web漏洞扫描工具都有哪些

Posted 2023-03-22

1、Nexpose：跟其他扫描工具不同的是，它的功能十分强大，可以更新漏洞数据库，也可以看出哪些漏洞可以被Metasploit Exploit，可以生成非常详细、强大的Report，涵盖了很多统计功能和漏洞的详细信息。
2、OpenVAS：类似Nessus的综合型漏洞扫描器，可以用来识别远程主机、Web应用存在的各种漏洞，它使用NVT脚本对剁成远程系统的安全问题进行检测。
3、WebScarab：可以分析使用HTTP和HTTPS协议进行通信的应用程序，它可以简单记录观察的会话且允许操作人员以各种方式进行查看。
4、WebInspect：是一款强大的Web应用程序扫描程序，有助于确认Web应用中已知和未知的漏洞，还可以检查一个Web服务器是否正确配置。
5、Whisker/libwhisker：是一个Perla工具，适合于HTTP测试，可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。
6、Burpsuite：可以用于攻击Web应用程序的集成平台，允许一个攻击者将人工和自动的技术进行结合，并允许将一种工具发现的漏洞形成另外一种工具的基础。
7、Wikto：是一个Web服务器评估工具，可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分。
8、Watchfire AppScan：是一款商业类的Web漏洞扫描程序，简化了部件测试和开发早期的安全保证，可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。
9、N-Stealth：是一款商业级的Web服务器安全扫描程序，主要为Windows平台提供扫描，但并不提供源代码。 参考技术A 漏洞扫描服务（Vulnerability Scan Service，VSS） 是一款自动探测企业网络资产并识别其风险的产品。依托腾讯二十年累积的安全能力，漏洞扫描服务能够对企业的网络设备及应用服务的可用性、安全性与合规性等进行定期的安全扫描、持续性风险预警和漏洞检测，并且为企业提供专业的修复建议，降低企业安全风险。
全面漏洞扫描
多年的安全能力建设积累了丰富而全面的漏洞规则库，覆盖 OWASP TOP 10的 Web 漏洞，例如：SQL 注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）、弱密码等。同时，系统还具备专业高效的 0Day/1Day/NDay 漏洞检测能力。
敏感内容检测
基于多个内容安全风险监测引擎及持续运营样本库，能够快速准确发现网站异常涉黄、涉恐、涉政、赌博等敏感图片、文字信息，帮助企业及时自检，避免因不当内容导致网站被监管机构要求整改，影响企业形象和业务发展。

篡改挂马检测
结合及时准确的威胁情报及高精准的智能鉴定模型，针对网站进行挂马、暗链、垃圾广告、矿池等风险的多维度智能检测，避免企业网站被他人长期恶意利用。
全面资产支持
支持多种网络资产的全面风险扫描，涵盖主机、网站、小程序、公众号、IoT 等资产类型，基于丰富的指纹库，精准识别客户网络资产，并进行实时监测，帮助客户及时发现影子资产、感知资产变动、有效管理资产。

威胁情报联动
依托腾讯安全积累近二十年的威胁情报大数据，提供 0Day/1Day/NDay 漏洞检测，并有安全专家实时跟进网络最新风险动态，第一时间提供威胁情报和专业处置建议，大幅缩减风险潜伏期，预防大规模入侵，降低安全风险。

智能风险告警
支持在客户网络资产出现安全风险时，通过多种方式实时告警并提供专业处置建议，帮助客户及时感知风险和快速处置。

漏洞扫描工具都有哪些

国内的各种各样的卫士都有漏洞扫描
另外，一些黑客工具也有扫描漏洞的功能，比如X-scan
如果你要做的是网站的安全漏洞检测，网上都有那些漏洞的检测平台（比如360） 参考技术A

第一款：Trivy

Trivy是一个开源漏洞扫描程序，能够检测开源软件中的CVE。这款工具针对风险提供了及时的解释，开发人员可自行决定是否在容器或应用程序中使用该组件。常规的容器安全协议使用的是静态镜像扫描来发现漏洞，Trivy则是将漏洞扫描工具无缝合并到集成开发环境当中。

另外，由于背靠庞大的开源社区，许多的集成及附加组件都支持Trivy，例如使用Helm图表能够将Trivy安装到Kubernetes集群，借助Prometheus导出器能够提取漏洞指标。

第二款：OpenVAS

OpenVAS是一款功能全面的免费开源漏洞扫描器和管理系统。它得到了GNU通用公开许可证授权许可，支持包括多个Linux发行版在内的不同操作系统。OpenVAS利用了可自动更新的社区来源的漏洞数据库，涵盖5万多个已知网络漏洞测试。也就是说，它能非常细致地查看整个系统，并对已经或未经身份验证的协议进行测试。而实施过的漏洞测试也相当细致，会深入分析计算机及服务器受保护的程度。

第三款：Clair

Clair是基于API的漏洞扫描程序，可对开源容器层的任何已知安全漏洞进行检测，更加便于创建持续监控容器并查找安全漏洞的服务。Clair能定期从各个来源收集漏洞元数据，对容器镜像索引，并提供用于检索镜像发现的特征的API。漏洞元数据一旦更新，用户就会收到提醒，这样就能从之前扫描的镜像中及时发现新的漏洞。另外，Clair还提供了可用于查询特定容器镜像漏洞的API。

第四款：Anchore

Anchore是一款开源Docker容器策略合规与静态分析的工具。激活之后，Anchore会自动执行容器内容的镜像扫描、分析及评估。最终结果会针对每个镜像进行策略评估，并判定是否符合业务要求。Anchore主要是通过分析容器镜像的内容，发现隐藏的漏洞。同时，它也会扫描已知漏洞并确保镜像遵循了最佳安全标准与最佳行业实践。最重要的是，Anchore集成了容器注册表和CI/CD工具。

第五款：Sqlmap

Sqlmap属于渗透测试工具，但具有自动检测和评估漏洞的功能。该工具不只是简单地发现安全漏洞及利用漏洞的情况，它还针对发现结果创建了详细的报告。Sqlmap利用Python进行开发，支持任何安装了Python解释器的操作系统。它能自动识别密码哈希，并使用六种不同方法来利用SQL注入漏洞。此外，Sqlmap的数据库非常全面，支持oracle、PostgreSQL、MySQL、SqlServer和access。