美国最威望的RSA大会研讨显现，Web运用安全已超越一切曾经 *** 层安全(如DDos)，逐步成为最严峻、最广泛、危害性更大的安全问题。如华为、RSA、赛门铁克、联想ThinkPad、绿盟、启明星斗、东软、Citrix思杰、安域领创等都开发了自己的Web缝隙扫描程序、

1.Nikto(免费产品)

Nikto是一款开源的(GPL)网页服务器扫描器，它能够对网页服务器进行全面的多种扫描。扫描项和插件能够主动更新(假如需求)，但其软件自身并不常常更新，最新和最风险的或许检测不到。

2.Paros proxy(免费产品)

一个根据Java的web署理程序，能够评价Web运用程序的缝隙。它支撑动态地修改/查看HTTP/HTTPS，然后改动cookies和表单字段等项目。它包含一个Web通讯记载程序，Web骗局程序(spider)，hash计算器，还有一个能够测验常见的Web运用程序进犯(如SQL注入式进犯和跨站脚本进犯)的扫描器。

Proxy是架设在进犯者的浏览器和方针网站中心，一切的HTTP或HTTPS的要求和回应都会被送到proxy，是这类型Web proxy中的更佳东西。

3. WebScarab(免费产品)

根据GNU版别协议，WebScarab记载它检测到的会话内容(请求和应对)，运用者能够经过多种 *** 来查看记载。WebScarab的规划意图是让运用者能够把握某种根据HTTP(S)程序的运作进程;也能够用它来调试程序中较难处理的bug，也能够协助安全专家发现潜在的程序缝隙。

WebScarab功用强壮，包含HTTP署理、HTTPS阻拦、Fuzz测验、SSL客户认证等。

4.Sandcat Browser(免费产品)

一款根据google Chromium引擎的轻量级浸透测验渠道。它免费、便利带着、首要用于浸透测验而且支撑多标签。相同是以扩展和脚本的 *** 打造浸透测验东西包。

5.X-scan(免费产品)

国内闻名的完全免费的归纳扫描器，支撑中英文两种言语，包含图形界面和命令行 *** ，而且是不需求装置的绿色软件。首要由国内闻名的民间黑客安排安全焦点(http://www.xfocus.net/)出品。惋惜现已多年不更新了，最新版别是X-Scan v3.3(07/18/2005)

X-Scan把扫描陈述和安全焦点网站相连接，对扫描到的每个缝隙进行“风险等级”评价，并供给缝隙描述、缝隙溢出程序，便利网管测验、修补缝隙。

Wikto(免费产品)

一款根据C#编写的Web缝隙扫描东西，它能够查看Web服务器中的缝隙，并供给与Nikto相同的许多功用，但添加了许多风趣的功用部分，如后端miner和严密的Google集成。它为MS.NET环境编写，但用户需求注册才干下载其二进制文件和源代码。Wikto功用包含了Web爬虫、GoogleHack、Web服务器缝隙扫描等等。

Burpsuite(免费)

这是一个能够用于进犯Web运用程序的集成渠道。Burp套件答应一个进犯者将人工的和主动的技能结合起来，以罗列、剖析、进犯Web运用程序，或运用这些程序的缝隙。各式各样的burp东西协同作业，同享信息，并答应将一种东西发现的缝隙构成别的一种东西的根底。

Whisker/libwhisker(免费)

Libwhisker是一个Perla模块，适合于HTTP测验。它能够针对许多已知的安全缝隙，测验HTTP服务器，特别是检测风险CGI的存在。Whisker是一个运用libwhisker的扫描程序。

6.IBM Rational AppScan(国外商业级)

http://www-01.ibm.com/software/cn/rational/awdtools/appscan/

IBM公司推出的Rational AppScan，其前身是享誉业界的Watchfire AppScan(2007年被IBM收买后更名)，在运用程序的整个开发周期都供给安全测验，然后测验简化了部件测验和开发前期的安全确保。它能够扫描许多常见的缝隙，如SQL注入(SQL-injection)、跨站点脚本进犯(cross-site scripting)及缓冲溢出(buffer overflow)、HTTP呼应拆分缝隙、参数篡改、隐式字段处理、后门/调试选项等等。

7.HP WebInspect(国外商业级)

这是一款强壮的Web运用程序扫描程序。SPI Dynamics的这款运用程序安全评价东西有助于承认Web运用中已知的和不知道的缝隙。它还能够查看一个Web服务器是否正确装备，并会测验一些常见的Web进犯，如参数注入、跨站脚本、目录遍历进犯(directory traversal)等等。

8.Acunetix Web Vulnerability Scanner(国外商业级)

http://www.acunetix.com/

简称WVS，这是一款商业级的Web缝隙扫描程序，它能够查看Web运用程序中的缝隙，如SQL注入、跨站脚本进犯、身份验证页上的弱口令长度等。它具有一个操作便利的图形用户界面，而且能够创立专业级的Web站点安全审阅陈述。

9.N-Stealth(国外商业级)

http://www.nstalker.com/

N-Stealth是ZMT公司出品的一款商业的WEB站点安全扫描软件，一起也有能够免费运用的版别。首要为Windows渠道供给扫描，它比一些免费的Web扫描程序，如Whisker/libwhisker、 Nikto等的晋级频率更高，它声称含有“30000个缝隙和缝隙程序”以及“每天添加很多的缝隙查看”。

10.绿盟极光(国产商业级)

http://www.nsfocus.com/

绿盟科技研制的长途安全评价体系，能够进行Web运用、Web 服务及支撑体系等多层次全方位的安全缝隙扫描、审计和辅佐逻辑剖析，全面发现各类安全隐患，提出针对性的修正主张，以及构成多种契合法规、行业标准的陈述。

11.安恒 MatriXay WebScan(国产商业级)

http://www.dbappsecurity.com.cn/

[1] [2]  黑客接单网