s2 安恒 漏洞验证工具_黑盒扫描工具简介

a40037197350e7ad1ed93c4ab1d1f22e.png

一、Web扫描

1、WebInspect

国外商业级。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核 (simultaneous crawl and audit, SCA) 及并发应用程序扫描,您可以快速而准确地自动执行 Web 应用程序安全测试和 Web服务安全测试。WebInspect是最准确和全面的自动化的Web应用程序和Web服务漏洞评估解决方案。

使用WebInspect,安全专业人员和规范审计人员可以在自己的环境中快速而轻松地分析众多的Web应用和Web服务。WebInspect是唯一的一款由世界领先的Web安全专家每日维护和更新的产品。这些解决方案专门为评估潜在的安全漏洞而设计,并提供所有修复这些漏洞所需要的资讯。
WebInspect带来了最新的评估技术,能够适应任何企业环境的Web应用安全产品。当您开始进行漏洞评估时, WebInspect的“ 评估代理” ( assessment agent)能够对Web应用的所有区域进行分析。当这些代理( agent)完成评估后,所有的发现结果都自动汇总给一个核心的安全引擎,进行结果分析。之后, WebInspect启动审计引擎,评估所收集的信息,并运用攻击算法查找漏洞,并确定其严重程度。通过上述的途径, WebInspect能够持续地使用适当的评估资源,以适应您的具体应用环境。
简称WVS,这是一款商业级的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。

主页:http://www.acunetix.com/

2、AppScan

IBM安全类工具。对网站和移动应用进行扫描,识别安全漏洞并给出修复建议。在国内销售情况不是太好,该工具市场占用率极低,基本上被淘汰出局。
IBM Security AppS增强网站应用和移动应用的安全,提高应用安全程序管理,加强合规性。通过在使用前扫描你的网站和移动应用,AppScan使你可以识别安全漏洞并产生报告和修复建议。
对现代 Web 应用程序和服务执行自动化的动态应用程序安全测试(DAST) 和交互式应用程序安全测试 (IAST)。支持 Web 2.0、 JavaScript 和 AJAX 框架的全面的 JavaScript 执行引擎。涵盖 XML 和 JSON 基础架构的 SOAP 和 REST Web 服务测试支持 WSSecurity 标准、 XML 加密和 XML 签名。详细的漏洞公告和修复建议。40多种合规性报告,包括支付卡行业数据安全标准 (PCI DSS)、支付应用程序数据安全标准 (PA-DSS)、 ISO 27001 和 ISO 27002,以及 Basel II。 IBM公司推出的Rational AppScan,其前身是享誉业界的Watchfire AppScan(2007年被IBM收购后更名),在应用程序的整个开发周期都提供安全测试,从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞,如SQL注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项等等。

主页:http://www-01.ibm.com/software/cn/rational/awdtools/appscan/

3、AWVS

Acunetix Web Vulnerability Scanner
简称AWVS,这是一款商业级的Web 漏洞扫描程序,它可以检查Web 应用程序中的漏洞,如SQL 注入、跨站脚 本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专 业级的Web 站点安全审核报告。
AWVS ( Acunetix Web Wulnerability Scanner)是一个自动化的Web 应用程序安全测试工具,它可以扫描任何可通过Web 浏览器访问的和遵循HTTP/HTTPS 规则的 Web站点和 Web应用程序、国内普遍简称WVS。

主页:http://www.acunetix.com/

二、主机扫描

1、Nessus

国外商业级。常用于服务的主机漏洞扫描。脆弱性评估工具,更擅长于主机、服务器、网络设备扫描。
Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一。
Nessus是众所周知的漏洞扫描程序之一,尤其是Unix操作系统。即使他们在2005年关闭了源代码并在2008年删除了免费版本,这个工具仍然击败了许多竞争对手。该工具不断更新,有超过70,000个插件。此工具的功能包括本地和远程安全检查,具有基于Web的界面的客户端服务器体系结构和嵌入式脚本语言,使用户能够编写自己的插件并了解有关现有插件的更多信息。
Nessus用于扫描以下漏洞,例如错误配置,默认密码或一些常见密码以及系统帐户上缺少密码。Nessus还可以使用像Hydra这样的外部工具来启动字典攻击,通过使用格式错误的数据包或准备PCI DSS audtis来拒绝针对TCP / IP堆栈的服务。

2、绿盟极光

国产商业级。绿盟科技研发的远程安全评估系统,可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析,全面发现各类安全隐患,提出针对性的修复建议,以及形成多种符合法规、行业标准的报告。

主页:http://www.nsfocus.com/

3、安恒

MatriXay WebScan国产商业级。
WEB应用弱点扫描器(MatriXay)是杭州安恒信息技术公司研发的明鉴TM系列产品,被作为公安部等级保护测评中心专用应用安全测评工具。
主要功能包含全局配置、系统管理、项目管理、项目扫描、弱点检测、渗透测试、配置审计和报表管理。能抗御注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等各类WEB应用攻击。

主页:http://www.dbappsecurity.com.cn/

版权声明:本文为weixin_30327815原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。