國外商業級。HP WebInspect 可提供快速掃描功能、廣泛的安全評估範圍及準確的 Web 應用程式安全掃描結果。它可以識別很多傳統掃描程序檢測不到的安全漏洞。利用創新的評估技術,例如同步掃描和審核 (simultaneous crawl and audit, SCA) 及並發應用程式掃描,您可以快速而準確地自動執行 Web 應用程式安全測試和 Web服務安全測試。WebInspect是最準確和全面的自動化的Web應用程式和Web服務漏洞評估解決方案。
使用WebInspect,安全專業人員和規範審計人員可以在自己的環境中快速而輕鬆地分析眾多的Web應用和Web服務。WebInspect是唯一的一款由世界領先的Web安全專家每日維護和更新的產品。這些解決方案專門為評估潛在的安全漏洞而設計,並提供所有修復這些漏洞所需要的資訊。
WebInspect帶來了最新的評估技術,能夠適應任何企業環境的Web應用安全產品。當您開始進行漏洞評估時, WebInspect的「 評估代理」 ( assessment agent)能夠對Web應用的所有區域進行分析。當這些代理( agent)完成評估後,所有的發現結果都自動匯總給一個核心的安全引擎,進行結果分析。之後, WebInspect啟動審計引擎,評估所收集的信息,並運用攻擊算法查找漏洞,並確定其嚴重程度。通過上述的途徑, WebInspect能夠持續地使用適當的評估資源,以適應您的具體應用環境。
簡稱WVS,這是一款商業級的Web漏洞掃描程序,它可以檢查Web應用程式中的漏洞,如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面,並且能夠創建專業級的Web站點安全審核報告。
主頁:http://www.acunetix.com/
2、AppScanIBM安全類工具。對網站和移動應用進行掃描,識別安全漏洞並給出修復建議。在國內銷售情況不是太好,該工具市場佔用率極低,基本上被淘汰出局。
IBM Security AppS增強網站應用和移動應用的安全,提高應用安全程序管理,加強合規性。通過在使用前掃描你的網站和移動應用,AppScan使你可以識別安全漏洞並產生報告和修復建議。
對現代 Web 應用程式和服務執行自動化的動態應用程式安全測試(DAST) 和交互式應用程式安全測試 (IAST)。支持 Web 2.0、 JavaScript 和 AJAX 框架的全面的 JavaScript 執行引擎。涵蓋 XML 和 JSON 基礎架構的 SOAP 和 REST Web 服務測試支持 WSSecurity 標準、 XML 加密和 XML 籤名。詳細的漏洞公告和修復建議。40多種合規性報告,包括支付卡行業數據安全標準 (PCI DSS)、支付應用程式數據安全標準 (PA-DSS)、 ISO 27001 和 ISO 27002,以及 Basel II。
IBM公司推出的Rational AppScan,其前身是享譽業界的Watchfire AppScan(2007年被IBM收購後更名),在應用程式的整個開發周期都提供安全測試,從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞,如SQL注入(SQL-injection)、跨站點腳本攻擊(cross-site scripting)及緩衝溢出(buffer overflow)、HTTP響應拆分漏洞、參數篡改、隱式欄位處理、後門/調試選項等等。
主頁:http://www-01.ibm.com/software/cn/rational/awdtools/appscan/
3、AWVSAcunetix Web Vulnerability Scanner
簡稱AWVS,這是一款商業級的Web 漏洞掃描程序,它可以檢查Web 應用程式中的漏洞,如SQL 注入、跨站腳 本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面,並且能夠創建專 業級的Web 站點安全審核報告。
AWVS ( Acunetix Web Wulnerability Scanner)是一個自動化的Web 應用程式安全測試工具,它可以掃描任何可通過Web 瀏覽器訪問的和遵循HTTP/HTTPS 規則的 Web站點和 Web應用程式、國內普遍簡稱WVS。
主頁:http://www.acunetix.com/
二、主機掃描1、Nessus國外商業級。常用於服務的主機漏洞掃描。脆弱性評估工具,更擅長於主機、伺服器、網絡設備掃描。
Nessus號稱是世界上最流行的漏洞掃描程序,全世界有超過75000個組織在使用它。該工具提供完整的電腦漏洞掃描服務,並隨時更新其漏洞資料庫。Nessus不同於傳統的漏洞掃描軟體,Nessus可同時在本機或遠端上遙控,進行系統的漏洞分析掃描。Nessus也是滲透測試重要工具之一。
Nessus是眾所周知的漏洞掃描程序之一,尤其是Unix作業系統。即使他們在2005年關閉了原始碼並在2008年刪除了免費版本,這個工具仍然擊敗了許多競爭對手。該工具不斷更新,有超過70,000個插件。此工具的功能包括本地和遠程安全檢查,具有基於Web的界面的客戶端伺服器體系結構和嵌入式腳本語言,使用戶能夠編寫自己的插件並了解有關現有插件的更多信息。
Nessus用於掃描以下漏洞,例如錯誤配置,默認密碼或一些常見密碼以及系統帳戶上缺少密碼。Nessus還可以使用像Hydra這樣的外部工具來啟動字典攻擊,通過使用格式錯誤的數據包或準備PCI DSS audtis來拒絕針對TCP / IP堆棧的服務。
國產商業級。綠盟科技研發的遠程安全評估系統,可以進行Web應用、Web 服務及支撐系統等多層次全方位的安全漏洞掃描、審計和輔助邏輯分析,全面發現各類安全隱患,提出針對性的修復建議,以及形成多種符合法規、行業標準的報告。
主頁:http://www.nsfocus.com/
3、安恆MatriXay WebScan國產商業級。
WEB應用弱點掃描器(MatriXay)是杭州安恆信息技術公司研發的明鑑TM系列產品,被作為公安部等級保護測評中心專用應用安全測評工具。
主要功能包含全局配置、系統管理、項目管理、項目掃描、弱點檢測、滲透測試、配置審計和報表管理。能抗禦注入攻擊、跨站腳本、釣魚攻擊、信息洩漏、惡意編碼、表單繞過、緩衝區溢出等各類WEB應用攻擊。
主頁:http://www.dbappsecurity.com.cn/