大家好,又见面了,我是你们的朋友全栈君。
1、AWVS,国外商业收费软件,据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况,也可导出报告,报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。
2、OWASP Zed(ZAP),来自OWASP项目组织的开源免费工具,提供漏洞扫描、爬虫、Fuzz功能,该工具已集成于Kali Linux系统。 https://www.cnblogs.com/zeussbook/p/10931092.html
3、Nikto,一款开源软件,不仅可用于扫描发现网页文件漏洞,还支持检查网页服务器和CGI的安全问题。它支持指定特定类型漏洞的扫描、绕过IDC检测等配置。该工具已集成于Kali Linux系统。
4、BurpSuite,“Scanner”功能用于漏洞扫描,可设置扫描特定页面,自动扫描结束,可查看当前页面的漏洞总数和漏洞明细。虽说也有漏扫功能,但其核心功能不在于此,因此漏扫功能还是不如其他专业漏洞扫描工具。
5、Nessus,面向个人免费、面向商业收费的形式,不仅扫描Web网站漏洞,同时还会发现Web服务器、服务器操作系统等漏洞。个人用户只需在官网上注册账号即可获得激活码。它是一款Web网站形式的漏洞扫描工具。
6、nmap nmap可以快速地扫描大型网络、以新颖的方式使用原始IP报文来发现网络上有哪些主机,那些主机提供什么服务(应用程序名和版本),那些服务运行在什么操作系统(包括版本信息), 它们使用什么类型的报文过滤器/防火墙,以及一堆其它功能。虽然Nmap通常用于安全审核, 许多系统管理员和网络管理员也用它来做一些日常的工作,比如查看整个网络的信息, 管理服务升级计划,以及监视主机和服务的运行。 除了端口表,Nmap还能提供关于目标机的进一步信息,包括反向域名,操作系统猜测,设备类型,和MAC地址。
7、X-ray https://docs.xray.cool/#/ https://github.com/chaitin/xray
还有很多不是非常知名,但可能也很大牌、也较常见的。 如:Retina、Arachni、XssPy、w3af、Nikto、Wfuzz、OWASP ZAP、Wapiti、Vega、SQLmap、Grabber、Golismero、OWASP Xenotix XSS、Veracode、Burpsuite、Webinspect、Acunetix Web Vulnerability Scanner、N-Stealth等等。
除此之外,还有很多商业漏洞扫描软件。 如:Safe3 WVS、IBM公司的AppScan)、以及其他特定网站类型的扫描工具(针对jboss的jboss-autopwn、针对joomla的joomscan、针对wordpress的wpscan)等等。
还有国内的一些扫描工具。 比如华为、启明、深信服、绿盟、360、亚信、天融信、安恒等等厂商,都出品有一些漏扫工具。
还有一些小团队、个人开发的漏扫工具,如:X-scan、溯雪等等。
还有开源的漏扫工具。
如:Nikto、parosproxy、OpenVAS、cvechecker、Vega Platform、Zed Attack Proxy等等。
总结: 漏洞扫描工具非常之多,除了这些常见的之外。就像国内有很多同类工具一样,各国也有很多本土的漏扫工具。说是成百上千、成千上万也毫不为过。
需要知道的是:漏扫工具是协助、辅助我们工作和使用的。漏扫工具的基本原理一至,即根据库、规则识别是否存在某些漏洞。但不同的工具使用的规则、判断方式不同,也经常产生误报,在实际的使用中,往往需要根据自己的需求合理的选择和使用。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/197219.html原文链接:https://javaforall.cn