学步园

PAIP.WEB程序网站安全扫描检测工具（桌面程序）总结

作者Attilax ， 1466519819@qq.com

****Acunetix web Vulnerability Scanner (18M)
-------------------------------------------

这是个好东西，是网站国外漏洞检测工具中最杰出的软件，能够测试各种类型的漏洞，并能对漏洞的种类、漏洞细节在报告中展示出来，可惜现在是收费了
我用的是Acunetix Web Vulnerability Scanner 7 软件加破解补丁CSDN
很强大的工具，还可以扫描WEB SERVICE漏洞..

9. Watchfire AppScan 这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试，从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。

10. N-Stealth N-Stealth是一款商业级的Web服务器安全扫描程序

4. WebInspect9.2 (251M)

这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置，并会尝试一些常见的Web攻击，如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。
ms 是用。NET3.5写的。。

****. Wikto V2.1 (1M)  可以说这是一个Web服务器评估工具，它可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分，如后端miner和紧密的Google集成。它为MS.NET环境编写，但用户需要注册才能下载其二进制文件和源代码。

主要是可以扫描不安全的目录 backend,
spider,可以扫描网站外链。。
WIkto,TAB,加载NIKTO DATABASE库，然后SATART，可以扫描一些漏洞..

在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。
　　1.IBM Rational AppScan

　　IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具，曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）及缓冲溢出（buffer overflow）等方面安全漏洞的扫描。
　　2.HP WebInspect

　　目前，许多复杂的 Web 应用程序全都基于新兴的 Web 2.0 技术，HP WebInspect 可以对这些应用程序执行 Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。
　　它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术，例如同步扫描和审核 （simultaneous crawl and audit, SCA） 及并发应用程序扫描，您可以快速而准确地自动执行 Web 应用程序安全测试和 Web 服务安全测试。
　　主要功能：
　　·利用创新的评估技术检查 Web 服务及 Web 应用程序的安全
　　·自动执行 Web 应用程序安全测试和评估
　　·在整个生命周期中执行应用程序安全测试和协作
　　·通过最先进的用户界面轻松运行交互式扫描
　　·满足法律和规章符合性要求
　　·利用高级工具 （HP Security Toolkit） 执行渗透测试
　　· 配置以支持任何 Web 应用程序环境
　　 3.Acunetix Web Vulnerability Scanner

　　Acunetix Web Vulnerability Scanner是一款自动的Web应用安全性测试工具，它能够通过发现Web应用的Hacking弱点来监测你的网站。自动扫描能够更快速有效的对你的网站和Web应用进行深度测试。
　　大约有70%的网站存在安全隐患，这些漏洞可能会导致信用卡信息或客户列表等敏感的公司数据被盗。
　　对web应用hacking来说，防火墙，SSL和锁定的服务器几乎是无用的。
　　从80/443端口发起的针对web application的攻击，能够直接穿过防火墙，越过操作系统和网络级的安全措施，到达您的应用的心脏和企业数据。模块类的web应用通常都没用作足够的测试，有隐藏的弱点，及易受到攻击。
　　Acunetix具有领先的web应用安全扫描技术：我们的工程师从1997年开始就专注于网站分析和弱点侦测。Acunetix Web Vulnerability Scanner包括许多开创性的功能：
　　·自动的Javascript分析器可以测试Ajax和Web2.0的应用，
　　·行业内最先进，最深入的SQL注入和跨站点脚本测试，
　　·Visual macro recorder使Web form和密码保护区域测试更容易，
　　·扩展的报表工具包括VISA PCI compliance报表，
　　·多线程和快速扫描工具能够轻松检验成千上万的页面，
　　·智能的Crawler能够探测Web服务器的种类和应用的编程语言，
　　 ·Acunetix 可以探测和分析网站上的Flash内容，SOAP和AJAX。
　　4.绿盟极光远程安全评估系统-Web应用扫描

　　绿盟远程安全评估系统Web应用扫描增强模块，是绿盟科技研究团队多年深入研究当前各种流行的Web攻击手段的技术结晶，是专门面向 Web 应用安全管理员进行专业安全评估及检测的自动化工具。可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析，全面发现各类安全隐患，提出针对性的修复建议，以及形成多种符合法规、行业标准的报告。
　　5.安恒信息MatriXay明鉴WEB应用弱点扫描器

　　明鉴WEB应用弱点扫描器（简称：MatriXay 3.6）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布，2.0版本于2007年12月 发布，并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。因此，被评价为“最佳的WEB安全评估工具”。
　　作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心运营商安全Web和数据库安全检查工具，MatriXay 3.6 （2009版）可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等）。
　　　　6.安域领创WebRavor

　　新一代应用安全扫描工具WebRavor，全面超越现有的此类工具，是目前世界上最好的商业级安全产品，被客户评价为“技术和艺术的完美结晶”，并且已经取得多项专利保护（200920105886.0/200910078545.3）。
　　安域领创的安全服务团队具有丰富的实施和规划经验，从2001年开始就参与规划和实施多种类型的安全咨询和服务项目，遍及政府、金融、电信、移动、联通等国内各大行业客户。
　　WebRavor是在深入研究分析WEB应用系统中典型安全漏洞及流行攻击技术的基础上，由国内顶尖团队开发的一款WEB应用安全评估产品。研发及测试时间历经4年，经过10万多个真实系统的测试，是目前业界最强悍的专注于WEB应用安全弱点的评估工具。
　　WebRavor在 2006年8月的世界安全大会BlackHat和Def—Con上发布后，被评价为“最佳的WEB安全评估工具”
　　7.诺赛科技Jsky/Pangolin

　　JSky Web应用安全漏洞扫描系统是一款简明易用的自动化Web漏洞扫描与漏洞利用平台。帮你发现并解决现有Web系统中存在的安全隐患；杜绝黑客攻击；保护企业核心资产。
　　诺赛科技为您提供专业且全面的安全解决方案。JSky作为自动化的Web应用漏洞扫描软件模拟“攻击者”给你全方位的视角和完善的建议。让你对入侵者的操作一目了然，从而制定有针对性的防护方案。
　　JSky不只是告诉您这里有漏洞，同时也能通过实际操作告诉您这种漏洞会导致什么样的后果：企业会否由于该漏洞发生数据泄漏？数据丢失？网站挂马？无论您后台数据库是MSSQL、MYSQL、Oracle抑或是大型的 Sybase、Informix、DB2系统，我们都能通过简单的操作进行深入的渗透测试。包括读系统敏感文件、写文件、读取数据库信息、执行系统命令、权限提升、上传木马后门等等一系列的操作。
　　向导式的操作，能让您瞬间成为Web应用安全专家。　
　　8.知道创宇“知道网站安全体检中心”

　　知道创宇成立于2007年，是中国唯一微软全球安全服务提供商。知道创宇专注于WEB安全，致力于提供产品、技术、服务来改善日益恶化的中国互联网安全环境。
　　　9.智恒联盟WebPecker网站整体威胁检测系统

　　“网站啄木鸟”是北京智恒联盟科技有限公司技术研究团队多年深入研究当前各类流行Web攻击手段（如网页挂马攻击、SQL 注入漏洞、跨站脚本攻击等）的经验结晶。该系统是目前国内最早的一款商业化Web安全检查系统，通过本地检测技术与远程检测技术相结合，对网站进行全面的、深入的、彻底的风险评估，综合性的规则库（本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等）以及业界最为领先的智能化爬虫技术及 SQL注入状态检测技术，使得相比国内外同类产品智能化程度高，速度快，误报率极低。
　　经过数百个用户的实践证明，“网站啄木鸟”是Web安全性价比最高的产品，相比国外的Web安全扫描产品来说，速度快，具备紧密跟踪国内最新网页木马的快速响应及更新能力；相比国内的Web安全扫描产品来说，功能多，结果准，该系统是我国等级保护测评以及网站安全保密检查必备软件系统。
　　10. Syhunt Sandcat

　　Sandcat是一款远程网络应用程序安全评估扫描器。它允许你以黑客的视角扫描最常见的网络应用程序缺陷。 Sandcat在远程分析WEB应用程序存在的问题，包括但不仅限于：如：SQL注入、XSS等。
　　SandCat有Free版和Pro版，前者可以免费下载。
　　　除了上述产品，其实国内、国外还有很多不错的产品或服务，如：Safe3 Web Vul Scanner、启明星辰安星远程网站安全检查服务、Google发布的开源WEB扫描器Skipfish、Watcher、N-Stealth等，大家也可以了解下。

****EeSafe不太好用

****webfuzz_______

,128k,.net做的，MS只能检测注入，需要手工输入注入URL...
书籍：揭秘WEB应用程序攻击技术
***Nikto ，PERL写的，PASS

******相关知识与文档(有大量关于安全的PPT方案等)
http://www.doc88.com/p-972391497519.html
web应用程序的安全(上)
  Web应用安全
  web应用安全培训
  WEB应用安全培训
  Web应用安全研究
  Web应用安全培训
  Web应用安全研究
  Web应用安全研究
  web应用安全漏洞识别
  Web服务的安全研究及应用
  WEB应用安全解决方案
  WEB应用安全解决方案
  WEB应用安全网关
  Web服务的安全研究与应用
  Web应用程序的安全维护
  web应用的安全模式
  web service安全的整合应用
  Web服务的安全研究与应用
  Web service安全的整合应用
参考
EeSafe：给站长推荐几个好用的网站安全检测&漏洞扫描工具
【转】最受欢迎的十大WEB应用安全评估系统_蹒跚于前行路上的历程_百度空间.htm