國內(nèi)網(wǎng)站每天被被黑被掛馬以5000萬個網(wǎng)頁增加，網(wǎng)站安全問題越來越重要，但是如何判斷一個網(wǎng)站是否安全呢，這就需要三方工具來掃描了。

下面就介紹列舉一下國內(nèi)外比較著名的安全滲透掃描的產(chǎn)品。

國外網(wǎng)站安全滲透測試、漏洞掃描產(chǎn)品：

Nessus：Nessus 是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件?？偣灿谐^75,000個機構(gòu)使用Nessus 作為掃描該機構(gòu)電腦系統(tǒng)的軟件。

nmap：nmap 也是不少黑客愛用的工具 ，黑客會利用nmap來搜集目標電腦的網(wǎng)絡(luò)設(shè)定，從而計劃攻擊的方法。

Veracode: Veracode提供一個基于云的應(yīng)用程序安全測試平臺。無需購買硬件，無需安裝軟件，使用客戶馬上就可以開始測試和補救應(yīng)用程序，另外Veracode提供自動化的靜態(tài)和動態(tài)應(yīng)用程序安全測試軟件和補救服務(wù)。

CAIN：在口令破解上很有一套技術(shù)；

appscan：appscan是IBM公司開發(fā)的用于掃描web應(yīng)用的基礎(chǔ)架構(gòu)，也是安全滲透行業(yè)扛把子的產(chǎn)品；

Nikto：Nikto是一款開源的（GPL）網(wǎng)頁服務(wù)器掃描器，它可以對網(wǎng)頁服務(wù)器進行全面的多種掃描；

parosproxy：parosproxy，這是一個對Web應(yīng)用程序的漏洞進行評估的代理程序；

WebScarab：WebScarab記錄它檢測到的會話內(nèi)容，使用者可以通過多種形式來查看記錄；

Webinspect：惠普公司的安全滲透產(chǎn)品，運行起來占用大量內(nèi)存，小家碧玉的就慎用了；

Whisker：Whisker是一款基于libwhisker的掃描器，但是現(xiàn)在大家都趨向于使用Nikto，它也是基于libwhisker的。

BurpSuite：是一款信息安全從業(yè)人員必備的集成型的滲透測試工具，它采用自動測試和半自動測試的方式;

Wikto:Wikto是一款基于C#編寫的Web漏洞掃描工具;

Acunetix Web Vulnerability Scanner：（簡稱AWVS）是一款知名的網(wǎng)絡(luò)漏洞掃描工具，它通過網(wǎng)絡(luò)爬蟲測試你的網(wǎng)站安全，檢測流行安全漏洞；

N-Stealth：N-Stealth 是一款商業(yè)級的Web服務(wù)器安全掃描程序。

Nessus

Nessus：Nessus 是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件?？偣灿谐^75,000個機構(gòu)使用Nessus 作為掃描該機構(gòu)電腦系統(tǒng)的軟件。

可同時在本機或遠端上搖控, 進行系統(tǒng)的漏洞分析掃描。其運作效能能隨著系統(tǒng)的資源而自行調(diào)整。如果將主機加入更多的資源(例如加快CPU速度或增加內(nèi)存大小),其效率表現(xiàn)可因為豐富資源而提高；可自行定義插件(Plug-in)；完整支持SSL (Secure Socket Layer)。

nmap

可以快速地掃描大型網(wǎng)絡(luò)、以新穎的方式使用原始IP報文來發(fā)現(xiàn)網(wǎng)絡(luò)上有哪些主機，那些主機提供什么服務(wù)(應(yīng)用程序名和版本)，那些服務(wù)運行在什么操作系統(tǒng)(包括版本信息)， 它們使用什么類型的報文過濾器/防火墻，以及一堆其它功能。雖然Nmap通常用于安全審核， 許多系統(tǒng)管理員和網(wǎng)絡(luò)管理員也用它來做一些日常的工作，比如查看整個網(wǎng)絡(luò)的信息， 管理服務(wù)升級計劃，以及監(jiān)視主機和服務(wù)的運行。

除了端口表，Nmap還能提供關(guān)于目標機的進一步信息，包括反向域名，操作系統(tǒng)猜測，設(shè)備類型，和MAC地址。

Veracode

Veracode為開發(fā)人員、進程和技術(shù)提供一個可擴展性和符合成本效益的軟件安全規(guī)劃。Veracode提供一個基于云的應(yīng)用程序安全測試平臺。無需購買硬件，無需安裝軟件，使用客戶馬上就可以開始測試和補救應(yīng)用程序，另外Veracode提供自動化的靜態(tài)和動態(tài)應(yīng)用程序安全測試軟件和補救服務(wù)。主要有：Veracode Static靜態(tài)分析、Veracode Dynamic動態(tài)分析、Veracode DynamicMP動態(tài)多處理器、Veracode Analytics應(yīng)用程序智能分析 、Veracode Policy網(wǎng)絡(luò)安全策略管理器、Veracode APIs應(yīng)用程序接口測試工具等。

CAIN

破解屏保、PWL密碼、共享密碼、緩存口令、遠程共享口令、SMB口令、支持VNC口令解碼、Cisco Type-7口令解碼、Base64口令解碼、SQL Server 7.0/2000口令解碼、Remote Desktop口令解碼、Access Database口令解碼、Cisco PIX Firewall口令解碼、Cisco MD5解碼、NTLM Session Security口令解碼、IKE Aggressive Mode Pre-Shared Keys口令解碼、Dialup口令解碼、遠程桌面口令解碼等綜合工具，還可以遠程破解，可以掛字典以及暴力破解。

其sniffer功能極其強大，可以明文捕獲一切帳號口令，包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5- PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等

appscan

appscan是IBM公司開發(fā)的用于掃描web應(yīng)用的基礎(chǔ)架構(gòu)，進行安全漏洞測試并提供可行的報告和建議。AppScan的掃描能力，零時差補丁升級，配置向?qū)Ш驮敿毜膱蟊硐到y(tǒng)都進行了整合，簡化使用，增強用戶效率，有利于安全防范和保護web應(yīng)用基礎(chǔ)架構(gòu)。

Nikto:

這是一個開源的Web 服務(wù)器掃描程序，它可以對Web服務(wù)器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900 個服務(wù)器版本，還有250 多個服務(wù)器上的版本特定問題)進行全面的測試。其掃描項目和插件經(jīng)常更新并且可以自動更新(如果需要的話)。 Nikto 可以在盡可能短的周期內(nèi)測試你的Web 服務(wù)器，這在其日志文件中相當明顯。不過，如果 你想試驗一下(或者測試你的IDS系統(tǒng))，它也可以支持LibWhisker 的反IDS方法。

不過，并非每一次檢查都可以找出一個安全問題，雖然多數(shù)情況下是這樣的。有一些項目是僅提 供信息(“info only” )類型的檢查，這種檢查可以查找一些并不存在安全漏洞的項目，不過 Web 管理員或安全工程師們并不知道。這些項目通常都可以恰當?shù)貥擞洺鰜?。為我們省去不少麻煩?/p>

parosproxy

parosproxy這是一個對Web應(yīng)用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應(yīng)用程序的漏洞。它支持動態(tài)地編輯/查看HTTP/HTTPS,從而改變cookies和表單字段等項目。它包括一個Web通信記錄程序，Web圈套程序(spider)，hash計算器，還有一個可以測試常見的Web應(yīng)用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL注入、跨站點腳本攻擊、目錄遍歷、CRLF -- Carriage-Return Line-Feed回車換行等。

WebScarab

它可以分析使用HTTP 和HTTPS 協(xié)議進行通信的應(yīng)用程序，WebScarab 可以用最簡單地形式記錄它觀察的會話，并允許操作人員以各種方式觀查會話。如果你需要觀察一個基于HTTP(S)應(yīng)用程序的運行狀態(tài)，那么WebScarabi 就可以滿足你這種需要。不管是幫助開發(fā)人員調(diào)試其它方面的難題，還是允許安全專業(yè)人員識別漏洞，它都是一款不錯的工具。

Webinspect

大惠普公司的安全掃描產(chǎn)品，這是一款強大的Web 應(yīng)用程序掃描程序。SPI Dynamics 的這款應(yīng)用程序安全評估工具有助于確 認Web 應(yīng)用中已知的和未知的漏洞。它還可以檢查一個Web 服務(wù)器是否正確配置，并會嘗試一些 常見的Web 攻擊，如參數(shù)注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

Burpsuite

Burp Suite 是用于攻擊web 應(yīng)用程序的集成平臺。它包含了許多工具，并為這些工具設(shè)計了許多接口，以促進加快攻擊應(yīng)用程序的過程。所有的工具都共享一個能處理并顯示HTTP 消息，持久性，認證，代理，日志，警報的一個強大的可擴展的框架。

Wikto

可以說這是一個Web 服務(wù)器評估工具，它可以檢查Web 服務(wù)器中的漏洞，并提供與Nikto 一樣的很多功能，增加了許多有趣的功能部分，如后端miner 和緊密的Google 集成。它為MS.NET環(huán)境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。

Acunetix Web Vulnerability Scanner

簡稱WVS,這是一款商業(yè)級的Web漏洞掃描程序，它可以檢查Web 應(yīng)用程序中的漏洞，如SQL 注入、跨站腳 本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，并且能夠創(chuàng)建專 業(yè)級的Web 站點安全審核報告。

N-Stealth

N-Stealth 是一款商業(yè)級的Web服務(wù)器安全掃描程序。它比一些免費的Web 掃描程序，如Whisker/libwhisker、Nikto 等的升級頻率更高，它宣稱含有“30000個漏洞和漏洞程序”以及 “每天增加大量的漏洞檢查”，不過這種說法令人質(zhì)疑。還要注意，實際上所有通用的VA 工具， 如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth 主要為Windows 平臺提供掃描，但并不提供源代碼。

如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些

工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth 主要為Windows 平臺提供掃描，但

并不提供源代碼。

國內(nèi)網(wǎng)站安全滲透測試、漏洞掃描產(chǎn)品：

華為：主要業(yè)務(wù)領(lǐng)域防火墻、入侵檢測/入侵防御、統(tǒng)一威脅管理、抗DDoS、VPN、云WAF。

啟明星辰：主要業(yè)務(wù)領(lǐng)域防火墻、網(wǎng)絡(luò)隔離、入侵檢測/入侵防御、統(tǒng)一威脅管理、抗DDoS、數(shù)據(jù)庫安全、數(shù)據(jù)防泄漏、漏洞掃描、SOC&NGSOC以及評估加固和安全運維服務(wù)。

深信服：主要業(yè)務(wù)領(lǐng)域，防火墻、統(tǒng)一威脅管理、上網(wǎng)行為管理、VPN、移動終端安全等。

綠盟科技：主要業(yè)務(wù)領(lǐng)域，防火墻、入侵檢測/入侵防御、統(tǒng)一威脅管理、主機安全(配置核查、主機防護)、抗DDoS、數(shù)據(jù)庫安全、漏洞掃描、Web應(yīng)用掃描與監(jiān)控、Web應(yīng)用防火墻以及安全咨詢、評估加固和安全運維等服務(wù)。

360企業(yè)安全：主要業(yè)務(wù)領(lǐng)域防火墻、網(wǎng)絡(luò)隔離、終端檢測響應(yīng)EDR、Web應(yīng)用掃描與監(jiān)控、云WAF、移動APP安全、威脅情報、安全大數(shù)據(jù)分析(APT)、SOC&NGSOC，并提供滲透測試等服務(wù)。

亞信安全：主要業(yè)務(wù)領(lǐng)域，統(tǒng)一威脅管理、主機安全(配置核查、主機防護)、終端防護&防病毒、數(shù)據(jù)防泄露、堡壘機/運維安全、移動終端安全、反釣魚、SOC&NGSOC。

衛(wèi)士通：主要業(yè)務(wù)領(lǐng)域：防火墻、入侵檢測/入侵防御、VPN、數(shù)據(jù)加密、文檔安全、加密機。

天融信：主要業(yè)務(wù)領(lǐng)域，防火墻、網(wǎng)絡(luò)隔離、入侵檢測/入侵防御、上網(wǎng)行為管理、VPN以及評估加固和安全運維等服務(wù)。

華三通信：主要業(yè)務(wù)領(lǐng)域防火墻、入侵檢測/入侵防御、統(tǒng)一威脅管理和VPN。

安恒：主要業(yè)務(wù)領(lǐng)域數(shù)據(jù)庫安全、Web應(yīng)用掃描與監(jiān)控、Web應(yīng)用防火墻、大數(shù)據(jù)分析(態(tài)勢感知)、等級保護工具等。

本文鏈接：http://www.cscec4b3.com.cn/article/294.html