Vega – Web应用程序安全扫描程序

华盟学院山东省第二期线下学习计划

Vega是一款免费的开源Web安全扫描器和Web安全测试平台,用于测试Web应用程序的安全性。它基于GUI,以Java编写,可在Linux,OS X和Windows上运行。而且,使用JavaScript编写的模块可以轻松扩展。它可以帮助您查找和验证SQL注入,跨站点脚本(XSS),无意中泄露的敏感信息以及其他漏洞。它还探测TLS / SSL安全设置,并确定提高TLS服务器安全性的机会。

它运行在两种操作模式中:作为自动扫描器和作为拦截代理。

自动扫描仪

自动化扫描仪会自动抓取网站,提取链接,处理表格,并在其发现的可能注射点上运行模块。这些模块可以执行诸如自动提交模糊参数的请求,例如测试跨站点脚本(XSS)或SQL注入等事情。

拦截代理

拦截代理允许详细分析浏览器与应用程序的交互。启用时,代理会将本地主机作为代理服务器进行侦听。当浏览器使用Vega代理时,Vega可以看到请求和响应。Vega可以被告知设置“断点”,传出请求(来自浏览器)或传入响应(来自服务器)的拦截标准。这些请求和响应保持在可编辑状态,直到发布。

当您通过代理访问它们时,Vega还可以模糊参数并主动测试与目标范围相匹配的页面。

它支持处理响应的模块,通常寻找信息(''grep''模块)。响应处理模块可以处理由扫描器或代理接收到的响应。

要求:

  • 在Ubuntu / Debian系统上: sudo apt-get install libwebkitgtk-1.0

  • 在Fedora系统上: sudo yum install webkitgtk

没有这个库,通常会导致Vega在安装后失败。

  • Windows:如果您有32位JRE(x86),则需要安装32位版本的Vega。

32位JRE很常见,特别是对于Java 7,即使在64位Windows系统上也如此。

如果Vega安装后失败,因为它找不到Java,这可能是原因,你应该尝试另一个版本的Vega(32/64位)。注意:  您可能还需要在Windows 8和某些Windows 7系统上以管理员权限安装和/或运行Vega。

下载地址:https://subgraph.com/vega/download/

仅供于学习研究使用,不得非法使用,如非法操作,责任自行承担

文章出处:http://www.effecthacking.com,由华盟网翻译排版,转载请注明华盟网

www.idc126.com

2

发表评论