|
1. Nikto
這是一個開源的Webserver掃描程序���,它能夠?qū)ebserver的多種項目(包含3500個潛在的危急文件/CGI��,以及超過900個server版本號��,還有250多個server上的版本號特定問題)進(jìn)行全面的測試�。其掃描項目和插件常常更新而且能夠自己主動更新(假設(shè)須要的話)。
Nikto能夠在盡可能短的周期內(nèi)測試你的Webserver��,這在其日志文件里相當(dāng)明顯����。只是,假設(shè)你想試驗一下(或者測試你的IDS系統(tǒng))����,它也能夠支持LibWhisker的反IDS方法。
只是��,并不是每一次檢查都能夠找出一個安全問題��,盡管多數(shù)情況下是這種���。有一些項目是僅提供信息(“info only” )類型的檢查,這種檢查能夠查找一些并不存在安全漏洞的項目���,只是Web管理員或安全project師們并不知道�����。這些項目通常都能夠恰當(dāng)?shù)貥?biāo)記出來����。為我們省去不少麻煩。
2. Paros proxy
這是一個對Web應(yīng)用程序的漏洞進(jìn)行評估的代理程序��,即一個基于Java的web代理程序�����,能夠評估Web應(yīng)用程序的漏洞���。它支持動態(tài)地編輯/查看HTTP/HTTPS���,從而改變cookies和表單字段等項目。它包含一個Web通信記錄程序�,Web圈套程序(spider),hash 計算器���,另一個能夠測試常見的Web應(yīng)用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器���。
3. WebScarab
它能夠分析使用HTTP 和HTTPS協(xié)議進(jìn)行通信的應(yīng)用程序,WebScarab能夠用最簡單地形式記錄它觀察的會話�����,并同意操作人員以各種方式觀查會話。假設(shè)你須要觀察一個基于HTTP(S)應(yīng)用程序的執(zhí)行狀態(tài)����,那么WebScarabi就能夠滿足你這樣的須要。無論是幫助開發(fā)者調(diào)試其他方面的難題���,還是同意安全專業(yè)人員識別漏洞����,它都是一款不錯的工具����。
4. WebInspect
這是一款強(qiáng)大的Web應(yīng)用程序掃描程序。SPI Dynamics的這款應(yīng)用程序安全評估工具有助于確認(rèn)Web應(yīng)用中已知的和未知的漏洞�。它還能夠檢查一個Webserver是否正確配置���,并會嘗試一些常見的Web攻擊����,如參數(shù)注入���、跨站腳本��、文件夾遍歷攻擊(directory traversal)等等��。
5. Whisker/libwhisker
Libwhisker是一個Perla模塊��,適合于HTTP測試��。它能夠針對很多已知的安全漏洞�����,測試HTTPserver����,特別是檢測危急CGI的存在。Whisker是一個使用libwhisker的掃描程序����。
6. Burpsuite
這是一個能夠用于攻擊Web應(yīng)用程序的集成平臺。Burp套件同意一個攻擊者將人工的和自己主動的技術(shù)結(jié)合起來�����,以列舉�、分析、攻擊Web應(yīng)用程序��,或利用這些程序的漏洞。各種各樣的burp工具協(xié)同工作���,共享信息�����,并同意將一種工具發(fā)現(xiàn)的漏洞形成第二種工具的基礎(chǔ)���。
7. Wikto
能夠說這是一個Webserver評估工具,它能夠檢查Webserver中的漏洞��,并提供與Nikto一樣的非常多功能��,但添加了很多有趣的功能部分�,如后端miner和緊密的Google集成。它為MS.NET環(huán)境編寫����,但用戶須要注冊才干下載其二進(jìn)制文件和源碼���。
8. Acunetix Web Vulnerability Scanner
這是一款商業(yè)級的Web漏洞掃描程序���,它可以檢查Web應(yīng)用程序中的漏洞��,如SQL注入�����、跨站腳本攻擊����、身份驗證頁上的弱口令長度等�。它擁有一個操作方便的圖形用戶界面,而且可以創(chuàng)建專業(yè)級的Web網(wǎng)站安全審核報告��。
9. Watchfire AppScan
這也是一款商業(yè)類的Web漏洞掃描程序�。AppScan在應(yīng)用程序的整個開發(fā)周期都提供安全測試,從而測試簡化了部件測試和開發(fā)早期的安全保證�。它能夠掃描很多常見的漏洞,如跨站腳本攻擊�、HTTP響應(yīng)拆分漏洞、參數(shù)篡改����、隱式字段處理、后門/調(diào)試選項��、緩沖區(qū)溢出等等���。
10. N-Stealth
N-Stealth是一款商業(yè)級的Webserver安全掃描程序�����。它比一些免費(fèi)的Web掃描程序�����,如Whisker/libwhisker���、 Nikto等的升級頻率更高����,它宣稱含有“30000個漏洞和漏洞程序”以及“每天添加大量的漏洞檢查”�����,只是這樣的說法令人質(zhì)疑�。還要注意,實際上全部通用的VA工具����,如Nessus����, ISS Internet Scanner���, Retina, SAINT�, Sara等都包括Web 掃描部件。(盡管這些工具并不是總能保持軟件更新�����,也不一定非常靈活����。)N-Stealth主要為Windows平臺提供掃描,但并不提供源碼��。
|
