Subgraph開發的多平台支持工具,用於查找XSS、SQLi、RFI等漏洞。它具有美觀的圖形用戶界面,通過特定憑證登錄應用後可執行自動掃描。Vega還允許懂開發的用戶利用其API創建新的攻擊模塊。
SQLmap
SQLmap是一個專注於資料庫滲透測試和漏洞查找的工具。支持所有操作系統的Python 2.6或2.7,如果你正在尋找SQL注入和資料庫漏洞利用,SQLmap是一個有效的助手。
Grabber
Grabber是一個Python小工具,具備JavaScript源代碼分析、跨站點腳本、SQL注入、SQL盲注以及利用PHP-SAT的PHP應用程序測試等功能。
Golismero
Golismero是一個管理和運行流行安全工具的框架,如Wfuzz、DNS recon、sqlmap、OpenVas、機器人分析器等。它非常智能,能夠整合其他工具的測試反饋,輸出統一的結果。
OWASP Xenotix XSS
OWASP的Xenotix XSS是一款高級框架,用於查找和利用跨站點腳本,內置三個智能模糊器,快速掃描和優化結果。
開源Web漏洞掃描工具為在線業務的網路安全提供了強大的支持。通過及時發現並修復漏洞,這些工具幫助讀者在惡意人員利用之前防範風險,確保網站和應用程序的安全性。
② Koha開發背景
紐西蘭的Horowhenua Library Trust(HLT)在尋求新的圖書館自動化系統時,發現市面上的產品要麼價格高昂,要麼功能不全。為了解決這一問題,HLT委託Kapito Communications公司為旗下所有圖書館開發一個基於網路的自動化系統。此次行動大膽且非凡,HLT決定採用開放源代碼模式,使得其他圖書館可以使用並進一步改進這一軟體。這一舉措不僅確保了系統的功能和性價比,還促進了知識共享和技術創新。
Koha,作為此項目的成果,是一個全面的圖書館自動化解決方案。它旨在滿足圖書館的多種需求,包括流通管理、資源發現、讀者服務和數據分析。Koha的開放源代碼特性意味著它可以根據不同圖書館的具體需求進行定製,同時,開發者社區的參與為Koha帶來了持續的改進和創新。
隨著Koha的推廣,越來越多的圖書館開始採用這一系統,不僅降低了成本,也提高了工作效率。通過共享經驗和資源,Koha的用戶社區得以不斷發展,推動了圖書館行業的數字化轉型。
為了確保Koha的持續發展,一個名為Koha Development Team的團隊應運而生。這個團隊負責維護軟體的穩定性和安全性,同時也鼓勵社區成員參與開發和改進工作。通過定期發布新版本,Koha不斷適應新技術和用戶需求的變化,為全球的圖書館提供了一個強大而靈活的自動化平台。
隨著Koha在全球范圍內的普及,它不僅成為了圖書館行業內的佼佼者,也成為了開放源代碼軟體的一個成功案例。通過促進知識共享和技術創新,Koha為圖書館自動化領域帶來了深遠的影響,同時為全球各地的圖書館提供了高質量、低成本的解決方案。
Koha,是第一個開放源代碼的圖書館自動化系統,產生於1999。Koha最初設計的時候就是以佔用最小的硬體資源為目標。它運行於Linux操作系統,並配以Apache網路伺服器,使用最流行的MySQL開源資料庫管理系統,所有程序的代碼都是用Perl來編寫的。一些編程的志願者一直都在努力的拓展Koha的功能,其中包括基本功能其它方面的功能。還有很多人正在努力將其本地化,現在已經有了很多語言的版本, 包括台灣的繁體中文版,大陸還沒有簡體中文版。
③ 什麼是BOINC
BOINC,全稱為Berkeley Open Infrastructure for Network Computing,是一個專為分布式計算設計的軟體平台。它通過志願者的計算機資源,將多個獨立項目連接起來,使得參與者可以同時參與多個項目並靈活管理資源分配。BOINC的特點包括:
總的來說,BOINC為分布式計算項目提供了強大而靈活的平台,使得科研、教育和娛樂等領域的計算任務得以高效地利用大眾的閑置計算機資源。