Web漏洞扫描工具评估列表

本文自动忽略上古产品,侧重漏扫。

WebScarab

OWASP 出品的轻量级工具

它可以分析使用HTTP 和HTTPS 协议进行通信的应用程序,WebScarab 可以用最简单地形式记录
它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程
序的运行状态,那么WebScarabi 就可以满足你这种需要。不管是帮助开发人员调试其它方面的
难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。

HP Web Inspect

这是一款强大的Web 应用程序扫描程序。SPI Dynamics 的这款应用程序安全评估工具有助于确
认Web 应用中已知的和未知的漏洞。它还可以检查一个Web 服务器是否正确配置,并会尝试一些
常见的Web 攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。

Burpsuite

瑞士军刀级常用工具。

这是一个可以用于攻击Web 应用程序的集成平台。Burp 套件允许一个攻击者将人工的和自动的
技术结合起来,以列举、分析、攻击Web 应用程序,或利用这些程序的漏洞。各种各样的burp
工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。

Acunetix Web Vulnerability Scanner

不错的重量级漏扫工具。扫描全面但速度较慢。
完整扫描一个网站通常需要10W量级的请求数。
自动生成报表功能不错。

N-Stealth

N-Stealth 是一款商业级的Web 服务器安全扫描程序。它比一些免费的Web 扫描程序,如 Whisker/libwhisker、Nikto 等的升级频率更高,它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”,不过这种说法令人质疑。还要注意,实际上所有通用的 VA 工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 扫描部件。(虽然这些工具并非总能保持软件更新,也不一定很灵活。)N-Stealth 主要为Windows 平台提供扫描,但并不提供源代码。

IBM Rational AppScan

这个是IBM 旗下的产品,扫描速度中规中矩,报表功能相当强大,可以按照法规遵从生成不同的报表,如:ISO27001、OWASP 等,界面也很商业化。

Nessus

当然它有商业版,不过我们常用的是免费版。脆弱性评估工具,更擅长于主
机、服务器、网络设备扫描。

Rapid7 Nexpose

暂时省略

Nikto

Nikto is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items

国内厂商专栏

铱讯

铱迅漏洞扫描系统(Yxlink NVS)

绿盟 wvss

绿盟WEB应用漏洞扫描系统(NSFOCUS Web Vulnerability Scanning System,简称:NSFOCUS WVSS)

安恒

明鉴WEB应用弱点扫描器(MatriXay5.0)