十个权威web安全扫描工具Word下载.docx
- 文档编号:22449072
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:9
- 大小:89.73KB
十个权威web安全扫描工具Word下载.docx
《十个权威web安全扫描工具Word下载.docx》由会员分享,可在线阅读,更多相关《十个权威web安全扫描工具Word下载.docx(9页珍藏版)》请在冰豆网上搜索。
3.WebScarab
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。
如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。
不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。
4.WebInspect
这是一款强大的Web应用程序扫描程序。
SPIDynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。
它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directorytraversal)等等。
5.Whisker/libwhisker
Libwhisker是一个Perla模块,适合于HTTP测试。
它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。
Whisker是一个使用libwhisker的扫描程序。
6.Burpsuite
这是一个可以用于攻击Web应用程序的集成平台。
Burp套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web应用程序,或利用这些程序的漏洞。
各种各样的burp
简称WVS,还是不错的扫描工具,不知道检查的太细致还是因为慢,总之经常评估一个网站的时候一晚上不关电脑都扫描不万……但是报表做的不错。
一般用这个扫描的话,不用等那么久,像区县政府的,扫20分钟就差不多了。
·
IBMRationalAppScan:
这个是IBM旗下的产品,扫描速度中规中矩,报表功能相当强大,可以按照法规遵从生成不同的报表,如:
ISO27001、OWASP等,界面也很商业化。
HPWebInspect:
没错,的确就是卖PC的HP公司旗下的产品,扫描速度比上面的2个都快得多,东西还算不错。
不过这几天在和NOSEC(下面说的“诺赛科技”)掐架,愣是说NOSEC的iiScan免费扫描平台侵犯隐私,说NOSEC有国家背景……这市场了解的!
N-Stealth:
没装成功,不过很多地方在推荐这个。
·
BurpSuite:
貌似是《黑客攻防技术宝典·
WEB实战篇》作者公司搞的,安全界牛人。
虽然工具没用过,但是这本书的确是不错……如果您做WEB安全,游侠强烈建议您读一下。
-----------------------------------------------------------------
商业产品*国内
智恒联盟WebPecker网站啄木鸟:
程序做的不错,扫描速度很快。
诺赛科技Pangolin、Jsky:
Pangolin做SQL注入扫描,Jsky全面评估,就是上文说的NOSEC,网上扫描平台是iiScan,后台的牛人是zwell。
安域领创WebRavor:
记得流光(FluXay)否?
是的,WebRavor就是小榕所写!
小榕是谁?
搜下……不用我介绍了吧?
安恒MatriXay明鉴WEB应用弱点扫描器:
还没用过,和NOSEC一样,也有网上扫描平台。
绿盟NSFOCUSRSAS极光远程安全评估系统:
极光扫描系统新增的WEB安全评估插件,在某客户处见到过扫描报告,不过没用过产品。
依照绿盟的一贯风格和绿盟的实力,应该不错。
免费产品
Nikto:
很多地方都在推荐,但游侠本人实在不喜欢命令行产品……各位喜欢的Google或Baidu下吧
ParosProxy:
基于Java搞的扫描工具,速度也挺快,在淘宝QA团队博客也看到在介绍这个软件。
WebScarab:
传说中很NB的OWASP出的产品,不过我看下载地址的时候貌似更新挺慢
Sandcat:
扫描速度很快,检查的项目也挺多。
机子现在就装了这个。
NBSI:
应该说是黑客工具更靠谱,国内最早的,可能也是地球上最早的一批SQL注入及后续工作利用工具,当年是黑站挂马必备……
HDSI:
教主所写,支持ASP和PHP注入,功能就不多说了,也是杀人越货必备!
Domain:
批量扫描的必备产品,通过whois扫描服务器上的服务器,在很长一段时间内风靡黑客圈。
Nessus:
当然它有商业版,不过我们常用的是免费版。
脆弱性评估工具,更擅长于主机、服务器、网络设备扫描。
NMAP:
主要倾向于端口等的评估。
X-Scan:
安全焦点出品,多少年过去了,依然是很强悍的产品。
大成天下曾经做过商业版的“游刃”,但最近已经不更新了,很可惜。
其实能做评估的工具还有很多,如:
RetinaNetworkSecurityScanner
LANguardNetworkSecurityScanner
榕基RJ-iTop网络隐患扫描系统
不过和Nessus和NMAP一样,主要倾向于主机安全评估,而不是WEB应用安全评估。
但我们在WEB安全评估的时候,不可避免的要对服务器做安全扫描,因此也是必然要用的工具。
好了,大体的也说了下,各位感兴趣的可以在网上找下相关资料或下载。
看完感觉有点收获的,就转发给您的朋友吧。
现在都凌晨了,刚敲完……游侠(www.youxia.org)在此谢过了!
风险评估工具
根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成以下三类。
风险评估与管理工具:
集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;
或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析。
系统基础平台风险评估工具:
主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。
风险评估辅助工具:
实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。
1.风险评估与管理工具
基于信息安全标准的风险评估与管理工具:
依据标准或指南的内容为基础,开发相应的评估工具,完成遵循标准或指南的风险评估过程。
如ASSET、CCToolbox等。
基于知识的风险评估与管理工具:
并不仅仅遵循某个单一的标准或指南,而是将各种风险分析方法进行综合,并结合实践经验,形成风险评估知识库,以此为基础完成综合评估。
如COBRA、MSAT、@RISK等。
基于模型的风险评估与管理工具:
对系统各组成部分、安全要素充分研究的基础上,对典型系统的资产、威胁、脆弱性建立量化或半量化的模型,根据采集信息的输入,得到评价的结果。
如RA、CORA等。
2.系统基础平台风险评估工具
脆弱性扫描工具
基于网络的扫描器
基于主机的扫描器
分布式网络扫描器
数据库脆弱性扫描器
渗透性测试工具
根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性。
这类工具通常包括黑客工具、脚本文件等。
一个好的漏洞扫描工具应包括以下几个特性:
最新的漏洞检测库;
扫描工具必须准确并使误报率减少到最小;
扫描器有某种可升级的后端,能够存储多个扫描结果并提供趋势分析的手段;
应包括清晰的且准确地提供弥补发现问题的信息。
3.风险评估辅助工具
检查列表:
基于特定标准或基线建立的,对特定系统进行审查的项目条款。
入侵检测网络或主机造成危害的入侵攻击事件;
帮助检测各种攻击试探和误操作;
同时也可以作为一个警报器,提醒管理员发生的安全状况。
安全审计工具:
用于记录网络行为,分析系统或网络安全现状;
它的审计记录可以作为风险评估中的安全现状数据,并可用于判断被评估对象威胁信息的来源。
拓扑发现工具:
主要是自动完成网络硬件设备的识别、发现功能。
资产信息收集系统:
通过提供调查表形式,完成被评估信息系统数据、管理、人员等资产信息的收集功能。
其他:
评估指标库、知识库、漏洞库、算法库、模型库等。
技术简介
该工具完成对网络信息系统安全风险状况的评估,并提供相应的安全建议,提供评估过程中需要的各种数据报表。
其中,风险评估所需的大量数据由系统的专家库提供,用户通过筛选和增补,可以便捷地获取实际信息系统的数据,大大减少了风险评估的工作量。
同时,系统提供的各功能也规范了风险评估的流程和输出结果。
该系统由基础数据获取模块、风险评估模块、安全建议模块和报告输出模块四个部分组成。
功能指标
(1)
基础数据获取模块的功能
该模块由专家数据库(缺省的资源库表、威胁库表、脆弱性库表等等)和真实数据采集两部分组成。
用户通过专家数据库和特定的一些数据采集工具和渠道(如:
脆弱性扫描、IDS、主机配置检查列表、人工调查),获得风险评估所需的基础数据。
(2)
风险评估模块的功能
该模块利用用户核实和完善的基础数据,按照国家标准制定的算法或用户定制的计算方法,计算风险的大小,得到各风险的等级和信息系统的风险等级。
(3)
安全建议模块的功能
在此基础上,该模块提供针对每个风险的对抗措施建议。
用户可对此进行增补。
在选定安全措施后,该模块将计算出残留风险的大小。
(4)
报告输出模块的功能
该模块输出风险评估过程中产生的信息系统的一些重要数据报表,如,资源表、脆弱性表、风险表、安全措施建议表、残留风险表等等。
适用范围
该工具完成对网络信息系统安全风险的评估,可以用于相关风险评估服务机构和信息系统所在组织对信息系统的风险状况进行全面和深入的了解,并提供相应的安全建议。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 十个 权威 web 安全 扫描 工具