國內外網站安全滲透測試、漏洞掃描產品彙總大全

通過2016年網站安全報告顯示，國內網站每天被被黑被掛馬以2000萬個網頁增加，網站安全問題越來越重要，特別是習大大烏鎮互聯網大會上多次強調互聯網安全，越來越多的互聯網安全大會，央視新聞也會經常報道安全相關的新聞，但是如何判斷一個網站是否安全呢，這就需要三方工具來掃描了，下面就介紹列舉一下國內外比較著名的安全滲透掃描的產品。

國外網站安全滲透測試、漏洞掃描產品：

Nessus：Nessus 是目前全世界最多人使用的系統漏洞掃描與分析軟體。總共有超過75,000個機構使用Nessus 作為掃描該機構電腦系統的軟體。

nmap：nmap 也是不少黑客愛用的工具 ，黑客會利用nmap來搜集目標電腦的網路設定，從而計劃攻擊的方法。

Veracode:Veracode提供一個基於雲的應用程序安全測試平台。無需購買硬體，無需安裝軟體，使用客戶馬上就可以開始測試和補救應用程序，另外Veracode提供自動化的靜態和動態應用程序安全測試軟體和補救服務。

CAIN：在口令破解上很有一套技術；

appscan：appscan是IBM公司開發的用於掃描web應用的基礎架構，也是安全滲透行業扛把子的產品；

Nikto：Nikto是一款開源的（GPL）網頁伺服器掃描器，它可以對網頁伺服器進行全面的多種掃描；

parosproxy：parosproxy，這是一個對Web應用程序的漏洞進行評估的代理程序；

WebScarab：WebScarab記錄它檢測到的會話內容，使用者可以通過多種形式來查看記錄；

Webinspect：惠普公司的安全滲透產品，運行起來佔用大量內存，小家碧玉的就慎用了；

Whisker：Whisker是一款基於libwhisker的掃描器，但是現在大家都趨向於使用Nikto，它也是基於libwhisker的。

BurpSuite：是一款信息安全從業人員必備的集成型的滲透測試工具，它採用自動測試和半自動測試的方式;

Wikto:Wikto是一款基於C#編寫的Web漏洞掃描工具;

Acunetix Web Vulnerability Scanner：（簡稱AWVS）是一款知名的網路漏洞掃描工具，它通過網路爬蟲測試你的網站安全，檢測流行安全漏洞；

N-Stealth：N-Stealth 是一款商業級的Web伺服器安全掃描程序。

Nessus

Nessus：Nessus 是目前全世界最多人使用的系統漏洞掃描與分析軟體。總共有超過75,000個機構使用Nessus 作為掃描該機構電腦系統的軟體。

可同時在本機或遠端上搖控, 進行系統的漏洞分析掃描。其運作效能能隨著系統的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加內存大小),其效率表現可因為豐富資源而提高；可自行定義插件(Plug-in)；完整支持SSL (Secure Socket Layer)。

nmap

可以快速地掃描大型網路、以新穎的方式使用原始IP報文來發現網路上有哪些主機，那些主機提供什麼服務(應用程序名和版本)，那些服務運行在什麼操作系統(包括版本信息)， 它們使用什麼類型的報文過濾器/防火牆，以及一堆其它功能。雖然Nmap通常用於安全審核， 許多系統管理員和網路管理員也用它來做一些日常的工作，比如查看整個網路的信息， 管理服務升級計劃，以及監視主機和服務的運行。

除了埠表，Nmap還能提供關於目標機的進一步信息，包括反向域名，操作系統猜測，設備類型，和MAC地址。

Veracode

Veracode為開發人員、進程和技術提供一個可擴展性和符合成本效益的軟體安全規劃。Veracode提供一個基於雲的應用程序安全測試平台。無需購買硬體，無需安裝軟體，使用客戶馬上就可以開始測試和補救應用程序，另外Veracode提供自動化的靜態和動態應用程序安全測試軟體和補救服務。主要有：Veracode Static靜態分析、Veracode Dynamic動態分析、Veracode DynamicMP動態多處理器、Veracode Analytics應用程序智能分析 、Veracode Policy網路安全策略管理器、Veracode APIs應用程序介面測試工具等。

CAIN

破解屏保、PWL密碼、共享密碼、緩存口令、遠程共享口令、SMB口令、支持VNC口令解碼、Cisco Type-7口令解碼、Base64口令解碼、SQL Server 7.0/2000口令解碼、Remote Desktop口令解碼、Access Database口令解碼、Cisco PIX Firewall口令解碼、Cisco MD5解碼、NTLM Session Security口令解碼、IKE Aggressive Mode Pre-Shared Keys口令解碼、Dialup口令解碼、遠程桌面口令解碼等綜合工具，還可以遠程破解，可以掛字典以及暴力破解。

其sniffer功能極其強大，可以明文捕獲一切帳號口令，包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5- PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等

appscan

appscan是IBM公司開發的用於掃描web應用的基礎架構，進行安全漏洞測試並提供可行的報告和建議。AppScan的掃描能力，零時差補丁升級，配置嚮導和詳細的報表系統都進行了整合，簡化使用，增強用戶效率，有利於安全防範和保護web應用基礎架構。

Nikto:

這是一個開源的Web 伺服器掃描程序，它可以對Web 伺服器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900 個伺服器版本，還有250 多個伺服器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新並且可以自動更新(如果需要的話)。 Nikto 可以在儘可能短的周期內測試你的Web 伺服器，這在其日誌文件中相當明顯。不過，如果 你想試驗一下(或者測試你的IDS系統)，它也可以支持LibWhisker 的反IDS方法。

不過，並非每一次檢查都可以找出一個安全問題，雖然多數情況下是這樣的。有一些項目是僅提 供信息(「info only」 )類型的檢查，這種檢查可以查找一些並不存在安全漏洞的項目，不過 Web 管理員或安全工程師們並不知道。這些項目通常都可以恰當地標記出來。為我們省去不少麻煩。

parosproxy

parosproxy這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基於Java的web代理程序，可以評估Web應用程序的漏洞。它支持動態地編輯/查看HTTP/HTTPS,從而改變cookies和表單欄位等項目。它包括一個Web通信記錄程序，Web圈套程序(spider)，hash計算器，還有一個可以測試常見的Web應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL注入、跨站點腳本攻擊、目錄遍歷、CRLF -- Carriage-Return Line-Feed回車換行等。

WebScarab

它可以分析使用HTTP 和HTTPS 協議進行通信的應用程序，WebScarab 可以用最簡單地形式記錄它觀察的會話，並允許操作人員以各種方式觀查會話。如果你需要觀察一個基於HTTP(S)應用程序的運行狀態，那麼WebScarabi 就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題，還是允許安全專業人員識別漏洞，它都是一款不錯的工具。

Webinspect

大惠普公司的安全掃描產品，這是一款強大的Web 應用程序掃描程序。SPI Dynamics 的這款應用程序安全評估工具有助於確 認Web 應用中已知的和未知的漏洞。它還可以檢查一個Web 伺服器是否正確配置，並會嘗試一些 常見的Web 攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

Burpsuite

Burp Suite 是用於攻擊web 應用程序的集成平台。它包含了許多工具，並為這些工具設計了許多介面，以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理並顯示HTTP 消息，持久性，認證，代理，日誌，警報的一個強大的可擴展的框架。

Wikto

可以說這是一個Web 伺服器評估工具，它可以檢查Web 伺服器中的漏洞，並提供與Nikto 一樣的很多功能，增加了許多有趣的功能部分，如後端miner 和緊密的Google 集成。它為http://MS.NET環境編寫，但用戶需要註冊才能下載其二進位文件和源代碼。

Acunetix Web Vulnerability Scanner

簡稱WVS,這是一款商業級的Web 漏洞掃描程序，它可以檢查Web 應用程序中的漏洞，如SQL 注入、跨站腳 本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，並且能夠創建專 業級的Web 站點安全審核報告。

N-Stealth

N-Stealth 是一款商業級的Web伺服器安全掃描程序。它比一些免費的Web 掃描程序，如Whisker/libwhisker、Nikto 等的升級頻率更高，它宣稱含有「30000個漏洞和漏洞程序」以及 「每天增加大量的漏洞檢查」，不過這種說法令人質疑。還要注意，實際上所有通用的VA 工具， 如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些工具並非總能保持軟體更新，也不一定很靈活。)N-Stealth 主要為Windows 平台提供掃描，但並不提供源代碼。

如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些

工具並非總能保持軟體更新，也不一定很靈活。)N-Stealth 主要為Windows 平台提供掃描，但

並不提供源代碼。

國內網站安全滲透測試、漏洞掃描產品：

華為：主要業務領域防火牆、入侵檢測/入侵防禦、統一威脅管理、抗DDoS、VPN、雲WAF。

啟明星辰：主要業務領域防火牆、網路隔離、入侵檢測/入侵防禦、統一威脅管理、抗DDoS、資料庫安全、數據防泄漏、漏洞掃描、SOC&NGSOC以及評估加固和安全運維服務。

深信服：主要業務領域，防火牆、統一威脅管理、上網行為管理、VPN、移動終端安全等。

綠盟科技：主要業務領域，防火牆、入侵檢測/入侵防禦、統一威脅管理、主機安全(配置核查、主機防護)、抗DDoS、資料庫安全、漏洞掃描、Web應用掃描與監控、Web應用防火牆以及安全諮詢、評估加固和安全運維等服務。

360企業安全：主要業務領域防火牆、網路隔離、終端檢測響應EDR、Web應用掃描與監控、雲WAF、移動APP安全、威脅情報、安全大數據分析(APT)、SOC&NGSOC，並提供滲透測試等服務。

亞信安全：主要業務領域，統一威脅管理、主機安全(配置核查、主機防護)、終端防護&防病毒、數據防泄露、堡壘機/運維安全、移動終端安全、反釣魚、SOC&NGSOC。

衛士通：主要業務領域：防火牆、入侵檢測/入侵防禦、VPN、數據加密、文檔安全、加密機。

天融信：主要業務領域，防火牆、網路隔離、入侵檢測/入侵防禦、上網行為管理、VPN以及評估加固和安全運維等服務。

華三通信：主要業務領域防火牆、入侵檢測/入侵防禦、統一威脅管理和VPN。

安恆：主要業務領域資料庫安全、Web應用掃描與監控、Web應用防火牆、大數據分析(態勢感知)、等級保護工具等。

推薦閱讀：