十个权威web安全扫描工具.docx
《十个权威web安全扫描工具.docx》由会员分享,可在线阅读,更多相关《十个权威web安全扫描工具.docx(8页珍藏版)》请在冰豆网上搜索。
十个权威web安全扫描工具
十个权威web安全扫描工具
十大web安全扫描工具
扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。
我们在此推荐10大Web漏洞扫描程序,供您参考。
1.Nikto
这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。
其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。
Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。
不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。
不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。
有一些项目是仅提供信息(“infoonly”)类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。
这些项目通常都可以恰当地标记出来。
为我们省去不少麻烦。
2.Parosproxy
这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。
它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。
它包括一个Web通信记录程序,Web圈套程序(spider),hash计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。
3.WebScarab
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。
如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。
不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。
4.WebInspect
这是一款强大的Web应用程序扫描程序。
SPIDynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。
它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directorytraversal)等等。
5.Whisker/libwhisker
Libwhisker是一个Perla模块,适合于HTTP测试。
它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。
Whisker是一个使用libwhisker的扫描程序。
6.Burpsuite
这是一个可以用于攻击Web应用程序的集成平台。
Burp套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web应用程序,或利用这些程序的漏洞。
各种各样的burp工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。
7.Wikto
可以说这是一个Web服务器评估工具,它可以检查Web服务器中的漏洞,并提供与Nikto一样的很多功能,但增加了许多有趣的功能部分,如后端miner和紧密的Google集成。
它为MS.NET环境编写,但用户需要注册才能下载其二进制文件和源代码。
7.AcunetixWebVulnerabilityScanner
这是一款商业级的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。
它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。
8.WatchfireAppScan
这也是一款商业类的Web漏洞扫描程序。
AppScan在应用程序的整个开发周期都提供安全测试,从而测试简化了部件测试和开发早期的安全保证。
它可以扫描许多常见的漏洞,如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。
10.N-Stealth
N-Stealth是一款商业级的Web服务器安全扫描程序。
它比一些免费的Web扫描程序,如Whisker/libwhisker、Nikto等的升级频率更高,它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”,不过这种说法令人质疑。
还要注意,实际上所有通用的VA工具,如Nessus,ISSInternetScanner,Retina,SAINT,Sara等都包含Web扫描部件。
(虽然这些工具并非总能保持软件更新,也不一定很灵活。
N-Stealth主要为Windows平台提供扫描,但并不提供源代码。
-----------------------------------------------------------------
商业产品*国外
·AcunetixWebVulnerabilityScanner6:
简称WVS,还是不错的扫描工具,不知道检查的太细致还是因为慢,总之经常评估一个网站的时候一晚上不关电脑都扫描不万……但是报表做的不错。
一般用这个扫描的话,不用等那么久,像区县政府的,扫20分钟就差不多了。
·IBMRationalAppScan:
这个是IBM旗下的产品,扫描速度中规中矩,报表功能相当强大,可以按照法规遵从生成不同的报表,如:
ISO27001、OWASP等,界面也很商业化。
·HPWebInspect:
没错,的确就是卖PC的HP公司旗下的产品,扫描速度比上面的2个都快得多,东西还算不错。
不过这几天在和NOSEC(下面说的“诺赛科技”)掐架,愣是说NOSEC的iiScan免费扫描平台侵犯隐私,说NOSEC有国家背景……这市场了解的!
·N-Stealth:
没装成功,不过很多地方在推荐这个。
·BurpSuite:
貌似是《黑客攻防技术宝典·WEB实战篇》作者公司搞的,安全界牛人。
虽然工具没用过,但是这本书的确是不错……如果您做WEB安全,游侠强烈建议您读一下。
-----------------------------------------------------------------
商业产品*国内
·智恒联盟WebPecker网站啄木鸟:
程序做的不错,扫描速度很快。
·诺赛科技Pangolin、Jsky:
Pangolin做SQL注入扫描,Jsky全面评估,就是上文说的NOSEC,网上扫描平台是iiScan,后台的牛人是zwell。
·安域领创WebRavor:
记得流光(FluXay)否?
是的,WebRavor就是小榕所写!
小榕是谁?
搜下……不用我介绍了吧?
·安恒MatriXay明鉴WEB应用弱点扫描器:
还没用过,和NOSEC一样,也有网上扫描平台。
·绿盟NSFOCUSRSAS极光远程安全评估系统:
极光扫描系统新增的WEB安全评估插件,在某客户处见到过扫描报告,不过没用过产品。
依照绿盟的一贯风格和绿盟的实力,应该不错。
-----------------------------------------------------------------
免费产品
·Nikto:
很多地方都在推荐,但游侠本人实在不喜欢命令行产品……各位喜欢的Google或Baidu下吧
·ParosProxy:
基于Java搞的扫描工具,速度也挺快,在淘宝QA团队博客也看到在介绍这个软件。
·WebScarab:
传说中很NB的OWASP出的产品,不过我看下载地址的时候貌似更新挺慢
·Sandcat:
扫描速度很快,检查的项目也挺多。
机子现在就装了这个。
·NBSI:
应该说是黑客工具更靠谱,国内最早的,可能也是地球上最早的一批SQL注入及后续工作利用工具,当年是黑站挂马必备……
·HDSI:
教主所写,支持ASP和PHP注入,功能就不多说了,也是杀人越货必备!
·Domain:
批量扫描的必备产品,通过whois扫描服务器上的服务器,在很长一段时间内风靡黑客圈。
·Nessus:
当然它有商业版,不过我们常用的是免费版。
脆弱性评估工具,更擅长于主机、服务器、网络设备扫描。
·NMAP:
主要倾向于端口等的评估。
·X-Scan:
安全焦点出品,多少年过去了,依然是很强悍的产品。
大成天下曾经做过商业版的“游刃”,但最近已经不更新了,很可惜。
其实能做评估的工具还有很多,如:
·RetinaNetworkSecurityScanner
·LANguardNetworkSecurityScanner
·榕基RJ-iTop网络隐患扫描系统
不过和Nessus和NMAP一样,主要倾向于主机安全评估,而不是WEB应用安全评估。
但我们在WEB安全评估的时候,不可避免的要对服务器做安全扫描,因此也是必然要用的工具。
好了,大体的也说了下,各位感兴趣的可以在网上找下相关资料或下载。
看完感觉有点收获的,就转发给您的朋友吧。
现在都凌晨了,刚敲完……游侠(www.youxia.org)在此谢过了!
风险评估工具
根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成以下三类。
风险评估与管理工具:
集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析。
系统基础平台风险评估工具:
主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。
风险评估辅助工具:
实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。
1.风险评估与管理工具
基于信息安全标准的风险评估与管理工具:
依据标准或指南的内容为基础,开发相应的评估工具,完成遵循标准或指南的风险评估过程。
如ASSET、CCToolbox等。
基于知识的风险评估与管理工具:
并不仅仅遵循某个单一的标准或指南,而是将各种风险分析方法进行综合,并结合实践经验,形成风险评估知识库,以此为基础完成综合评估。
如COBRA、MSAT、@RISK等。
基于模型的风险评估与管理工具:
对系统各组成部分、安全要素充分研究的基础上,对典型系统的资产、威胁、脆弱性建立量化或半量化的模型,根据采集信息的输入,得到评价的结果。
如RA、CORA等。
2.系统基础平台风险评估工具
脆弱性扫描工具
基于网络的扫描器
基于主机的扫描器
分布式网络扫描器
数据库脆弱性扫描器
渗透性测试工具
根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性。
这类工具通常包括黑客工具、脚本文件等。
一个好的漏洞扫描工具应包括以下几个特性:
最新的漏洞检测库;扫描工具必须准确并使误报率减少到最小;扫描器有某种可升级的后端,能够存储多个扫描结果并提供趋势分析的手段;应包括清晰的且准确地提供弥补发现问题的信息。
3.风险评估辅助工具
检查列表:
基于特定标准或基线建立的,对特定系统进行审查的项目条款。
入侵检测网络或主机造成危害的入侵攻击事件;帮助检测各种攻击试探和误操作;同时也可以作为一个警报器,提醒管理员发生的安全状况。
安全审计工具:
用于记录网络行为,分析系统或网络安全现状;它的审计记录可以作为风险评估中的安全现状数据,并可用于判断被评估对象威胁信息的来源。
拓扑发现工具:
主要是自动完成网络硬件设备的识别、发现功能。
资产信息收集系统:
通过提供调查表形式,完成被评估信息系统数据、管理、人员等资产信息的收集功能。
其他:
评估指标库、知识库、漏洞库、算法库、模型库等。
技术简介
该工具完成对网络信息系统安全风险状况的评估,并提供相应的安全建议,提供评估过程中需要的各种数据报表。
其中,风险评估所需的大量数据由系统的专家库提供,用户通过筛选和增补,可以便捷地获取实际信息系统的数据,大大减少了风险评估的工作量。
同时,系统提供的各功能也规范了风险评估的流程和输出结果。
该系统由基础数据获取模块、风险评估模块、安全建议模块和报告输出模块四个部分组成。
功能指标
(1) 基础数据获取模块的功能
该模块由专家数据库(缺省的资源库表、威胁库表、脆弱性库表等等)和真实数据采集两部分组成。
用户通过专家数据库和特定的一些数据采集工具和渠道(如:
脆弱性扫描、IDS、主机配置检查列表、人工调查),获得风险评估所需的基础数据。
(2) 风险评估模块的功能
该模块利用用户核实和完善的基础数据,按照国家标准制定的算法或用户定制的计算方法,计算风险的大小,得到各风险的等级和信息系统的风险等级。
(3) 安全建议模块的功能
在此基础上,该模块提供针对每个风险的对抗措施建议。
用户可对此进行增补。
在选定安全措施后,该模块将计算出残留风险的大小。
(4) 报告输出模块的功能
该模块输出风险评估过程中产生的信息系统的一些重要数据报表,如,资源表、脆弱性表、风险表、安全措施建议表、残留风险表等等。
适用范围
该工具完成对网络信息系统安全风险的评估,可以用于相关风险评估服务机构和信息系统所在组织对信息系统的风险状况进行全面和深入的了解,并提供相应的安全建议。
升级会员 