滲透測試階段信息收集完成后，需根據(jù)所收集的信息，掃描目標站點可能存在的漏洞，包括SQL注入漏洞、跨站腳本漏洞、文件上傳漏洞、文件包含漏洞及命令執(zhí)行漏洞等，然后通過這些已知的漏洞，尋找目標站點存在攻擊的入口。那么今天我們就介紹幾款常用的WEB應用漏洞掃描工具。

　　一、AWVS

　　Acunetix Web Vulnerability Scanner（簡稱AWVS）是一款知名的網(wǎng)絡漏洞掃描工具，它通過網(wǎng)絡爬蟲測試你的網(wǎng)站安全，檢測流行安全漏洞。在漏洞掃描實戰(zhàn)過程中，一般會首選AWVS，因為這個能掃描出來的漏洞很多，而且使用比較簡單。

　　點評：強大的漏洞掃描器，漏洞庫大而全，可以說市面上最出色的漏洞掃描器

　　官方網(wǎng)站：https://www.acunetix.com/

　　AWVS掃描器使用說明文檔：https://www.wangan.com/docs/acunetixweb

　　二、APPScan

　　IBM AppScan是一款非常好用且功能強大的Web 應用安全測試工具，曾以 Watchfire AppScan 的名稱享譽業(yè)界，Rational AppScan 可自動化 Web 應用的安全漏洞評估工作，能掃描和檢測所有常見的 Web 應用安全漏洞，例如 SQL 注入（SQL-injection）、跨站點腳本攻擊（cross-site scripting）、緩沖區(qū)溢出（buffer overflow）及最新的 Flash/Flex 應用及 Web 2.0 應用曝露等方面安全漏洞的掃描。

　　點評：AppScan 好處在于誤報是最少的，相比WVS掃描更慢，建議配合使用

　　官方網(wǎng)站：https://www.hcltechsw.com/products/appscan

　　詳細使用說明文檔：https://www.wangan.com/docs/hcl1001

　　三、Nikto

　　Nikto是一款開源的Web服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900個服務器版本，還有250多個服務器上的版本特定問題)進行全面的測試。Nikto可以在短時間內(nèi)掃描服務器的多個端口，Nikto因其效率和服務器強化功能而受到青睞。

　　點評：Nikto作為開源的漏洞掃描器，基于Whisker/libwhisker完成其底層功能。這是一款非常棒的工具，但其軟件本身并不經(jīng)常更新，最新和最危險的可能檢測不到。

　　Github地址：https://github.com/sullo/nikto

　　詳細使用說明文檔：https://www.wangan.com/docs/nikto2

　　四、OpenVAS

　　OpenVAS（開放式漏洞評估系統(tǒng)）是一個客戶端/服務器架構，它常用來評估目標主機上的漏洞。OpenVAS是Nessus開始收費后，獨立出來的一個開源的掃描器，OpenVAS默認安裝在標準的Kali Linux上。

　　點評：OpenVAS具有強大的系統(tǒng)和設備掃描器，缺點是掃描速度慢，占用磁盤空間較大。

　　官方網(wǎng)站：https://www.openvas.org/

　　詳細使用說明文檔：https://www.wangan.com/docs/openvas

　　五、Xray

　　Xray是一款功能強大的安全評估工具，檢測速度快（發(fā)包速度快，漏洞檢測算法高效）；支持范圍廣（大至 OWASP Top 10 通用漏洞檢測，小至各種 CMS 框架 POC，均可以支持）；編寫代碼的人員素質高, 通過 Code Review、單元測試、集成測試等多層驗證來提高代碼可靠性。

　　Xray支持的漏洞檢測類型包括XSS漏洞檢測 (key: xss)、SQL 注入檢測 (key: sqldet)、命令/代碼注入檢測 (key: cmd-injection)、目錄枚舉 (key: dirscan)、路徑穿越檢測 (key: path-traversal)、XML 實體注入檢測 (key: xxe)、文件上傳檢測 (key: upload)、弱口令檢測 (key: brute-force)、jsonp 檢測 (key: jsonp)、ssrf 檢測 (key: ssrf)、基線檢查 (key: baseline)、任意跳轉檢測 (key: redirect)、CRLF 注入 (key: crlf-injection)、Struts2 系列漏洞檢測 (高級版key: struts)、Thinkphp系列漏洞檢測 (高級版key: thinkphp)、POC 框架 (key: phantasm)。

　　點評：Xray是一款基于Go語言開發(fā)的漏洞掃描器，支持導入poc掃描，不過團隊對poc的質量要求很高，導致現(xiàn)在poc數(shù)量比較少。

北京愛品特SEO網(wǎng)站優(yōu)化提供專業(yè)的網(wǎng)站SEO診斷服務、SEO顧問服務、SEO外包服務，咨詢電話或微信：13811777897 袁先生 可免費獲取SEO網(wǎng)站診斷報告。

北京網(wǎng)站優(yōu)化公司 >> SEO資訊 >> SEO常見問題 >> 滲透測試常用WEB安全漏洞掃描工具集合    本站部分內(nèi)容來源于互聯(lián)網(wǎng)，如有版權糾紛或者違規(guī)問題，請聯(lián)系我們刪除，謝謝！