十大web安全掃描工具

01 – Unhide

Unhide 是一個查尋隱藏了進程和端口的Rootkits/LKMs或其它隱藏技術的探測鑑定工具。Unhide能夠運行於linux/Unix和windows系統。

連接: http://www.unhide-forensics.info

評論：

「很是完整好用的工具.輕鬆找到隱藏文件和端口等」

「linux 系統裏找容易程序的工具，怒贊！」

「基於unix的系統裏，查找rootkits的好工具」

02 – OWASP ZAP – Zed Attack Proxy Project

Zed Attack Proxy (ZAP)是一個簡單易用的集成滲透測試工具，專門掃描網站漏洞。

Zed Attack Proxy是一款網站應用程序漏洞掃描工具，它是專爲有多年安全經驗的人員來設計的，固然對於開發人員和功能性測試人員，Zed Attack Proxy也是不二之選。設計的思路是無論安全從業經驗深淺的人均可以用，而且這個產品的開發和測試都是滲透行業新人ZAP提供了自動化掃描的同時，也支持手動查找漏洞。

連接: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

評論:

「開源易用覆蓋廣」

「每週更新，簡單易用」

「穩定，常常改進。可視化好，而且支持WebSockets」

3 – Lynis

Lynis是一款安全審計工具，用來測試和收集基於Unix的系統的安全信息。

這款工具的使用者是安全和系統審計人員,網絡專家和系統運維。Lynis在系統上執行深度本地掃描，所以比基於網絡的漏洞掃描更加深刻。 經過bootloader開始，直到安裝文件包。分析以後，他向管理員展現掃描結果，包括系統加固方案。

連接: https://cisofy.com/download/lynis/

評論：

「幫我加固系統不少次，真愛！」

「很棒的審計工具!簡單且免費」

「有助於快速達到安全」

04 – BeEF – The Browser Exploitation Framework

BeEF 是The Browser Exploitation Framework的簡寫。他是一款針對web瀏覽器的滲透工具

針對客戶端的攻擊與日俱增，包括移動客戶端。BeEF allows容許專業滲透人員經過使用客戶端攻擊向量，來評估目標環境的真實安全情況。與別個不一樣, BeEF 繞過其餘選擇，只針對web瀏覽器。BeEF hook了web瀏覽器，用他們來控制命令模塊兒，以及對系統展開後續攻擊測試。

連接: http://beefproject.com

評論：

「相似功能的工具只此一款，再無其餘」

「對於驗證瀏覽器內部威脅和漏洞，沒有能超越它的了」

「BeEF 除了集成攻擊，清晰的以圖片方式展現了訪問一個惡意網站以後可能發生的事情」

05 – OWASP Xenotix XSS Exploit Framework

OWASP Xenotix XSS Exploit Framework是一款先進的跨站腳本漏洞（XSS）檢測和開發框架。 Xenotix經過使用真實的瀏覽器引擎執行掃描，識別payload的反饋，來確保零誤報的XSS檢測。Xenotix掃描模塊有3個智能fuzzzer集成，來縮短掃描時間，輸出更好的報告。

連接: https://www.owasp.org/index.php/OWASP_Xenotix_XSS_Exploit_Framework

評論：

「他幫助我來驗證我在Web-app Vulnerability Assesments發現的全部XSS漏洞。」

「XSS很可怕，Xenotix 也能檢測移動設備的XSS。它還簡化了整個掃描。」

「他的交互設計很簡便，掃描規則多的超乎想象。總之，他是我認爲最好用的XSS掃描器。」

06 – PeStudio

PeStudio是一款獨特的工具，執行靜態校驗32位和64-bit爲的可執行文件。PEStudio針對我的非商業用途是免費的。惡意可執行程序一般隱藏其惡意行爲，避免被查出。所以,惡意程

序一般呈現存在異常而且可疑的狀態。PEStudio的目標就是檢測這些異常，評估被分析的可執行文件的可信度。因爲這些被分析的可執行文件並無執行，你能夠無風險的檢測未知以及惡意的可執行文件。

連接: http://www.winitor.com

評論：

「易用的好工具，預先高效檢測惡意程序的意圖」

「靜態PE分析的最佳工具」

「最快最強的惡意軟件分析工具。神器的做者，日更。在個人平常分析中特別有用。」

07 – OWASP Offensive (Web) Testing Framework

OWASP OWTF, Offensive (Web) Testing Framework 是一款OWASP+PTES集成，試圖組合不少好工具，使檢測更有效，絕大部分用python編寫。工具存在的意義是把滲透測試中手工的重複性勞動變成自動化的。例如：花費時間記住如何使用「X工具」, 分析「X工具」的輸出結果，手動導入「Y工具」等等。

連接: https://www.owasp.org/index.php/OWASP_OWTF

評論：

「輕鬆自動化的管理多個工具。」

「很炫，他能夠集成全部owasp的檢測工具」

「幫我節約了不少執行重複任務的時間」

08 – Brakeman

Brakeman 是一款應用於Ruby on Rails的安全掃描器。不一樣於許多web安全掃描器,Brakeman檢測源代碼。這意味着你不須要實際搭建起來。Brakeman掃描代碼以後,會生成一個全部檢出的安全問題的報告。

連接: http://brakemanscanner.org

評論：

「免費，高質量，常常更新。實測發現，它顯而易見的比不少昂貴

的商業產品更好。真的是太棒了。」

「安全漏洞掃描最好的開源工具之一」

「ruby贊一個，幫助發現可能的安全風險。」

09 – WPScan

WPScan是一款黑盒檢測WordPress漏洞的掃描器。

連接: http://wpscan.org

評論：

「不少WordPress搭建的網站，仍然存在漏洞，經過WPScan這種專業的掃描WordPress安全隱患的工具，能夠減小安全測試者話費的時間。不須要本身寫payload，只要讓WPScan自動檢測就好。」

「團隊作了一個新的WPScan漏洞特徵庫(wpvulndb.com)。全部人均可以使用。」

「持續更新。WordPress安全最好的工具。」

10 – nmap

Nmap (「Network Mapper」) 是一款免費的開源的(license)通用的網絡發掘和安全審計工具。不少系統和網絡管理員發現它還適用於網絡盤點，管理服務升級模塊，監控主機或者服務運行時間，以及不少其餘任務。Nmap使用原始IP數據包來肯定網絡上的可用主機，他們提供的服務、運行的系統、在用的防火牆,以及不少其餘特徵。

連接: http://nmap.org

評論

「人人愛的端口掃描器」

「枚舉端口，發現弱點」

「滲透人員必備利器」