关键词不能为空

当前您在: 主页 > 英语 >

十个权威web安全扫描工具

作者:高考题库网
来源:https://www.bjmy2z.cn/gaokao
2021-03-01 10:35
tags:

-

2021年3月1日发(作者:比较法)


十大


web


安全扫描工具




扫描程序可以在帮助造我们造就安全的

< br>Web


站点上助一臂之力,


也就是说在黑客


“黑”


你之前,先测试一下自己系统中的漏洞。


< /p>


我们在此推荐


10


Web


漏洞扫描程序,供您参考。




1.



Nikto


这是一个开源的


Web< /p>


服务器扫描程序,它可以对


Web


服务器 的多种项目


(


包括


3500

< p>


潜在的危险文件


/CGI



以及超过


900


个服务器版本,< /p>


还有


250


多个服务器上的版本特定问题


)


进行全面的测试。其扫描项目和插件经常更新并且可以自动更 新


(


如果需要的话


)

< br>。



Nikto


可以在尽可能短 的周期内测试你的


Web


服务器,这在其日志文件中相当明显。 不


过,如果你想试验一下


(


或者测试你 的


IDS


系统


)


,它也可以支持


LibWhisker


的反

< br>IDS


方法。



不过,并非每一 次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项


目是仅提供信息< /p>


(



info only




)


类型的检查,这种检查可以查找一些并不存在安全漏洞的项


目,不过

< br>Web


管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为


我们省去不少麻烦。




2.



Paros proxy < /p>


这是一个对


Web


应用程序的漏洞进行评 估的代理程序,


即一个基于


Java



web


代理程


序,可以评估

< p>
Web


应用程序的漏洞。它支持动态地编辑


/


查看


HTTP/HTTPS,


从而改变


cookies


和表单字段等项目。它包括一个

Web


通信记录程序,


Web


圈套 程序


(spider)



hash < /p>


计算器,


还有一个可以测试常见的


Web


应用程序攻击


(


SQL


注入式攻击和跨站脚本攻击


)


的扫描器。




3.



WebScarab


它可以分析使用


HTTP



HTTPS


协议进行通信的应用程序,


WebS carab


可以用最简单地


形式记录它观察的会话,并允许操作 人员以各种方式观查会话。如果你需要观察一个基于


HTTP(S)

应用程序的运行状态,那么


WebScarabi


就可以满 足你这种需要。不管是帮助开发人


员调试其它方面的难题,还是允许安全专业人员识别漏 洞,它都是一款不错的工具。




4.



WebInspect


这是一款强大的


Web


应用程序扫描程序。< /p>


SPI Dynamics


的这款应用程序安全评估工具有


助于确认


Web


应用中已知的和未知的漏洞。 它还可以检查一个


Web


服务器是否正确配置,


并会尝试一些常见的


Web


攻击,如参数注入、跨站脚 本、目录遍历攻击


(directory traversal)


等等。




5.



Whisker/libwhisker


Libwhiske r


是一个


Perla


模块,适合于


HTTP


测试。它可以针对许多已知的安全漏洞,测



HTTP


服务器,特别是检测危险

< br>CGI


的存在。


Whisker


是一个使用


libwhisker


的扫描程序。




6.



Burpsuite


这是一个可以用于攻击

< br>Web


应用程序的集成平台。


Burp

< br>套件允许一个攻击者将人工的


和自动的技术结合起来,以列举、分析、攻击


Web


应用程序,或利用这些程序的漏洞。各


种各样的


burp


工具协同工作,共享信息,并允许将一种工具 发现的漏洞形成另外一种工具


的基础。




7. Wikto


可以说这是一个


Web


服务器评估工具,


它可以检查< /p>


Web


服务器中的漏洞,


并提供与


Nikto


一样的很多功能,但增加了许多有趣的功能部分,如后端< /p>


miner


和紧密的


Google


集成。它




环境编写 ,但用户需要注册才能下载其二进制文件和源代码。




7.



Acunetix Web Vulnerability Scanner


这是一款商业级的

Web


漏洞扫描程序,它可以检查


Web

< br>应用程序中的漏洞,如


SQL



入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,


并且能够创建专业级的


Web


站点安全审核报告。

< p>



8.



Watchfire AppScan


这也是一款商业类的< /p>


Web


漏洞扫描程序。


AppScan< /p>


在应用程序的整个开发周期都提供安


全测试,

从而测试简化了部件测试和开发早期的安全保证。


它可以扫描许多常见的漏洞,



跨站脚本攻击、


HTTP


响应拆分漏洞、参数篡改、隐式字段处理、后门


/


调试 选项、缓冲区溢


出等等。




10. N-Stealth


N-Stealth

< p>
是一款商业级的


Web


服务器安全扫描程序。它比 一些免费的


Web


扫描程序,



Whisker/libwhisker




Nikto


等的升级频率更高,它宣称含有“

< br>30000


个漏洞和漏洞程序”


以及“每天增加大量的漏 洞检查”


,不过这种说法令人质疑。还要注意,实际上所有通用的


VA


工具,如


Nessus, ISS Internet Scanner, Retina, SAINT, Sara


等都包含


Web


扫描部件。


(


虽然


这些工具并非总能保持软件更新 ,也不一定很灵活。


N-Stealth


主要为


Windows


平台提供扫


描,但并不提供源代码。< /p>




---------------- -------------------------------------------------


商业产品


*


国外




·


Acunetix Web Vulnerability Scanner 6



简称


WVS


,还是不错的扫描工具,不知道检查


的太细致还是因为慢,


总之经常评估一个网站的时候一晚上不关电脑都扫描不万??但是 报


表做的不错。一般用这个扫描的话,


不用等那么久,像区县政 府的,



20


分钟就差不多了。






·


IBM Rational AppScan



这个是


IBM


旗下的产品, 扫描速度中规中矩,报表功能相当


强大,可以按照法规遵从生成不同的报表,如:


ISO27001



OWASP


等,界面也很商业化。






·


HP


W ebInspect



没错,的确就是卖


PC



HP


公司旗下的产品,扫描速 度比上面的


2


个都快得多,东西还算不错。不过这几天在和


NOSEC


(下面说的“诺赛科技”


)掐架 ,愣是



NOSEC



iiScan


免费扫描平台侵犯隐私,说


NOSEC< /p>


有国家背景??这市场了解的!






·


N-S tealth



没装成功,不过很多地方在推荐这个。




·


Burp Su ite



貌似是《黑客攻防技术宝典·


WEB


实战篇》作者公司搞的,安全界牛人。


虽然工具没用过,


但是这本书的确是不错??如果您做


WEB

安全,


游侠强烈建议您读一下。




--------------------------------------- --------------------------


商业产品

< br>*


国内






·智恒联盟



WebPecker < /p>


网站啄木鸟:


程序做的不错,扫描速度很快。





·诺赛科技



Pangolin



Jsky



Pan golin



SQL


注入扫描,


Jsky


全面评估,就是上文说的


NOSEC


,网上扫描平台是


iiScan


,后台 的牛人是


zwell







·安域领创



WebRavor



记得流光(


FluXay

< br>)否?是的,


WebRavor


就是小榕所写!小榕


是谁?搜下??不用我介绍了吧?






·安恒



MatriXay


明鉴


WEB


应用弱点扫描器:


还没用过,和


NOSEC< /p>


一样,也有网上扫


描平台。






·绿盟



NSFOCUS RSAS


极光远程安全评估系统:


极光扫描系统新增的

< br>WEB


安全评估插


件,在某客户处见到过扫描报告,不过 没用过产品。依照绿盟的一贯风格和绿盟的实力,应


该不错。




--------------------------- --------------------------------------


免费产品






·


Nikto



很多地方都在推荐,


但游侠本人实在不喜欢命令行产品?? 各位喜欢的


Google



Baidu


下吧






·


Paros Proxy



基于


Java


搞的扫 描工具,速度也挺快,在淘宝


QA


团队博客也看到在介


绍这个软件。






·


WebScarab



传说中很


NB



OWASP


出的产品,不过我看下载地址的时候貌似更新挺







·


Sandcat

< br>:


扫描速度很快,检查的项目也挺多。机子现在就装了这个。





·


NBSI



应该说是黑客工具更靠谱 ,国内最早的,


可能也是地球上最早的一批


SQL


注入


及后续工作利用工具,当年是黑站挂马必备??






·


HDSI



教主所写,支持


ASP



PHP


注入,功能就 不多说了,也是杀人越货必备!






·


Domain


批量扫描的必备产品,通过


whois

< br>扫描服务器上的服务器,在很长一段时


间内风靡黑客圈。






·


Nessus


:当然它有商业版,不过我们常用的是免费版。脆弱性 评估工具,更擅长于主


机、服务器、网络设备扫描。






·


NMAP



主要倾向于端口等的评估。


-


-


-


-


-


-


-


-



本文更新与2021-03-01 10:35,由作者提供,不代表本网站立场,转载请注明出处:https://www.bjmy2z.cn/gaokao/687732.html

十个权威web安全扫描工具的相关文章