web 安全

nmap 下載下傳位址

https://nmap.org/download.html 

美國最權威的RSA大會研究顯示，Web應用安全已超過所有以前網絡層安全（如DDos），逐漸成為最嚴重、最廣泛、危害性最大的安全問題。如華為、RSA、賽門鐵克、聯想ThinkPad、綠盟、啟明星辰、東軟、Citrix思傑、安域領創等都開發了自己的Web漏洞掃描程式、

　　

　　1.Nikto（免費産品）

　　Nikto是一款開源的（GPL）網頁伺服器掃描器，它可以對網頁伺服器進行全面的多種掃描。掃描項和插件可以自動更新（如果需要），但其軟體本身并不經常更新，最新和最危險的可能檢測不到。

　　2.Paros proxy（免費産品）

　　一個基于Java的web代理程式，可以評估Web應用程式的漏洞。它支援動态地編輯/檢視HTTP/HTTPS，進而改變cookies和表單字段等項目。它包括一個Web通信記錄程式，Web圈套程式（spider），hash電腦，還有一個可以測試常見的Web應用程式攻擊（如SQL注入式攻擊和跨站腳本攻擊）的掃描器。

　　Proxy是架設在攻擊者的浏覽器和目标網站中間，所有的HTTP或HTTPS的要求和回應都會被送到proxy，是這類型Web proxy中的最佳工具。

　　3. WebScarab（免費産品）

　　基于GNU版本協定，WebScarab記錄它檢測到的會話内容（請求和應答），使用者可以通過多種形式來檢視記錄。WebScarab的設計目的是讓使用者可以掌握某種基于HTTP（S）程式的運作過程；也可以用它來調試程式中較難處理的bug，也可以幫助安全專家發現潛在的程式漏洞。

　　WebScarab功能強大，包括HTTP代理、HTTPS攔截、Fuzz測試、SSL客戶認證等。

　　4.Sandcat Browser（免費産品）

　　一款基于google Chromium引擎的輕量級滲透測試平台。它免費、友善攜帶、主要用于滲透測試并且支援多标簽。同樣是以擴充和腳本的形式打造滲透測試工具包。

　　5.X-scan（免費産品）

　　國内著名的完全免費的綜合掃描器，支援中英文兩種語言，包括圖形界面和指令行方式，而且是不需要安裝的綠色軟體。主要由國内著名的民間黑客組織安全焦點（http://www.xfocus.net/）出品。可惜已經多年不更新了，最新版本是X-Scan v3.3（07/18/2005）

X-Scan把掃描報告和安全焦點網站相連接配接，對掃描到的每個漏洞進行“風險等級”評估，并提供漏洞描述、緩衝區溢位程式，友善網管測試、修補漏洞。

　　Wikto（免費産品）

　　一款基于C#編寫的Web漏洞掃描工具，它可以檢查Web伺服器中的漏洞，并提供與Nikto一樣的很多功能，但增加了許多有趣的功能部分，如後端miner和緊密的Google內建。它為MS.NET環境編寫，但使用者需要注冊才能下載下傳其二進制檔案和源代碼。Wikto功能包含了Web爬蟲、GoogleHack、Web伺服器漏洞掃描等等。

　　Burpsuite（免費）

　　這是一個可以用于攻擊Web應用程式的內建平台。Burp套件允許一個攻擊者将人工的和自動的技術結合起來，以列舉、分析、攻擊Web應用程式，或利用這些程式的漏洞。各種各樣的burp工具協同工作，共享資訊，并允許将一種工具發現的漏洞形成另外一種工具的基礎。

　　Whisker/libwhisker（免費）

　　Libwhisker是一個Perla子產品，适合于HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP伺服器，特别是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程式。

　　6.IBM Rational AppScan（國外商業級）

　　http://www-01.ibm.com/software/cn/rational/awdtools/appscan/

　　IBM公司推出的Rational AppScan，其前身是享譽業界的Watchfire AppScan（2007年被IBM收購後更名），在應用程式的整個開發周期都提供安全測試，進而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞，如SQL注入（SQL-injection）、跨站點腳本攻擊（cross-site scripting）及緩沖溢出（buffer overflow）、HTTP響應拆分漏洞、參數篡改、隐式字段處理、後門/調試選項等等。

　　7.HP WebInspect（國外商業級）

　　這是一款強大的Web應用程式掃描程式。SPI Dynamics的這款應用程式安全評估工具有助于确認Web應用中已知的和未知的漏洞。它還可以檢查一個Web伺服器是否正确配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄周遊攻擊（directory traversal）等等。

　　8.Acunetix Web Vulnerability Scanner（國外商業級）

　　http://www.acunetix.com/

　　簡稱WVS，這是一款商業級的Web漏洞掃描程式，它可以檢查Web應用程式中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱密碼長度等。它擁有一個操作友善的圖形使用者界面，并且能夠建立專業級的Web站點安全稽核報告。

　　9.N-Stealth（國外商業級）

　　http://www.nstalker.com/

　　N-Stealth是ZMT公司出品的一款商業的WEB站點安全掃描軟體，同時也有可以免費使用的版本。主要為Windows平台提供掃描，它比一些免費的Web掃描程式，如Whisker/libwhisker、 Nikto等的更新頻率更高，它宣稱含有“30000個漏洞和漏洞程式”以及“每天增加大量的漏洞檢查”。

　　10.綠盟極光（國産商業級）

　　http://www.nsfocus.com/

　　綠盟科技研發的遠端安全評估系統，可以進行Web應用、Web 服務及支撐系統等多層次全方位的安全漏洞掃描、審計和輔助邏輯分析，全面發現各類安全隐患，提出針對性的修複建議，以及形成多種符合法規、行業标準的報告。

　　11.安恒 MatriXay WebScan（國産商業級）

　　http://www.dbappsecurity.com.cn/

　　WEB應用弱點掃描器（MatriXay）是杭州安恒資訊技術公司研發的明鑒TM系列産品，被作為公安部等級保護測評中心專用應用安全測評工具。

主要功能包含全局配置、系統管理、項目管理、項目掃描、弱點檢測、滲透測試、配置審計和報表管理。能抗禦注入攻擊、跨站腳本、釣魚攻擊、資訊洩漏、惡意編碼、表單繞過、緩沖區溢出等各類WEB應用攻擊。

　　12.安域領創 WebRavor（國産商業級）

　　http://www.secdomain.com/

　　安域領創公司自主研制開發的新一代應用安全掃描工具，該産品基于滲透性測試的方法，實作對Web 應用的深度漏洞探測，幫助應用開發者和管理者了解應用系統存在的脆弱性。已經在中國移動、中國電信、中國聯通進行了部署。