<转>10大Web漏洞扫描程序 -

yingbin920

浏览: 388759 次
性别:
来自: 上海

最近访客更多访客>>

fan0128

hongbo.wu

qsjiangs

粪海狂蛆

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

<转>10大Web漏洞扫描程序

博客分类：

安全

安全

原链接:http://playkid.blog.163.com/blog/static/56287260201210225175595/

　　1.Nikto（免费产品）
　　Nikto是一款开源的（GPL）网页服务器扫描器，它可以对网页服务器进行全面的多种扫描。扫描项和插件可以自动更新（如果需要），但其软件本身并不经常更新，最新和最危险的可能检测不到。

　　2.Paros proxy（免费产品）
　　一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS，从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序（spider），hash计算器，还有一个可以测试常见的Web应用程序攻击（如SQL注入式攻击和跨站脚本攻击）的扫描器。
　　Proxy是架设在攻击者的浏览器和目标网站中间，所有的HTTP或HTTPS的要求和回应都会被送到proxy，是这类型Web proxy中的最佳工具。

　　3. WebScarab（免费产品）
　　基于GNU版本协议，WebScarab记录它检测到的会话内容（请求和应答），使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP（S）程序的运作过程；也可以用它来调试程序中较难处理的bug，也可以帮助安全专家发现潜在的程序漏洞。
　　WebScarab功能强大，包括HTTP代理、HTTPS拦截、Fuzz测试、SSL客户认证等。

　　4.Sandcat Browser（免费产品）
　　一款基于google Chromium引擎的轻量级渗透测试平台。它免费、方便携带、主要用于渗透测试并且支持多标签。同样是以扩展和脚本的形式打造渗透测试工具包。

　　5.X-scan（免费产品）
　　国内著名的完全免费的综合扫描器，支持中英文两种语言，包括图形界面和命令行方式，而且是不需要安装的绿色软件。主要由国内著名的民间黑客组织安全焦点（http://www.xfocus.net/）出品。可惜已经多年不更新了，最新版本是X-Scan v3.3（07/18/2005）
X-Scan把扫描报告和安全焦点网站相连接，对扫描到的每个漏洞进行“风险等级”评估，并提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞。

　　Wikto（免费产品）
　　一款基于C#编写的Web漏洞扫描工具，它可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分，如后端miner和紧密的Google集成。它为MS.NET环境编写，但用户需要注册才能下载其二进制文件和源代码。Wikto功能包含了Web爬虫、GoogleHack、Web服务器漏洞扫描等等。

　　Burpsuite（免费）
　　这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来，以列举、分析、攻击Web应用程序，或利用这些程序的漏洞。各种各样的burp工具协同工作，共享信息，并允许将一种工具发现的漏洞形成另外一种工具的基础。

　　Whisker/libwhisker（免费）
　　Libwhisker是一个Perla模块，适合于HTTP测试。它可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。

　　6.IBM Rational AppScan（国外商业级）
　　http://www-01.ibm.com/software/cn/rational/awdtools/appscan/
　　IBM公司推出的Rational AppScan，其前身是享誉业界的Watchfire AppScan（2007年被IBM收购后更名），在应用程序的整个开发周期都提供安全测试，从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞，如SQL注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）及缓冲溢出（buffer overflow）、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项等等。

　　7.HP WebInspect（国外商业级）
　　这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置，并会尝试一些常见的Web攻击，如参数注入、跨站脚本、目录遍历攻击（directory traversal）等等。

　　8.Acunetix Web Vulnerability Scanner（国外商业级）
　　http://www.acunetix.com/
　　简称WVS，这是一款商业级的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。

　　9.N-Stealth（国外商业级）
　　http://www.nstalker.com/
　　N-Stealth是ZMT公司出品的一款商业的WEB站点安全扫描软件，同时也有可以免费使用的版本。主要为Windows平台提供扫描，它比一些免费的Web扫描程序，如Whisker/libwhisker、 Nikto等的升级频率更高，它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”。

　　10.绿盟极光（国产商业级）
　　http://www.nsfocus.com/
　　绿盟科技研发的远程安全评估系统，可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析，全面发现各类安全隐患，提出针对性的修复建议，以及形成多种符合法规、行业标准的报告。

　　11.安恒 MatriXay WebScan（国产商业级）
　　http://www.dbappsecurity.com.cn/
　　WEB应用弱点扫描器（MatriXay）是杭州安恒信息技术公司研发的明鉴TM系列产品，被作为公安部等级保护测评中心专用应用安全测评工具。
主要功能包含全局配置、系统管理、项目管理、项目扫描、弱点检测、渗透测试、配置审计和报表管理。能抗御注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等各类WEB应用攻击。

　　12.安域领创 WebRavor（国产商业级）
　　http://www.secdomain.com/
　　安域领创公司自主研制开发的新一代应用安全扫描工具，该产品基于渗透性测试的方法，实现对Web 应用的深度漏洞探测，帮助应用开发者和管理者了解应用系统存在的脆弱性。已经在中国移动、中国电信、中国联通进行了部署。

　　13.诺赛科技 Jsky/Pangolin（国产商业级）
　　http://www.nosec.org/
　　JSky（竭思）是Web应用安全漏洞扫描器，模拟黑客攻击来评估计算机网站安全。Pangolin（穿山甲）是SQL注入工具，帮助渗透测试人员进行SQL注入测试。诺赛科技曾推出号称全球第一款基于SaaS的免费的Web漏洞扫描平台亿思（www.iiScan.com），不过该服务已停运。

　　14.智恒联盟 Webpecker（国产商业级）
　　Webpecker（网站啄木鸟）是一款商业化Web安全检查系统，通过本地检测技术与远程检测技术相结合，对网站进行全面的风险评估。Webpecker能检测本地漏洞、恶意网站、SQL注入、网站管理后台漏洞等，可以测试网站网页中是否存在木马。

分享到：