Fino ad ora sono riuscito a cercare su Webscarab, Webscarab-NG, IronWASP & Burp extender.
Sfortunatamente, ad eccezione di IronWASP, che si è rifiutato di compilare dalla sorgente GIT, nessuno dei progetti corrispondeva ai miei criteri (Webscarab mancava lo scanner, quindi l'estensione Webscarab-NG & Burp è davvero molto carina, ma non open source).
Conosci altri progetti open source che potrebbero funzionare?
Wapiti (python) e Skipfish (C / C ++) sono entrambi buoni scanner open source che non sono male. La mia più grande lamentela è che sono eccessivamente semplicistici, ad esempio Skipfish in realtà non ha un parser html, invece utilizza un sistema di espressioni regolari eccessivamente semplicistiche. Wapiti usa il parser html di Python, che è migliore, tuttavia Wapiti non viene mantenuto attivamente. Il problema principale di Skipfish è che applicherà l'applicazione Web DoS con il traffico che produce, quindi non l'eseguirò su un sistema di produzione.
Ho studiato entrambi questi progetti durante la creazione del mio scanner Sitewatch , forniamo un servizio gratuito ed è migliore di qualsiasi altro web open source scanner di applicazioni di cui sono a conoscenza.
SecToolAddict ha una recensione molto approfondita di molti annunci commerciali, gratuiti , open e closed source scanner. Troverete molte opzioni di alta qualità lì. Il suo nuovo ciclo di test inizierà presto.
Dalla mia esperienza personale, posso garantire per w3af e arachni come aventi ragni ed essendo scanner efficaci. Entrambi sono open-source, in fase di sviluppo attivo e si posizionano molto bene nei test sectooladdict.
Leggi altre domande sui tag web-scanners