1�、Nikto
這是一個開源的Web服務器掃描程序����,它可以對Web服務器的多種項目進行全面的測試。其掃描項目和插件經常更新并且可以自動更新�。 Nikto 可以在盡可能短的周期內測試你的Web 服務器,它也可以支持LibWhisker 的反IDS方法�。
不過,并非每一次檢查都可以找出一個安全問題���。有一些項目是僅提供信息(“info only” )類型的檢查�,這種檢查可以查找一些并不存在安全漏洞的項目,不過 Web 管理員或安全工程師們并不知道���,這些項目通常都可以恰當地標記出來����??梢允∪ゲ簧俾闊?/p>
2�、Acunetix Web Vulnerability Scanner
一款商業級的Web漏洞掃描程序,它可以檢查Web應用程序中的漏洞���,如SQL注入�、跨站腳 本攻擊���、身份驗證頁上的弱口令長度等���。它擁有一個操作方便的圖形用戶界面,并且能夠創建專業級的Web 站點安全審核報告�。
3、WebScarab
它可以分析使用HTTP 和HTTPS 協議進行通信的應用程序���,WebScarab 可以用最簡單地形式記錄它觀察的會話�,并允許操作人員以各種方式觀查會話。不管是幫助開發人員調試其它方面的難題���,還是允許安全專業人員識別漏洞���,它都是一款不錯的工具。
4���、WebInspect
一款強大的Web 應用程序掃描程序�。SPI Dynamics 的這款應用程序安全評估工具有助于確認Web 應用中已知的和未知的漏洞�。它還可以檢查一個Web 服務器是否正確配置����,并會嘗試一些常見的Web 攻擊,如參數注入����、跨站腳本、目錄遍歷攻擊(directory traversal)等等���。
5���、Whisker/libwhisker
Libwhisker 是一個Perla模塊����,適合于HTTP測試����。它可以針對許多已知的安全漏洞,測試HTTP 服務器���,特別是檢測危險CGI 的存在�。Whisker 是一個使用libwhisker 的掃描程序�。
6、Paros proxy
一個對Web 應用程序的漏洞進行評估的代理程序����,即一個基于Java 的web代理程序,可以評估Web應用程序的漏洞�。它支持動態地編輯/查看HTTP/HTTPS,從而改變cookies和表單字段等項目����。它包括一個Web 通信記錄程序,Web 圈套程序(spider),hash 計算器����,還有一個可以測試常見的Web應用程序攻擊的掃描器。
7�、Burpsuite
一個可以用于攻擊Web 應用程序的集成平臺。Burp 套件允許一個攻擊者將人工的和自動的 技術結合起來���,以列舉�、分析�、攻擊Web 應用程序,或利用這些程序的漏洞���。各種各樣的burp 工具協同工作���,共享信息,并允許將一種工具發現的漏洞形成另外一種工具的基礎���。
8、 Wikto
一個Web 服務器評估工具����,它可以檢查Web 服務器中的漏洞,并提供與Nikto 一樣的很多功能,但增加了許多有趣的功能部分���,如后端miner 和緊密的Google 集成���。它為MS.NET 環境編寫,但用戶需要注冊才能下載其二進制文件和源代碼�。
9、 Watchfire AppScan
一款商業類的Web 漏洞掃描程序���。AppScan 在應用程序的整個開發周期都提供安全測試����, 從而測試簡化了部件測試和開發早期的安全保證����。它可以掃描許多常見的漏洞,如跨站腳本攻擊���、HTTP 響應拆分漏洞���、參數篡改、隱式字段處理�、后門/調試選項、緩沖區溢出等等。
10����、N-Stealth
N-Stealth 是一款商業級的Web 服務器安全掃描程序。它比一些免費的Web 掃描程序���,如 Whisker/libwhisker�、Nikto 等的升級頻率更高���。還要注意����,實際上所有通用的VA 工具����, 如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。N-Stealth 主要為Windows 平臺提供掃描����,但并不提供源代碼。
另外�,以下一些測試工具也是很不錯的���,可以了解以下����。
Ettercap:功能完備的跨平臺的局域網滲透攻擊工具;
Cisco Packet Tracert:思科官方出品的傻瓜式模擬器���;
GNS3:思科網絡與安全模擬器���,能模擬防火墻、入侵檢測�、VPN等技術;
Hping3:強大的TCP/IP數據包生成工具���,可用于防火墻測試和安全審計�;
eNSP:華為官方出品的網絡/安全模擬器����,支持USG防火墻產品;
Cain Windows:下最強大的局域網攻擊與揭密工具���;
Vmware:操作系統虛擬環境平臺����,制作虛擬機用來做安全測試;
Visio:最好用的繪圖軟件����,微軟出品,支持各種網絡拓撲圖�、流程圖等;
Wireshark:最好用的抓包軟件�,全球開源網絡安全工具Top1;
Namp:最強悍的端口掃描器����,可基于掃描腳本引擎安全掃描漏洞;
SecureCRT與Xshell一樣����,都是最常用的終端登錄和命令操作軟件。
以上就是小編的分享����,希望可以幫助到大家。
教育
