現(xiàn)在有許多消息令我們感到Web的危險性�。掃描程序可以在幫助造我們造就安全的Web站點上助一臂之力,也就是說在黑客“黑”你之前���,先測試一下自己系統(tǒng)中的漏洞����。我們在此推薦10大Web漏洞掃描程序����,供您參考。
1. Nikto
這是一個開源的Web服務器掃描程序��,它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI����,以及超過900個服務器版本,還有250多個服務器上的版本特定問題)執(zhí)行徹底的測試����。其掃描項目和插件經(jīng)常更新并且可以自動更新(如果須要的話)。
Nikto可以在盡可能短的周期內(nèi)測試你的Web服務器��,這在其日志文件中相當明顯��。不過���,如果你想試驗一下(或者測試你的IDS系統(tǒng))�����,它也可以支持LibWhisker的反IDS要領�。
不過�����,并非每一次檢查都可以找出一個安全問題,雖然多數(shù)情況下是這樣的����。有一些項目是僅提供信息(“info only” )類型的檢查,這種檢查可以查找一些并不存在安全漏洞的項目����,不過Web管理員或安全工程師們并不知道。這些項目通常都可以恰當?shù)貥擞洺鰜?��。為我們省去不少麻煩?/span>
2. Paros proxy
這是一個對Web應用程序的漏洞執(zhí)行評估的代理程序��,即一個基于Java的web代理程序�,可以評估Web應用程序的漏洞�。它支持動態(tài)地編輯/查看HTTP/HTTPS,從而改動 cookies和表單字段等項目。它包括一個Web通信記錄程序�,Web圈套程序(spider),hash 計算器����,還有一個可以測試常見的Web應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。
3. WebScarab
它可以分析運用 HTTP 和HTTPS協(xié)議執(zhí)行通信的應用程序���,WebScarab可以用最基本地形式記錄它觀察的會話��,并允許操作人員以各種方式觀查會話���。如果你須要觀察一個基于HTTP(S)應用程序的運行狀態(tài),那么WebScarabi就可以滿足你這種須要���。不管是幫助開發(fā)人員調(diào)試其它方面的難題����,還是允許安全專業(yè)人員識別漏洞���,它都是一款不錯的工具����。
4. WebInspect
這是一款強大的Web應用程序掃描程序��。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞�����。它還可以檢查一個Web服務器能不能正確配置���,并會嘗試一些常見的Web攻擊�����,如參數(shù)注入��、跨站腳本��、目錄遍歷攻擊(directory traversal)等等��。
5. Whisker/libwhisker
Libwhisker是一個Perla模塊����,適合于HTTP測試。它可以針對許多已知的安全漏洞�,測試HTTP服務器,特別是檢測危險CGI的存在���。Whisker是一個運用 libwhisker的掃描程序�����。
6. Burpsuite
這是一個可以用于攻擊Web應用程序的集成平臺�。Burp套件允許一個攻擊者將人工的和自動的技能結(jié)合起來�����,以列舉、分析�����、攻擊Web應用程序�����,或運用這些程序的漏洞��。各種各樣的burp工具協(xié)同工作�����,共享信息�,并允許將一種工具發(fā)覺的漏洞形成另外一種工具的基礎�。
7. Wikto
可以說這是一個Web服務器評估工具,它可以檢查Web服務器中的漏洞�����,并提供與Nikto一樣的很多功能���,但增加了許多有趣的功能部分���,如后端miner和緊密的Google集成��。它為MS.NET環(huán)境編寫��,但用戶須要注冊才能下載其二進制文件和源代碼��。
8. Acunetix Web Vulnerability Scanner
這是一款商業(yè)級的Web漏洞掃描程序�,它可以檢查Web應用程序中的漏洞��,如SQL注入����、跨站腳本攻擊、身份驗證頁上的弱口令長度等����。它擁有一個操作方便的圖形用戶界面,并且能夠建立專業(yè)級的Web站點安全審核報告��。
9. Watchfire AppScan
這也是一款商業(yè)類的Web漏洞掃描程序�。AppScan在應用程序的整個開發(fā)周期都提供安全測試,從而測試簡化了部件測試和開發(fā)早期的安全保證��。它可以掃描許多常見的漏洞,如跨站腳本攻擊�、HTTP響應拆分漏洞、參數(shù)篡改���、隱式字段處理���、后門/調(diào)試選項、緩沖區(qū)溢出等等����。
10. N-Stealth
N-Stealth是一款商業(yè)級的Web服務器安全掃描程序���。它比一些不花錢的Web掃描程序��,如Whisker/libwhisker����、 Nikto等的升級頻率更高����,它宣稱含有“30000個漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”,不過這種說法令人質(zhì)疑�����。還要留心,實際上所有通用的VA工具��,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件���。(雖然這些工具并非總能保持軟件更新�,也不一定很靈活����。)N-Stealth主要為Windows平臺提供掃描,但并不提供源代碼��。
