web漏洞扫描程序设计,漏洞扫描标准

　　现在有很多新闻让我们感受到了网络的危险，比如文章《看Web如何摧毁你的企业》，《微软Office安全漏洞 网民即将面临最大威胁》。因此，如何构建一个安全的Web环境已经成为网络管理员和安全管理员义不容辞的责任。

　　但是聪明的女人，没有米是很难下厨的。我们应该选择哪些安全工具？

　　Scanner可以帮助我们建立一个安全的网站，也就是说，在黑客“黑”你之前，测试你自己的系统的漏洞。这里我们推荐10大Web漏洞扫描器，供大家参考。

　　1.尼克托

　　这是一个开源的Web服务器扫描器，可以全面测试Web服务器的各种项目(包括3500个潜在危险文件/CGI，超过900个服务器版本，服务器上超过250个版本特定的问题)。它的扫描项和插件经常更新，可以自动更新(如果需要)。

　　Nikto可以在尽可能短的时间内测试您的Web服务器，这在其日志文件中非常明显。不过，如果你想试用一下(或者测试你的IDS系统)，它也可以支持LibWhisker的anti-IDS方法。

　　但是，并不是每次检查都能查出安全问题，虽然大多数情况下都是这样。有些项目是仅提供信息(“仅提供信息”)类型的检查，它可以发现一些没有安全漏洞的项目，但Web管理员或安全工程师并不知道这些项目。这些物品通常可以被适当地标记。省去我们很多麻烦。

　　2.防止外空军备竞赛代理

　　这是一个评估web应用程序漏洞的代理，即基于Java的Web代理，可以评估Web应用程序的漏洞。它支持动态编辑/查看HTTP/HTTPS，从而改变项目，如cookies和表单字段。它包括一个Web通信记录器、一个Web蜘蛛、一个哈希计算器和一个扫描器，可以测试常见的Web应用程序攻击，如SQL注入攻击和跨站脚本攻击。

　　3.甲虫

　　它可以分析使用HTTP和HTTPS协议进行通信的应用程序，WebScarab可以以最简单的形式记录它观察到的会话，并允许操作员以各种方式观察会话。如果你需要观察一个基于HTTP(S)的应用的运行状态，那么WebCarab I可以满足你的需求。无论是帮助开发者调试其他问题，还是让安全专业人员识别漏洞，都是一个很好的工具。

　　4.网络检查

　　这是一个强大的Web应用程序扫描器。SPI的这个应用程序安全评估工具有助于识别Web应用程序中已知和未知的漏洞。还可以检查某个Web服务器配置是否正确，尝试一些常见的Web攻击，比如参数注入、跨站脚本、目录遍历攻击等等。

　　5.晶须/lib晶须

　　Libwhisker是一个Perla模块，适合HTTP测试。它可以针对许多已知的安全漏洞测试HTTP服务器，尤其是检测危险CGI的存在。Whisker是一个使用lib whisker的扫描仪。

　　6.硬石膏

　　这是一个集成平台，可用于攻击Web应用程序。Burp suite允许攻击者结合手动和自动技术来枚举、分析、攻击Web应用程序或利用这些程序的漏洞。各种burp工具协同工作，共享信息，并允许一种工具发现的漏洞构成另一种工具的基础。

　　7.维基托

　　可以说这是一个Web服务器评测工具，可以检查Web服务器中的漏洞，提供了很多类似Nikto的功能，但是有很多有趣的特性，比如后端miner和紧密的Google集成。它是为MS.NET环境编写的，但是用户需要注册才能下载它的二进制文件和源代码。

　　8.Acunetix Web漏洞扫描程序

　　这是一个商用的Web漏洞扫描器，可以检查Web应用中的漏洞，如SQL注入、跨站脚本攻击、认证页面弱密码长度等。它有一个易于操作的图形用户界面，并可以创建专业级的网站安全审计报告。

　　9.Watchfire AppScan

　　这也是一个商业网站漏洞扫描器。AppScan提供了应用程序整个开发周期的安全测试，简化了开发前期的组件测试和安全保证。可以扫描很多常见的漏洞，比如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等。

　　10.隐形飞机

　　N-Stealth是一款商业网络服务器安全扫描器。它的升级频率比一些免费的网页扫描仪还要高，比如Whisker/libwhisker、Nikto等。声称包含“30000个漏洞和漏洞程序”，“每天增加大量漏洞检查”，但这种说法值得怀疑。还要注意，其实所有通用的VA工具，比如Nessus，ISS互联网扫描仪，Retina，Saint，Sara等。包含Web扫描组件。(虽然这些工具并不总是保持软件更新，但它们不一定灵活。)N-Stealth主要提供对Windows平台的扫描，不提供源代码。

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。