【收藏】十大Webserver漏洞掃描工具

現在有不少消息令咱們感到Web的危急性，所以，當前怎樣構建一個安全的Web環境成爲網管員和安全管理員們責無旁貸的責任。但是巧婦難爲無米之炊，該選擇哪些安全工具呢?

掃描程序可以在幫助造咱們造就安全的Web網站上助一臂之力，也就是說在黑客「黑」你以前，先測試一下本身系統中的漏洞。咱們在此推薦十大Web漏洞掃描程序，供您參考。

1. Nikto

這是一個開源的Webserver掃描程序，它可以對Webserver的多種項目(包含3500個潛在的危急文件/CGI，以及超過900個server版本號，還有250多個server上的版本號特定問題)進行全面的測試。其掃描項目和插件經常更新並且可以本身主動更新(假設需要的話)。

Nikto可以在儘量短的週期內測試你的Webserver，這在其日誌文件裏至關明顯。只是，假設你想試驗一下(或者測試你的IDS系統)，它也可以支持LibWhisker的反IDS方法。

只是，並非每一次檢查都可以找出一個安全問題，儘管多數狀況下是這種。有一些項目是僅提供信息(「info only」 )類型的檢查，這種檢查可以查找一些並不存在安全漏洞的項目，只是Web管理員或安全project師們並不知道。這些項目一般都可以恰當地標記出來。爲咱們省去很多麻煩。

2. Paros proxy

這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基於Java的web代理程序，可以評估Web應用程序的漏洞。它支持動態地編輯/查看HTTP/HTTPS，從而改變cookies和表單字段等項目。它包含一個Web通訊記錄程序，Web圈套程序(spider)，hash 計算器，另外一個可以測試常見的Web應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。

3. WebScarab

它可以分析使用HTTP 和HTTPS協議進行通訊的應用程序，WebScarab可以用最簡單地形式記錄它觀察的會話，並贊成操做人員以各類方式觀查會話。假設你需要觀察一個基於HTTP(S)應用程序的執行狀態，那麼WebScarabi就可以知足你這樣的需要。不管是幫助開發者調試其餘方面的難題，仍是贊成安全專業人員識別漏洞，它都是一款不錯的工具。

4. WebInspect

這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具備助於確認Web應用中已知的和未知的漏洞。它還可以檢查一個Webserver是否正確配置，並會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、文件夾遍歷攻擊(directory traversal)等等。

5. Whisker/libwhisker

Libwhisker是一個Perla模塊，適合於HTTP測試。它可以針對不少已知的安全漏洞，測試HTTPserver，特別是檢測危急CGI的存在。Whisker是一個使用libwhisker的掃描程序。

6. Burpsuite

這是一個可以用於攻擊Web應用程序的集成平臺。Burp套件贊成一個攻擊者將人工的和本身主動的技術結合起來，以列舉、分析、攻擊Web應用程序，或利用這些程序的漏洞。各類各樣的burp工具協同工做，共享信息，並贊成將一種工具發現的漏洞造成第二種工具的基礎。

7. Wikto

可以說這是一個Webserver評估工具，它可以檢查Webserver中的漏洞，並提供與Nikto同樣的很是多功能，但添加了不少有趣的功能部分，如後端miner和緊密的Google集成。它爲MS.NET環境編寫，但用戶需要註冊才幹下載其二進制文件和源碼。

8. Acunetix Web Vulnerability Scanner

這是一款商業級的Web漏洞掃描程序，它能夠檢查Web應用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操做方便的圖形用戶界面，並且能夠建立專業級的Web網站安全審覈報告。

9. Watchfire AppScan

這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發週期都提供安全測試，從而測試簡化了部件測試和開發早期的安全保證。它可以掃描不少常見的漏洞，如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式字段處理、後門/調試選項、緩衝區溢出等等。

10. N-Stealth

N-Stealth是一款商業級的Webserver安全掃描程序。它比一些免費的Web掃描程序，如Whisker/libwhisker、 Nikto等的升級頻率更高，它宣稱含有「30000個漏洞和漏洞程序」以及「天天添加大量的漏洞檢查」，只是這樣的說法使人質疑。還要注意，實際上所有通用的VA工具，如Nessus， ISS Internet Scanner， Retina， SAINT， Sara等都包括Web 掃描部件。(儘管這些工具並非總能保持軟件更新，也不必定很是靈活。)N-Stealth主要爲Windows平臺提供掃描，但並不提供源碼。