美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。如华为、RSA、赛门铁克、联想ThinkPad、绿盟、启明星辰、东软、Citrix思杰、安域领创等都开发了自己的Web漏洞扫描程序。
1.Nikto(免费产品)
Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描。扫描项和插件可以自动更新(如果需要),但其软件本身并不经常更新,最新和最危险的可能检测不到。
2.Paros proxy(免费产品)
一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。
Proxy是架设在攻击者的浏览器和目标网站中间,所有的HTTP或HTTPS的要求和回应都会被送到proxy,是这类型Web proxy中的最佳工具。
3. WebScarab(免费产品)
基于GNU版本协议,WebScarab记录它检测到的会话内容(请求和应答),使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;也可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。
WebScarab功能强大,包括HTTP代理、HTTPS拦截、Fuzz测试、SSL客户认证等。
4.Sandcat Browser(免费产品)
一款基于google Chromium引擎的轻量级渗透测试平台。它免费、方便携带、主要用于渗透测试并且支持多标签。同样是以扩展和脚本的形式打造渗透测试工具包。
5.X-scan(免费产品)
国内著名的完全免费的综合扫描器,支持中英文两种语言,包括图形界面和命令行方式,而且是不需要安装的绿色软件。主要由国内著名的民间黑客组织安全焦点(http://www.xfocus.net/)出品。可惜已经多年不更新了,最新版本是X-Scan v3.3(07/18/2005)
X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。
6.Wikto(免费产品)
一款基于C#编写的Web漏洞扫描工具,它可以检查Web服务器中的漏洞,并提供与Nikto一样的很多功能,但增加了许多有趣的功能部分,如后端miner和紧密的Google集成。它为MS.NET环境编写,但用户需要注册才能下载其二进制文件和源代码。Wikto功能包含了Web爬虫、GoogleHack、Web服务器漏洞扫描等等。
7.Burpsuite(免费)
这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web应用程序,或利用这些程序的漏洞。各种各样的burp工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。
8.Whisker/libwhisker(免费)
Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。
9.IBM Rational AppScan(国外商业级)
IBM公司推出的Rational AppScan,其前身是享誉业界的Watchfire AppScan(2007年被IBM收购后更名),在应用程序的整个开发周期都提供安全测试,从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞,如SQL注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项等等。
http://www-01.ibm.com/software/cn/rational/awdtools/appscan/
10.HP WebInspect(国外商业级)
这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。
11.Acunetix Web Vulnerability Scanner(国外商业级)
简称WVS,这是一款商业级的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。
http://www.acunetix.com/
12.N-Stealth(国外商业级)
N-Stealth是ZMT公司出品的一款商业的WEB站点安全扫描软件,同时也有可以免费使用的版本。主要为Windows平台提供扫描,它比一些免费的Web扫描程序,如Whisker/libwhisker、 Nikto等的升级频率更高,它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”。
http://www.nstalker.com/
13.绿盟极光(国产商业级)
绿盟科技研发的远程安全评估系统,可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析,全面发现各类安全隐患,提出针对性的修复建议,以及形成多种符合法规、行业标准的报告。
14.安恒 MatriXay WebScan(国产商业级)
WEB应用弱点扫描器(MatriXay)是杭州安恒信息技术公司研发的明鉴TM系列产品,被作为公安部等级保护测评中心专用应用安全测评工具。
主要功能包含全局配置、系统管理、项目管理、项目扫描、弱点检测、渗透测试、配置审计和报表管理。能抗御注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等各类WEB应用攻击。
15.安域领创 WebRavor(国产商业级)
安域领创公司自主研制开发的新一代应用安全扫描工具,该产品基于渗透性测试的方法,实现对Web 应用的深度漏洞探测,帮助应用开发者和管理者了解应用系统存在的脆弱性。已经在中国移动、中国电信、中国联通进行了部署。
http://www.secdomain.com/
16.诺赛科技 Jsky/Pangolin(国产商业级)
JSky(竭思)是Web应用安全漏洞扫描器,模拟黑客攻击来评估计算机网站安全。Pangolin(穿山甲)是SQL注入工具,帮助渗透测试人员进行SQL注入测试。诺赛科技曾推出号称全球第一款基于SaaS的免费的Web漏洞扫描平台亿思(www.iiScan.com),不过该服务已停运。
http://www.nosec.org/
17.智恒联盟 Webpecker(国产商业级)
Webpecker(网站啄木鸟)是一款商业化Web安全检查系统,通过本地检测技术与远程检测技术相结合,对网站进行全面的风险评估。Webpecker能检测本地漏洞、恶意网站、SQL注入、网站管理后台漏洞等,可以测试网站网页中是否存在木马。