qileilove
          

          blog已經(jīng)轉(zhuǎn)移至github,大家請訪問 http://qaseven.github.io/
          
			
          
				
					
	
          
		
          
			國內(nèi)外有名的安全掃描工具,你知道幾個?
		
          
		
          1. Nikto
            以下是引用片段: 這是一個開源的Web 服務器掃描程序,它可以對Web 服務器的多種項目(包括3500個潛在的危險   文件/CGI,以及超過900 個服務器版本,還有250 多個服務器上的版本特定問題)進行全面的測   試。其掃描項目和插件經(jīng)常更新并且可以自動更新(如果需要的話)。   Nikto 可以在盡可能短的周期內(nèi)測試你的Web 服務器,這在其日志文件中相當明顯。不過,如果   你想試驗一下(或者測試你的IDS系統(tǒng)),它也可以支持LibWhisker 的反IDS方法。   不過,并非每一次檢查都可以找出一個安全問題,雖然多數(shù)情況下是這樣的。有一些項目是僅提   供信息(“info only” )類型的檢查,這種檢查可以查找一些并不存在安全漏洞的項目,不過Web 管理員或安全工程師們并不知道。這些項目通常都可以恰當?shù)貥擞洺鰜?。為我們省去不少麻煩?/div>
            2. Paros proxy
            以下是引用片段: 這是一個對Web 應用程序的漏洞進行評估的代理程序,即一個基于Java 的web 代理程序,可以評估Web 應用程序的漏洞。它支持動態(tài)地編輯/查看HTTP/HTTPS,從而改變cookies和表單字段  等項目。它包括一個Web 通信記錄程序,Web 圈套程序(spider),hash 計算器,還有一個可以測試常見的Web 應用程序攻擊(如SQL 注入式攻擊和跨站腳本攻擊)的掃描器。
            3. WebScarab
            以下是引用片段: 它可以分析使用HTTP 和HTTPS 協(xié)議進行通信的應用程序,WebScarab 可以用最簡單地形式記錄   它觀察的會話,并允許操作人員以各種方式觀查會話。如果你需要觀察一個基于HTTP(S)應用程序的運行狀態(tài),那么WebScarabi 就可以滿足你這種需要。不管是幫助開發(fā)人員調(diào)試其它方面的難題,還是允許安全專業(yè)人員識別漏洞,它都是一款不錯的工具。
            4. WebInspect
            以下是引用片段: 這是一款強大的Web 應用程序掃描程序。SPI Dynamics 的這款應用程序安全評估工具有助于確認Web 應用中已知的和未知的漏洞。它還可以檢查一個Web 服務器是否正確配置,并會嘗試一些常見的Web 攻擊,如參數(shù)注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。
            5. Whisker/libwhisker
            以下是引用片段: Libwhisker 是一個Perla 模塊,適合于HTTP 測試。它可以針對許多已知的安全漏洞,測試HTTP服務器,特別是檢測危險CGI 的存在。Whisker 是一個使用libwhisker的掃描程序。
            6. Burpsuite
            以下是引用片段: 這是一個可以用于攻擊Web 應用程序的集成平臺。Burp 套件允許一個攻擊者將人工的和自動的技術(shù)結(jié)合起來,以列舉、分析、攻擊Web應用程序,或利用這些程序的漏洞。各種各樣的burp工具協(xié)同工作,共享信息,并允許將一種工具發(fā)現(xiàn)的漏洞形成另外一種工具的基礎(chǔ)。
            7. Wikto
            以下是引用片段: 可以說這是一個Web 服務器評估工具,它可以檢查Web 服務器中的漏洞,并提供與Nikto 一樣的很多功能,但增加了許多有趣的功能部分,如后端miner 和緊密的Google 集成。它為MS.NET  環(huán)境編寫,但用戶需要注冊才能 其二進制文件和源代碼。
            8. Acunetix Web Vulnerability Scanner
            以下是引用片段: 這是一款商業(yè)級的Web 漏洞掃描程序,它可以檢查Web 應用程序中的漏洞,如SQL 注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面,并且能夠創(chuàng)建專業(yè)級的Web 站點安全審核報告。
            9. Watchfire AppScan
            以下是引用片段: 這也是一款商業(yè)類的Web 漏洞掃描程序。AppScan 在應用程序的整個開發(fā)周期都提供安全測試,從而測試簡化了部件測試和開發(fā)早期的安全保證。它可以掃描許多常見的漏洞,如跨站腳本攻擊、HTTP 響應拆分漏洞、參數(shù)篡改、隱式字段處理、后門/調(diào)試選項、緩沖區(qū)溢出等等。
            10. N-Stealth
            以下是引用片段: N-Stealth 是一款商業(yè)級的Web 服務器安全掃描程序。它比一些免費的Web 掃描程序,如   Whisker/libwhisker、Nikto 等的升級頻率更高,它宣稱含有“30000個漏洞和漏洞程序”以及 “每天增加大量的漏洞檢查”,不過這種說法令人質(zhì)疑。還要注意,實際上所有通用的VA 工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些   工具并非總能保持軟件更新,也不一定很靈活。)N-Stealth 主要為Windows 平臺提供掃描,但并不提供源代碼。
          商業(yè)產(chǎn)品*國外
            ·Acunetix Web Vulnerability Scanner 6
            簡稱WVS,還是不錯的掃描工具,不知道檢查  的太細致還是因為慢,總之經(jīng)常評估一個網(wǎng)站的時候一晚上不關(guān)電腦都掃描不萬……但是報  表做的不錯。一般用這個掃描的話,不用等那么久,像區(qū)縣政府的,掃20 分鐘就差不多了。
            ·IBM   Rational  AppScan
            這個是IBM 旗下的產(chǎn)品,掃描速度中規(guī)中矩,報表功能相當  強大,可以按照法規(guī)遵從生成不同的報表,如:ISO27001、OWASP 等,界面也很商業(yè)化。
            ·HP  WebInspect
            沒錯,的確就是賣PC 的HP 公司旗下的產(chǎn)品,掃描速度比上面的2  個都快得多,東西還算不錯。不過這幾天在和NOSEC(下面說的“諾賽科技”)掐架,愣是說NOSEC 的iiScan 免費掃描平臺侵犯隱私,說NOSEC 有國家背景……這市場了解的!
            ·N-Stealth
            沒裝成功,不過很多地方在推薦這個
            ·Burp Suite
            貌似是《黑客攻防技術(shù)寶典·WEB 實戰(zhàn)篇》作者公司搞的,安全界牛人。
            商業(yè)產(chǎn)品*國內(nèi)
            ·智恒聯(lián)盟WebPecker: 網(wǎng)站啄木鳥:程序做的不錯,掃描速度很快。
            ·諾賽科技Pangolin、Jsky :Pangolin 做SQL 注入掃描,Jsky  全面評估,就是上文說的  NOSEC,網(wǎng)上掃描平臺是iiScan,后臺的牛人是zwell。
            ·安域領(lǐng)創(chuàng)WebRavor:記得流光(FluXay)否?是的,WebRavor 就是小榕所寫!小榕  是誰?搜下……不用我介紹了吧?
            ·安恒MatriXay   明鑒WEB 應用弱點掃描器:還沒用過,和NOSEC 一樣,也有網(wǎng)上掃  描平臺。
            綠盟NSFOCUS RSAS  極光遠程安全評估系統(tǒng):極光掃描系統(tǒng)新增的WEB 安全評估插  件,在某客戶處見到過掃描報告,不過沒用過產(chǎn)品。依照綠盟的一貫風格和綠盟的實力,應  該不錯。
            免費產(chǎn)品
            ·Nikto:很多地方都在推薦,但游俠本人實在不喜歡命令行產(chǎn)品……各位喜歡的Google 或Baidu 下吧
            ·Paros Proxy:基于Java 搞的掃描工具,速度也挺快,在淘寶QA 團隊博客也看到在介 紹這個軟件。
            ·WebScarab:傳說中很NB 的OWASP 出的產(chǎn)品,不過我看 地址的時候貌似更新挺  慢
            ·Sandcat:掃描速度很快,檢查的項目也挺多。機子現(xiàn)在就裝了這個。      ————
            ·NBSI:應該說是黑客工具更靠譜,國內(nèi)最早的,可能也是地球上最早的一批SQL 注入  及后續(xù)工作利用工具,當年是黑站掛馬必備……
            ·HDSI:教主所寫,支持ASP 和PHP 注入,功能就不多說了,也是殺人越貨必備!
            ·Domain:批量掃描的必備產(chǎn)品,通過whois              掃描服務器上的服務器,在很長一段時  間內(nèi)風靡黑客圈。      ————
            ·Nessus:當然它有商業(yè)版,不過我們常用的是免費版。脆弱性評估工具,更擅長于主  機、服務器、網(wǎng)絡設備掃描。
            ·NMAP:主要傾向于端口等的評估。
            ·X-Scan:安全焦點出品,多少年過去了,依然是很強悍的產(chǎn)品。大成天下曾經(jīng)做過商  業(yè)版的“游刃”,但最近已經(jīng)不更新了,很可惜。
            其實能做評估的工具還有很多,如:
            ·Retina Network Security Scanner
            ·LANguard Network Security Scanner
            榕基RJ-iTop 網(wǎng)絡隱患掃描系統(tǒng)
            不過和Nessus 和NMAP一樣,主要傾向于主機安全評估,而不是WEB 應用安全評估。  但我們在WEB安全評估的時候,不可避免的要對服務器做安全掃描,因此也是必然要用的工具。
          
		
          
			posted on 2014-10-15 09:13 順其自然EVO 閱讀(371) 評論(0)  編輯  收藏  所屬分類: 測試學習專欄 
		
          
	
          
	
	


	


          
	    
    




          








          

				
			
          
			
          
				
					
          
	
          
		
          <2014年10月>
          
	
          2829301234
          567891011
          12131415161718
          19202122232425
          2627282930311
          2345678
          

          

					

          導航
          

					

          統(tǒng)計
          
	
            
		
          • 隨筆 - 3936
		
          • 文章 - 404
		
          • 評論 - 179
		
          • 引用 - 0
	
            • 

          
					
					

          常用鏈接
          


          留言簿(55)
          


		
          隨筆分類
          
		
				
			
	
		
          隨筆檔案
          
		
				
			
	
		
          文章分類
          
		
				
			
	
		
          文章檔案
          
		
				
			
	



          搜索
          

            
	
          • 
		
          •  
	
            • 

          


          最新評論
	
          



          閱讀排行榜
          



          評論排行榜
          


				
			
          			
			

	

    







        
	




主站蜘蛛池模板:
湘西|
曲阳县|
西城区|
个旧市|
修武县|
疏勒县|
沂源县|
谢通门县|
巴林左旗|
乌苏市|
丘北县|
涞水县|
高邮市|
三门县|
美姑县|
阿克陶县|
民乐县|
温宿县|
连平县|
什邡市|
武夷山市|
临海市|
阳西县|
灵石县|
丁青县|
高安市|
榆社县|
新乡县|
天镇县|
孟州市|
苗栗市|
泗水县|
财经|
海口市|
定兴县|
德清县|
察雅县|
广平县|
临沭县|
宣汉县|
河曲县|