國內網站每天被被黑被掛馬以5000萬個網頁增加，網站安全問題越來越重要，但是如何判斷一個網站是否安全呢，這就需要三方工具來掃描了。

下面就介紹列舉一下國內外比較著名的安全滲透掃描的產品。

國外網站安全滲透測試、漏洞掃描產品：

Nessus：Nessus 是目前全世界最多人使用的系統漏洞掃描與分析軟件。總共有超過75,000個機構使用Nessus 作為掃描該機構電腦系統的軟件。

nmap：nmap 也是不少黑客愛用的工具 ，黑客會利用nmap來搜集目標電腦的網絡設定，從而計劃攻擊的方法。

Veracode: Veracode提供一個基于云的應用程序安全測試平臺。無需購買硬件，無需安裝軟件，使用客戶馬上就可以開始測試和補救應用程序，另外Veracode提供自動化的靜態和動態應用程序安全測試軟件和補救服務。

CAIN：在口令破解上很有一套技術；

appscan：appscan是IBM公司開發的用于掃描web應用的基礎架構，也是安全滲透行業扛把子的產品；

Nikto：Nikto是一款開源的（GPL）網頁服務器掃描器，它可以對網頁服務器進行全面的多種掃描；

parosproxy：parosproxy，這是一個對Web應用程序的漏洞進行評估的代理程序；

WebScarab：WebScarab記錄它檢測到的會話內容，使用者可以通過多種形式來查看記錄；

Webinspect：惠普公司的安全滲透產品，運行起來占用大量內存，小家碧玉的就慎用了；

Whisker：Whisker是一款基于libwhisker的掃描器，但是現在大家都趨向于使用Nikto，它也是基于libwhisker的。

BurpSuite：是一款信息安全從業人員必備的集成型的滲透測試工具，它采用自動測試和半自動測試的方式;

Wikto:Wikto是一款基于C#編寫的Web漏洞掃描工具;

Acunetix Web Vulnerability Scanner：（簡稱AWVS）是一款知名的網絡漏洞掃描工具，它通過網絡爬蟲測試你的網站安全，檢測流行安全漏洞；

N-Stealth：N-Stealth 是一款商業級的Web服務器安全掃描程序。

Nessus

Nessus：Nessus 是目前全世界最多人使用的系統漏洞掃描與分析軟件。總共有超過75,000個機構使用Nessus 作為掃描該機構電腦系統的軟件。

可同時在本機或遠端上搖控, 進行系統的漏洞分析掃描。其運作效能能隨著系統的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加內存大小),其效率表現可因為豐富資源而提高；可自行定義插件(Plug-in)；完整支持SSL (Secure Socket Layer)。

nmap

可以快速地掃描大型網絡、以新穎的方式使用原始IP報文來發現網絡上有哪些主機，那些主機提供什么服務(應用程序名和版本)，那些服務運行在什么操作系統(包括版本信息)， 它們使用什么類型的報文過濾器/防火墻，以及一堆其它功能。雖然Nmap通常用于安全審核， 許多系統管理員和網絡管理員也用它來做一些日常的工作，比如查看整個網絡的信息， 管理服務升級計劃，以及監視主機和服務的運行。

除了端口表，Nmap還能提供關于目標機的進一步信息，包括反向域名，操作系統猜測，設備類型，和MAC地址。

Veracode

Veracode為開發人員、進程和技術提供一個可擴展性和符合成本效益的軟件安全規劃。Veracode提供一個基于云的應用程序安全測試平臺。無需購買硬件，無需安裝軟件，使用客戶馬上就可以開始測試和補救應用程序，另外Veracode提供自動化的靜態和動態應用程序安全測試軟件和補救服務。主要有：Veracode Static靜態分析、Veracode Dynamic動態分析、Veracode DynamicMP動態多處理器、Veracode Analytics應用程序智能分析 、Veracode Policy網絡安全策略管理器、Veracode APIs應用程序接口測試工具等。

CAIN

破解屏保、PWL密碼、共享密碼、緩存口令、遠程共享口令、SMB口令、支持VNC口令解碼、Cisco Type-7口令解碼、Base64口令解碼、SQL Server 7.0/2000口令解碼、Remote Desktop口令解碼、Access Database口令解碼、Cisco PIX Firewall口令解碼、Cisco MD5解碼、NTLM Session Security口令解碼、IKE Aggressive Mode Pre-Shared Keys口令解碼、Dialup口令解碼、遠程桌面口令解碼等綜合工具，還可以遠程破解，可以掛字典以及暴力破解。

其sniffer功能極其強大，可以明文捕獲一切帳號口令，包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5- PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等

appscan

appscan是IBM公司開發的用于掃描web應用的基礎架構，進行安全漏洞測試并提供可行的報告和建議。AppScan的掃描能力，零時差補丁升級，配置向導和詳細的報表系統都進行了整合，簡化使用，增強用戶效率，有利于安全防范和保護web應用基礎架構。

Nikto:

這是一個開源的Web 服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900 個服務器版本，還有250 多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新并且可以自動更新(如果需要的話)。 Nikto 可以在盡可能短的周期內測試你的Web 服務器，這在其日志文件中相當明顯。不過，如果 你想試驗一下(或者測試你的IDS系統)，它也可以支持LibWhisker 的反IDS方法。

不過，并非每一次檢查都可以找出一個安全問題，雖然多數情況下是這樣的。有一些項目是僅提 供信息(“info only” )類型的檢查，這種檢查可以查找一些并不存在安全漏洞的項目，不過 Web 管理員或安全工程師們并不知道。這些項目通常都可以恰當地標記出來。為我們省去不少麻煩。

parosproxy

parosproxy這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。它支持動態地編輯/查看HTTP/HTTPS,從而改變cookies和表單字段等項目。它包括一個Web通信記錄程序，Web圈套程序(spider)，hash計算器，還有一個可以測試常見的Web應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL注入、跨站點腳本攻擊、目錄遍歷、CRLF -- Carriage-Return Line-Feed回車換行等。

WebScarab

它可以分析使用HTTP 和HTTPS 協議進行通信的應用程序，WebScarab 可以用最簡單地形式記錄它觀察的會話，并允許操作人員以各種方式觀查會話。如果你需要觀察一個基于HTTP(S)應用程序的運行狀態，那么WebScarabi 就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題，還是允許安全專業人員識別漏洞，它都是一款不錯的工具。

Webinspect

大惠普公司的安全掃描產品，這是一款強大的Web 應用程序掃描程序。SPI Dynamics 的這款應用程序安全評估工具有助于確 認Web 應用中已知的和未知的漏洞。它還可以檢查一個Web 服務器是否正確配置，并會嘗試一些 常見的Web 攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

Burpsuite

Burp Suite 是用于攻擊web 應用程序的集成平臺。它包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP 消息，持久性，認證，代理，日志，警報的一個強大的可擴展的框架。

Wikto

可以說這是一個Web 服務器評估工具，它可以檢查Web 服務器中的漏洞，并提供與Nikto 一樣的很多功能，增加了許多有趣的功能部分，如后端miner 和緊密的Google 集成。它為MS.NET環境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。

Acunetix Web Vulnerability Scanner

簡稱WVS,這是一款商業級的Web漏洞掃描程序，它可以檢查Web 應用程序中的漏洞，如SQL 注入、跨站腳 本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，并且能夠創建專 業級的Web 站點安全審核報告。

N-Stealth

N-Stealth 是一款商業級的Web服務器安全掃描程序。它比一些免費的Web 掃描程序，如Whisker/libwhisker、Nikto 等的升級頻率更高，它宣稱含有“30000個漏洞和漏洞程序”以及 “每天增加大量的漏洞檢查”，不過這種說法令人質疑。還要注意，實際上所有通用的VA 工具， 如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth 主要為Windows 平臺提供掃描，但并不提供源代碼。

如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。(雖然這些

工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth 主要為Windows 平臺提供掃描，但

并不提供源代碼。

國內網站安全滲透測試、漏洞掃描產品：

華為：主要業務領域防火墻、入侵檢測/入侵防御、統一威脅管理、抗DDoS、VPN、云WAF。

啟明星辰：主要業務領域防火墻、網絡隔離、入侵檢測/入侵防御、統一威脅管理、抗DDoS、數據庫安全、數據防泄漏、漏洞掃描、SOC&NGSOC以及評估加固和安全運維服務。

深信服：主要業務領域，防火墻、統一威脅管理、上網行為管理、VPN、移動終端安全等。

綠盟科技：主要業務領域，防火墻、入侵檢測/入侵防御、統一威脅管理、主機安全(配置核查、主機防護)、抗DDoS、數據庫安全、漏洞掃描、Web應用掃描與監控、Web應用防火墻以及安全咨詢、評估加固和安全運維等服務。

360企業安全：主要業務領域防火墻、網絡隔離、終端檢測響應EDR、Web應用掃描與監控、云WAF、移動APP安全、威脅情報、安全大數據分析(APT)、SOC&NGSOC，并提供滲透測試等服務。

亞信安全：主要業務領域，統一威脅管理、主機安全(配置核查、主機防護)、終端防護&防病毒、數據防泄露、堡壘機/運維安全、移動終端安全、反釣魚、SOC&NGSOC。

衛士通：主要業務領域：防火墻、入侵檢測/入侵防御、VPN、數據加密、文檔安全、加密機。

天融信：主要業務領域，防火墻、網絡隔離、入侵檢測/入侵防御、上網行為管理、VPN以及評估加固和安全運維等服務。

華三通信：主要業務領域防火墻、入侵檢測/入侵防御、統一威脅管理和VPN。

安恒：主要業務領域數據庫安全、Web應用掃描與監控、Web應用防火墻、大數據分析(態勢感知)、等級保護工具等。

本文鏈接：http://www.sztqnet.com/article/294.html