欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

10大Web漏洞扫描器

程序员文章站 2022-06-23 09:43:29
美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。如华为、RSA、赛门铁克、联想ThinkPad、绿盟、启明星...

美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。如华为、RSA、赛门铁克、联想ThinkPad、绿盟、启明星辰、东软、Citrix思杰、安域领创等都开发了自己的Web漏洞扫描程序、

1.Nikto(免费产品)

Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描。扫描项和插件可以自动更新(如果需要),但其软件本身并不经常更新,最新和最危险的可能检测不到。

2.Paros proxy(免费产品)

一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。

Proxy是架设在攻击者的浏览器和目标网站中间,所有的HTTP或HTTPS的要求和回应都会被送到proxy,是这类型Web proxy中的最佳工具。

3. WebScarab(免费产品)

基于GNU版本协议,WebScarab记录它检测到的会话内容(请求和应答),使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;也可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。

WebScarab功能强大,包括HTTP代理、HTTPS拦截、Fuzz测试、SSL客户认证等。

4.Sandcat Browser(免费产品)

一款基于google Chromium引擎的轻量级渗透测试平台。它免费、方便携带、主要用于渗透测试并且支持多标签。同样是以扩展和脚本的形式打造渗透测试工具包。

5.X-scan(免费产品)

国内著名的完全免费的综合扫描器,支持中英文两种语言,包括图形界面和命令行方式,而且是不需要安装的绿色软件。主要由国内著名的民间黑客组织安全焦点(http://www.xfocus.net/)出品。可惜已经多年不更新了,最新版本是X-Scan v3.3(07/18/2005)

X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。

Wikto(免费产品)

一款基于C#编写的Web漏洞扫描工具,它可以检查Web服务器中的漏洞,并提供与Nikto一样的很多功能,但增加了许多有趣的功能部分,如后端miner和紧密的Google集成。它为MS.NET环境编写,但用户需要注册才能下载其二进制文件和源代码。Wikto功能包含了Web爬虫、GoogleHack、Web服务器漏洞扫描等等。

Burpsuite(免费)

这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web应用程序,或利用这些程序的漏洞。各种各样的burp工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。

Whisker/libwhisker(免费)

Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。

6.IBM Rational AppScan(国外商业级)

http://www-01.ibm.com/software/cn/rational/awdtools/appscan/

IBM公司推出的Rational AppScan,其前身是享誉业界的Watchfire AppScan(2007年被IBM收购后更名),在应用程序的整个开发周期都提供安全测试,从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞,如SQL注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项等等。

7.HP WebInspect(国外商业级)

这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。

8.Acunetix Web Vulnerability Scanner(国外商业级)

http://www.acunetix.com/

简称WVS,这是一款商业级的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。

9.N-Stealth(国外商业级)

http://www.nstalker.com/

N-Stealth是ZMT公司出品的一款商业的WEB站点安全扫描软件,同时也有可以免费使用的版本。主要为Windows平台提供扫描,它比一些免费的Web扫描程序,如Whisker/libwhisker、 Nikto等的升级频率更高,它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”。

10.绿盟极光(国产商业级)

http://www.nsfocus.com/

绿盟科技研发的远程安全评估系统,可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析,全面发现各类安全隐患,提出针对性的修复建议,以及形成多种符合法规、行业标准的报告。

11.安恒 MatriXay WebScan(国产商业级)

http://www.dbappsecurity.com.cn/

WEB应用弱点扫描器(MatriXay)是杭州安恒信息技术公司研发的明鉴TM系列产品,被作为*部等级保护测评中心专用应用安全测评工具。

主要功能包含全局配置、系统管理、项目管理、项目扫描、弱点检测、渗透测试、配置审计和报表管理。能抗御注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等各类WEB应用攻击。

12.安域领创 WebRavor(国产商业级)

http://www.secdomain.com/

安域领创公司自主研制开发的新一代应用安全扫描工具,该产品基于渗透性测试的方法,实现对Web 应用的深度漏洞探测,帮助应用开发者和管理者了解应用系统存在的脆弱性。已经在中国移动、中国电信、中国联通进行了部署。

13.诺赛科技 Jsky/Pangolin(国产商业级)

http://www.nosec.org/

JSky(竭思)是Web应用安全漏洞扫描器,模拟黑客攻击来评估计算机网站安全。Pangolin(穿山甲)是SQL注入工具,帮助渗透测试人员进行SQL注入测试。诺赛科技曾推出号称全球第一款基于SaaS的免费的Web漏洞扫描平台亿思(www.iiScan.com),不过该服务已停运。

14.智恒联盟 Webpecker(国产商业级)

Webpecker(网站啄木鸟)是一款商业化Web安全检查系统,通过本地检测技术与远程检测技术相结合,对网站进行全面的风险评估。Webpecker能检测本地漏洞、恶意网站、SQL注入、网站管理后台漏洞等,可以测试网站网页中是否存在木马。