Altair - 开源模块化 Web 漏洞扫描器

Altair是一个开源、轻量级、模块化的Web漏洞扫描器，用于检测Web应用程序中的各种漏洞。

主要特点

• 支持多种漏洞类型：包括SQL注入、跨站点脚本（XSS）、命令注入、文件包含、文件上传等常见漏洞类型。
• 模块化：用户可以根据需要选择安装不同的模块，从而避免扫描不必要的漏洞类型。
• 用户友好：支持终端输出和GUI两种类型，用户可以根据需要选择使用哪种方式。
• 支持多种输出格式：包括JSON、XML、HTML等多种格式，便于用户根据需要进行分析和报告。

安装

Altair使用Python 2.7编写，要安装Altair，你需要先安装Python 2.7。

可以通过以下命令安装Altair：

pip install altair

使用

Altair支持命令行和GUI两种方式进行扫描。命令行方式使用altair-cli命令，GUI方式使用altair-gui命令。

命令行方式

可以使用以下命令进行扫描：

altair-cli scan --url <target_url> --modules <module_list> --output <output_file>

参数说明：

• --url：要扫描的目标URL。
• --modules：要使用的模块列表，逗号分隔。
• --output：扫描结果输出文件。

GUI方式

运行以下命令启动GUI界面：

altair-gui

按照图形化界面上的提示进行配置，即可开始扫描。

模块列表

Altair支持多种漏洞类型的扫描，以下为支持的模块列表：

• sql_injection：SQL注入漏洞扫描。
• xss：跨站点脚本漏洞扫描。
• command_injection：命令注入漏洞扫描。
• file_inclusion：文件包含漏洞扫描。
• file_upload：文件上传漏洞扫描。
• directory_busting：目录爆破。

结果输出格式

Altair支持多种输出格式，可以使用以下命令指定输出格式：

altair-cli scan --url <target_url> --modules <module_list> --output <output_file> --output-format <output_format>

支持的输出格式为：

• json：JSON格式。
• xml：XML格式。
• html：HTML格式。

总结

Altair是一款功能强大的Web漏洞扫描器，支持多种漏洞类型的扫描，使用方便，用户可以根据需要选择命令行或GUI方式进行操作。同时还支持多种输出格式，方便用户进行分析和报告。