國內(nèi)網(wǎng)站每天被被黑被掛馬以5000萬個(gè)網(wǎng)頁增加，網(wǎng)站安全問題越來越重要，但是如何判斷一個(gè)網(wǎng)站是否安全呢，這就需要三方工具來掃描了。

下面就介紹列舉一下國內(nèi)外比較著名的安全滲透掃描的產(chǎn)品。

國外網(wǎng)站安全滲透測(cè)試、漏洞掃描產(chǎn)品：

Nessus：Nessus 是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件?？偣灿谐^75,000個(gè)機(jī)構(gòu)使用Nessus 作為掃描該機(jī)構(gòu)電腦系統(tǒng)的軟件。

nmap：nmap 也是不少黑客愛用的工具 ，黑客會(huì)利用nmap來搜集目標(biāo)電腦的網(wǎng)絡(luò)設(shè)定，從而計(jì)劃攻擊的方法。

Veracode: Veracode提供一個(gè)基于云的應(yīng)用程序安全測(cè)試平臺(tái)。無需購買硬件，無需安裝軟件，使用客戶馬上就可以開始測(cè)試和補(bǔ)救應(yīng)用程序，另外Veracode提供自動(dòng)化的靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試軟件和補(bǔ)救服務(wù)。

CAIN：在口令破解上很有一套技術(shù)；

appscan：appscan是IBM公司開發(fā)的用于掃描web應(yīng)用的基礎(chǔ)架構(gòu)，也是安全滲透行業(yè)扛把子的產(chǎn)品；

Nikto：Nikto是一款開源的（GPL）網(wǎng)頁服務(wù)器掃描器，它可以對(duì)網(wǎng)頁服務(wù)器進(jìn)行全面的多種掃描；

parosproxy：parosproxy，這是一個(gè)對(duì)Web應(yīng)用程序的漏洞進(jìn)行評(píng)估的代理程序；

WebScarab：WebScarab記錄它檢測(cè)到的會(huì)話內(nèi)容，使用者可以通過多種形式來查看記錄；

Webinspect：惠普公司的安全滲透產(chǎn)品，運(yùn)行起來占用大量內(nèi)存，小家碧玉的就慎用了；

Whisker：Whisker是一款基于libwhisker的掃描器，但是現(xiàn)在大家都趨向于使用Nikto，它也是基于libwhisker的。

BurpSuite：是一款信息安全從業(yè)人員必備的集成型的滲透測(cè)試工具，它采用自動(dòng)測(cè)試和半自動(dòng)測(cè)試的方式;

Wikto:Wikto是一款基于C#編寫的Web漏洞掃描工具;

Acunetix Web Vulnerability Scanner：（簡稱AWVS）是一款知名的網(wǎng)絡(luò)漏洞掃描工具，它通過網(wǎng)絡(luò)爬蟲測(cè)試你的網(wǎng)站安全，檢測(cè)流行安全漏洞；

N-Stealth：N-Stealth 是一款商業(yè)級(jí)的Web服務(wù)器安全掃描程序。

Nessus

Nessus：Nessus 是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件?？偣灿谐^75,000個(gè)機(jī)構(gòu)使用Nessus 作為掃描該機(jī)構(gòu)電腦系統(tǒng)的軟件。

可同時(shí)在本機(jī)或遠(yuǎn)端上搖控, 進(jìn)行系統(tǒng)的漏洞分析掃描。其運(yùn)作效能能隨著系統(tǒng)的資源而自行調(diào)整。如果將主機(jī)加入更多的資源(例如加快CPU速度或增加內(nèi)存大小),其效率表現(xiàn)可因?yàn)樨S富資源而提高；可自行定義插件(Plug-in)；完整支持SSL (Secure Socket Layer)。

nmap

可以快速地掃描大型網(wǎng)絡(luò)、以新穎的方式使用原始IP報(bào)文來發(fā)現(xiàn)網(wǎng)絡(luò)上有哪些主機(jī)，那些主機(jī)提供什么服務(wù)(應(yīng)用程序名和版本)，那些服務(wù)運(yùn)行在什么操作系統(tǒng)(包括版本信息)， 它們使用什么類型的報(bào)文過濾器/防火墻，以及一堆其它功能。雖然Nmap通常用于安全審核， 許多系統(tǒng)管理員和網(wǎng)絡(luò)管理員也用它來做一些日常的工作，比如查看整個(gè)網(wǎng)絡(luò)的信息， 管理服務(wù)升級(jí)計(jì)劃，以及監(jiān)視主機(jī)和服務(wù)的運(yùn)行。

除了端口表，Nmap還能提供關(guān)于目標(biāo)機(jī)的進(jìn)一步信息，包括反向域名，操作系統(tǒng)猜測(cè)，設(shè)備類型，和MAC地址。

Veracode

Veracode為開發(fā)人員、進(jìn)程和技術(shù)提供一個(gè)可擴(kuò)展性和符合成本效益的軟件安全規(guī)劃。Veracode提供一個(gè)基于云的應(yīng)用程序安全測(cè)試平臺(tái)。無需購買硬件，無需安裝軟件，使用客戶馬上就可以開始測(cè)試和補(bǔ)救應(yīng)用程序，另外Veracode提供自動(dòng)化的靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試軟件和補(bǔ)救服務(wù)。主要有：Veracode Static靜態(tài)分析、Veracode Dynamic動(dòng)態(tài)分析、Veracode DynamicMP動(dòng)態(tài)多處理器、Veracode Analytics應(yīng)用程序智能分析 、Veracode Policy網(wǎng)絡(luò)安全策略管理器、Veracode APIs應(yīng)用程序接口測(cè)試工具等。

CAIN

破解屏保、PWL密碼、共享密碼、緩存口令、遠(yuǎn)程共享口令、SMB口令、支持VNC口令解碼、Cisco Type-7口令解碼、Base64口令解碼、SQL Server 7.0/2000口令解碼、Remote Desktop口令解碼、Access Database口令解碼、Cisco PIX Firewall口令解碼、Cisco MD5解碼、NTLM Session Security口令解碼、IKE Aggressive Mode Pre-Shared Keys口令解碼、Dialup口令解碼、遠(yuǎn)程桌面口令解碼等綜合工具，還可以遠(yuǎn)程破解，可以掛字典以及暴力破解。

其sniffer功能極其強(qiáng)大，可以明文捕獲一切帳號(hào)口令，包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5- PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等

appscan

appscan是IBM公司開發(fā)的用于掃描web應(yīng)用的基礎(chǔ)架構(gòu)，進(jìn)行安全漏洞測(cè)試并提供可行的報(bào)告和建議。AppScan的掃描能力，零時(shí)差補(bǔ)丁升級(jí)，配置向?qū)Ш驮敿?xì)的報(bào)表系統(tǒng)都進(jìn)行了整合，簡化使用，增強(qiáng)用戶效率，有利于安全防范和保護(hù)web應(yīng)用基礎(chǔ)架構(gòu)。

Nikto:

這是一個(gè)開源的Web 服務(wù)器掃描程序，它可以對(duì)Web服務(wù)器的多種項(xiàng)目(包括3500個(gè)潛在的危險(xiǎn)文件/CGI，以及超過900 個(gè)服務(wù)器版本，還有250 多個(gè)服務(wù)器上的版本特定問題)進(jìn)行全面的測(cè)試。其掃描項(xiàng)目和插件經(jīng)常更新并且可以自動(dòng)更新(如果需要的話)。 Nikto 可以在盡可能短的周期內(nèi)測(cè)試你的Web 服務(wù)器，這在其日志文件中相當(dāng)明顯。不過，如果 你想試驗(yàn)一下(或者測(cè)試你的IDS系統(tǒng))，它也可以支持LibWhisker 的反IDS方法。

不過，并非每一次檢查都可以找出一個(gè)安全問題，雖然多數(shù)情況下是這樣的。有一些項(xiàng)目是僅提 供信息(“info only” )類型的檢查，這種檢查可以查找一些并不存在安全漏洞的項(xiàng)目，不過 Web 管理員或安全工程師們并不知道。這些項(xiàng)目通常都可以恰當(dāng)?shù)貥?biāo)記出來。為我們省去不少麻煩。

parosproxy

parosproxy這是一個(gè)對(duì)Web應(yīng)用程序的漏洞進(jìn)行評(píng)估的代理程序，即一個(gè)基于Java的web代理程序，可以評(píng)估Web應(yīng)用程序的漏洞。它支持動(dòng)態(tài)地編輯/查看HTTP/HTTPS,從而改變cookies和表單字段等項(xiàng)目。它包括一個(gè)Web通信記錄程序，Web圈套程序(spider)，hash計(jì)算器，還有一個(gè)可以測(cè)試常見的Web應(yīng)用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL注入、跨站點(diǎn)腳本攻擊、目錄遍歷、CRLF -- Carriage-Return Line-Feed回車換行等。

WebScarab

它可以分析使用HTTP 和HTTPS 協(xié)議進(jìn)行通信的應(yīng)用程序，WebScarab 可以用最簡單地形式記錄它觀察的會(huì)話，并允許操作人員以各種方式觀查會(huì)話。如果你需要觀察一個(gè)基于HTTP(S)應(yīng)用程序的運(yùn)行狀態(tài)，那么WebScarabi 就可以滿足你這種需要。不管是幫助開發(fā)人員調(diào)試其它方面的難題，還是允許安全專業(yè)人員識(shí)別漏洞，它都是一款不錯(cuò)的工具。

Webinspect

大惠普公司的安全掃描產(chǎn)品，這是一款強(qiáng)大的Web 應(yīng)用程序掃描程序。SPI Dynamics 的這款應(yīng)用程序安全評(píng)估工具有助于確 認(rèn)Web 應(yīng)用中已知的和未知的漏洞。它還可以檢查一個(gè)Web 服務(wù)器是否正確配置，并會(huì)嘗試一些 常見的Web 攻擊，如參數(shù)注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

Burpsuite

Burp Suite 是用于攻擊web 應(yīng)用程序的集成平臺(tái)。它包含了許多工具，并為這些工具設(shè)計(jì)了許多接口，以促進(jìn)加快攻擊應(yīng)用程序的過程。所有的工具都共享一個(gè)能處理并顯示HTTP 消息，持久性，認(rèn)證，代理，日志，警報(bào)的一個(gè)強(qiáng)大的可擴(kuò)展的框架。

Wikto

可以說這是一個(gè)Web 服務(wù)器評(píng)估工具，它可以檢查Web 服務(wù)器中的漏洞，并提供與Nikto 一樣的很多功能，增加了許多有趣的功能部分，如后端miner 和緊密的Google 集成。它為MS.NET環(huán)境編寫，但用戶需要注冊(cè)才能下載其二進(jìn)制文件和源代碼。

Acunetix Web Vulnerability Scanner

簡稱WVS,這是一款商業(yè)級(jí)的Web漏洞掃描程序，它可以檢查Web 應(yīng)用程序中的漏洞，如SQL 注入、跨站腳 本攻擊、身份驗(yàn)證頁上的弱口令長度等。它擁有一個(gè)操作方便的圖形用戶界面，并且能夠創(chuàng)建專 業(yè)級(jí)的Web 站點(diǎn)安全審核報(bào)告。

N-Stealth

N-Stealth 是一款商業(yè)級(jí)的Web服務(wù)器安全掃描程序。它比一些免費(fèi)的Web 掃描程序，如Whisker/libwhisker、Nikto 等的升級(jí)頻率更高，它宣稱含有“30000個(gè)漏洞和漏洞程序”以及 “每天增加大量的漏洞檢查”，不過這種說法令人質(zhì)疑。還要注意，實(shí)際上所有通用的VA 工具， 如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth 主要為Windows 平臺(tái)提供掃描，但并不提供源代碼。

如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些

工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth 主要為Windows 平臺(tái)提供掃描，但

并不提供源代碼。

國內(nèi)網(wǎng)站安全滲透測(cè)試、漏洞掃描產(chǎn)品：

華為：主要業(yè)務(wù)領(lǐng)域防火墻、入侵檢測(cè)/入侵防御、統(tǒng)一威脅管理、抗DDoS、VPN、云WAF。

啟明星辰：主要業(yè)務(wù)領(lǐng)域防火墻、網(wǎng)絡(luò)隔離、入侵檢測(cè)/入侵防御、統(tǒng)一威脅管理、抗DDoS、數(shù)據(jù)庫安全、數(shù)據(jù)防泄漏、漏洞掃描、SOC&NGSOC以及評(píng)估加固和安全運(yùn)維服務(wù)。

深信服：主要業(yè)務(wù)領(lǐng)域，防火墻、統(tǒng)一威脅管理、上網(wǎng)行為管理、VPN、移動(dòng)終端安全等。

綠盟科技：主要業(yè)務(wù)領(lǐng)域，防火墻、入侵檢測(cè)/入侵防御、統(tǒng)一威脅管理、主機(jī)安全(配置核查、主機(jī)防護(hù))、抗DDoS、數(shù)據(jù)庫安全、漏洞掃描、Web應(yīng)用掃描與監(jiān)控、Web應(yīng)用防火墻以及安全咨詢、評(píng)估加固和安全運(yùn)維等服務(wù)。

360企業(yè)安全：主要業(yè)務(wù)領(lǐng)域防火墻、網(wǎng)絡(luò)隔離、終端檢測(cè)響應(yīng)EDR、Web應(yīng)用掃描與監(jiān)控、云WAF、移動(dòng)APP安全、威脅情報(bào)、安全大數(shù)據(jù)分析(APT)、SOC&NGSOC，并提供滲透測(cè)試等服務(wù)。

亞信安全：主要業(yè)務(wù)領(lǐng)域，統(tǒng)一威脅管理、主機(jī)安全(配置核查、主機(jī)防護(hù))、終端防護(hù)&防病毒、數(shù)據(jù)防泄露、堡壘機(jī)/運(yùn)維安全、移動(dòng)終端安全、反釣魚、SOC&NGSOC。

衛(wèi)士通：主要業(yè)務(wù)領(lǐng)域：防火墻、入侵檢測(cè)/入侵防御、VPN、數(shù)據(jù)加密、文檔安全、加密機(jī)。

天融信：主要業(yè)務(wù)領(lǐng)域，防火墻、網(wǎng)絡(luò)隔離、入侵檢測(cè)/入侵防御、上網(wǎng)行為管理、VPN以及評(píng)估加固和安全運(yùn)維等服務(wù)。

華三通信：主要業(yè)務(wù)領(lǐng)域防火墻、入侵檢測(cè)/入侵防御、統(tǒng)一威脅管理和VPN。

安恒：主要業(yè)務(wù)領(lǐng)域數(shù)據(jù)庫安全、Web應(yīng)用掃描與監(jiān)控、Web應(yīng)用防火墻、大數(shù)據(jù)分析(態(tài)勢(shì)感知)、等級(jí)保護(hù)工具等。

本文鏈接：http://www.hkass.cn/article/294.html