Vega是一款免费的开源Web安全扫描器和Web安全测试平台,用于测试Web应用程序的安全性。它基于GUI,以Java编写,可在Linux,OS X和Windows上运行。而且,使用Java编写的模块可以轻松扩展。它可以帮助您查找和验证SQL注入,跨站点脚本(XSS),无意中泄露的敏感信息以及其他漏洞。它还探测TLS / SSL安全设置,并确定提高TLS服务器安全性的机会。
它运行在两种操作模式中:作为自动扫描器和作为拦截代理。
自动扫描仪
自动化扫描仪会自动抓取网站,提取链接,处理表格,并在其发现的可能注射点上运行模块。这些模块可以执行诸如自动提交模糊参数的请求,例如测试跨站点脚本(XSS)或SQL注入等事情。
拦截代理
拦截代理允许详细分析浏览器与应用程序的交互。启用时,代理会将本地主机作为代理服务器进行侦听。当浏览器使用Vega代理时,Vega可以看到请求和响应。Vega可以被告知设置“断点”,传出请求(来自浏览器)或传入响应(来自服务器)的拦截标准。这些请求和响应保持在可编辑状态,直到发布。
当您通过代理访问它们时,Vega还可以模糊参数并主动测试与目标范围相匹配的页面。
它支持处理响应的模块,通常寻找信息(''grep''模块)。响应处理模块可以处理由扫描器或代理接收到的响应。
要求:
在Ubuntu / Debian系统上: sudo apt-get install libwebkitgtk-1.0
在Fedora系统上: sudo yum install webkitgtk
没有这个库,通常会导致Vega在安装后失败。
Windows:如果您有32位JRE(x86),则需要安装32位版本的Vega。
32位JRE很常见,特别是对于Java 7,即使在64位Windows系统上也如此。
如果Vega安装后失败,因为它找不到Java,这可能是原因,你应该尝试另一个版本的Vega(32/64位)。注意:您可能还需要在Windows 8和某些Windows 7系统上以管理员权限安装和/或运行Vega。
下载地址:https://subgraph.com/vega/download/
仅供于学习研究使用,不得非法使用,如非法操作,责任自行承担
发表评论