网络端安全测试工具

十大Web安全扫描工具

扫描程序可以帮助我们创建一个安全的网站，这意味着在黑客“入侵”您之前，

首先测试系统中的漏洞. 我们在这里推荐十大Web漏洞扫描程序供您参考.

1.Nikto

  1 以下是引用片段：
  2 这是一个开源的Web 服务器扫描程序，它可以对Web 服务器的多种项目(包括3500个潜在的危险 文件/CGI，以及超过900 个服务器版本，还有250 多个服务器上的版本特定问题)进行全面的测 试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。Nikto 可以在尽可能短的周期内测试你的Web 服务器，这在其日志文件中相当明显。不过，如果 你想试验一下(或者测试你的IDS系统)，它也可以支持LibWhisker 的反IDS方法。 不过，并非每一次检查都可以找出一个安全问题，虽然多数情况下是这样的。有一些项目是仅提 供信息(“info only” )类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过 Web 管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻 烦。

这是一个开放源代码的Web服务器扫描程序，可用于各种Web服务器项目（包括3500个潜在危险的文件/ CGI，以及900多个服务器版本，以及250多个特定于服务器版本的问题）进行全面测试. 它的扫描项目和插件会经常更新，并且可以自动更新（如果需要）. Nikto可以在最短的时间内测试您的Web服务器，这在其日志文件中非常明显. 但是，如果您想进行实验（或测试您的IDS系统），它也可以支持LibWhisker的反IDS方法.

但是，尽管在大多数情况下都是这种情况，但并非每次检查都可以识别安全问题. 某些项目仅提供信息（“仅信息”）检查类型，此检查可以找到一些不具有安全漏洞的项目，但Web管理员或安全工程师不知道. 通常可以适当地标记这些项目. 为我们省去很多麻烦.

2.Paros代理

以下是带引号的摘录:

这是一个评估Web应用程序漏洞的代理，即，一个基于Java的Web代理可以评估Web应用程序的漏洞. 它支持动态编辑/查看HTTP / HTTPS，从而更改cookie和表单字段等项目. 它包括Web通信记录器，Web Spider，哈希计算器和可以测试常见Web应用程序攻击（例如SQL注入攻击和跨站点脚本攻击）的扫描程序.

3.WebScarab

以下是带引号的摘录:

它可以分析使用HTTP和HTTPS协议进行通信的应用程序. WebScarab可以以最简单的形式记录其观察到的对话，并允许操作员以各种方式观察对话. 如果您需要观察HTTP（S）应用程序的运行状态，则WebScarabi可以满足您的需求. 无论是帮助开发人员调试其他问题，还是允许安全人员识别漏洞，它都是一个很好的工具.

4.WebInspect

以下是带引号的摘录:

这是功能强大的Web应用程序扫描程序. SPI Dynamics的此应用程序安全评估工具可帮助识别Web应用程序中的已知和未知漏洞. 它还可以检查Web服务器的配置是否正确，并尝试一些常见的Web攻击，例如参数注入，跨站点脚本编写，目录遍历等.

5.Whisker / libwhisker

以下是带引号的摘录:

Libwhisker是适用于HTTP测试的Perla模块. 它可以针对许多已知的安全漏洞，尤其是危险的CGI，对HTTP服务器进行测试. Whisker是使用libwhisker的扫描程序.

6.Burpsuite

以下是带引号的摘录:

这是一个可用于攻击Web应用程序的集成平台. Burp套件允许攻击者结合手动和自动技术来枚举，分析，攻击或利用Web应用程序中的漏洞. 各种打p工具一起工作以共享信息，并允许一个工具发现的漏洞构成另一个工具的基础.

7.Wikto

以下是带引号的摘录:

可以说这是一个Web服务器评估工具，它可以检查Web服务器中的漏洞，并提供许，例如Nikto，但增加了许多有趣的功能，例如后端矿机和紧密的Google集成. 它是为MS.NET环境编写的，但是用户需要注册才能下载其二进制文件和源代码.

8.Acunetix Web漏洞扫描程序

以下是带引号的摘录:

这是一款商业级的Web漏洞扫描程序，可以检查Web应用程序中的漏洞，例如SQL注入，跨站点脚本攻击和身份验证页面上的密码长度不足. 它具有易于使用的图形用户界面，并可以创建级的网站安全审核报告.

9.Watchfire AppScan

以下是带引号的摘录:

这也是一个商业Web漏洞扫描程序. AppScan在应用程序的整个开发周期中提供安全测试，从而简化了组件测试和开发期间的早期安全保证. 它可以扫描许多常见漏洞，例如跨站点脚本攻击，HTTP响应拆分漏洞，参数篡改，隐式字段处理，后门/调试选项，缓冲区溢出等. 10.N-Stealth

以下是带引号的摘录:

N-Stealth是商业级Web服务器安全扫描程序. 它比某些免费的网络扫描仪（如Whisker / libwhisker，Nikto等）的升级频率更高. 它声称包含“ 30,000个漏洞和易受攻击的程序”，并且“每天添加大量漏洞检查”，但此声明是可疑的 . 还要注意，实际上所有常见的VA工具（例如Nessus，ISS Internet扫描仪，Retina，SAINT，Sara等）都包含Web扫描组件. （尽管这些工具并不总是保持软件更新，也不一定非常灵活. ）N-Stealth主要提供对Windows平台的扫描，但不提供源代码.

--------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----------------------------------------------

商业产品*外国

·Acunetix Web漏洞扫描程序6: 简称WVS. 它仍然是一个很好的扫描工具. 我不知道检查是否太详细或太慢. 简而言之，在评估网站时，仅在一夜之间不关闭计算机就扫描它是不够的...但是报告确实可以. 通常，如果使用此扫描，则不必等待那么长时间. 像区县政府一样，20分钟扫描几乎相同.

·IBM Rational AppScan: 这是IBM的产品. 扫描速度令人满意，报告功能也很强大. 可以根据法规生成不同的报告，例如ISO27001，OWASP等. 该界面也非常商业化.

·HP WebInspect: 是的，它的确是HP的产品，它销售PC. 扫描速度比以上两种快得多，并且还不错. 但是，在过去的几天里，我一直在与NOSEC（以下简称“诺赛技术”）进行斗争. 我很惊讶NOSEC的iiScan免费扫描平台侵犯了隐私，并且NOSEC具有国家背景...这个市场可以理解！

·N-Stealth: 没有成功安装，但是很多地方推荐这样做

·Burp Suite: 看起来它是由《黑客攻击与防御技术之书·WEB实战》一书的作者制作的，在安全行业是一个了不起的人物. 尽管我以前没有使用过该工具，但是这本书确实很棒. 如果您正在进行Web安全性，Ranger强烈建议您阅读.

商业产品*国内

·智恒联盟WebPecker网站Woodpecker: 该程序做得很好，扫描速度非常快.

·Nuosai Technology Pangolin，Jsky: Pangolin进行SQL注入扫描，而Jsky进行了综合评估，这就是上面提到的NOSEC. 扫描平台是iiScan，后端主机是zwell.

·WebRavor: 您还记得FluXay吗？是的，WebRavor由小蓉撰写！小蓉是谁搜索...我不需要介绍它，对吧？

·AnHeng MatriXay Mingjian WEB应用程序漏洞扫描程序: 我尚未使用过. 像NOSEC一样，也有一个扫描平台.

NSFOCUS RSAS Aurora远程安全评估系统: 用于Aurora扫描系统的新的WEB安全评估插件. 我在某个客户处看到过扫描报告，但是我没有使用过该产品. 根据绿盟科技一贯的风格和实力，应该不错.

免费产品

·Nikto: 很多地方都在推荐，但Ranger本人确实不喜欢命令行产品...让我们去自己喜欢的Google或百度

·Paros代理: 一种基于Java的扫描工具. 速度也非常快. 我还在淘宝质量保证团队博客上看到了该软件的介绍.

·WebScarab: 传奇的OWASP产品非常实用，但是当我查看下载地址时，似乎更新速度很慢

·Sandcat: 扫描速度快，并且要检查的项目很多. 机器现在已经配备了这个.

·NBSI: 应该说，黑客工具更可靠，在中国是最早的，也许是地球上最早的SQL注入和后续工具. 黑场悬挂马匹是必不可少的...

·HDSI: 由主机编写，它支持ASP和PHP注入. 我不会说太. 杀人也是必须的！

·域: 用于批处理扫描的必备产品. Whois会扫描服务器上的服务器，这种服务器在黑客圈子中已经很久了.

·Nessus: 当然有商业版本，但是我们通常使用免费版本. 漏洞评估工具更适合扫描主机，服务器和网络设备.

·NMAP: 主要倾向于评估端口.

·X扫描: 由Safety Focus生产. 多年后，它仍然是一个非常强大的产品. 大成天下曾经制作过“ Handy”的商业版本，但最近没有更新，这很遗憾.

实际上，有许多可用于评估的工具，例如:

·视网膜网络安全扫描器

·LANguard网络安全扫描程序

荣基RJ-iTop网络隐患扫描系统

但是，像Nessus和NMAP一样，主要偏好是主机安全性评估，而不是WEB应用程序安全性评估. 但是，当我们评估WEB的安全性时，扫描服务器是不可避免的，因此它也是不可避免的工具.

好的，我也已经说过了. 如果您有兴趣，可以在Internet上找到相关信息或下载它. 读完之后，我会感到有些高兴，因此请将其转发给您的朋友. 现在是凌晨，刚刚输入完毕... Ranger（）谢谢！！

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-301692-1.html