国内外 站安全渗透测试、漏洞扫描产品汇总大全

通过2016年 站安全 告显示，国内 站每天被被黑被挂马以2000万个 页增加， 站安全问题越来越重要，特别是习大大乌镇互联 大会上多次强调互联 安全，越来越多的互联 安全大会，央视新闻也会经常 道安全相关的新闻，但是如何判断一个 站是否安全呢，这就需要三方工具来扫描了，下面就介绍列举一下国内外比较著名的安全渗透扫描的产品。

国外 站安全渗透测试、漏洞扫描产品：

Nessus：Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。

nmap：nmap 也是不少黑客爱用的工具 ，黑客会利用nmap来搜集目标电脑的 络设定，从而计划攻击的方法。

Veracode:Veracode提供一个基于云的应用程序安全测试平台。无需购买硬件，无需安装软件，使用客户马上就可以开始测试和补救应用程序，另外Veracode提供自动化的静态和动态应用程序安全测试软件和补救服务。

CAIN：在口令破解上很有一套技术；

appscan：appscan是IBM公司开发的用于扫描web应用的基础架构，也是安全渗透行业扛把子的产品；

Nikto：Nikto是一款开源的（GPL） 页服务器扫描器，它可以对 页服务器进行全面的多种扫描；

parosproxy：parosproxy，这是一个对Web应用程序的漏洞进行评估的代理程序；

WebScarab：WebScarab记录它检测到的会话内容，使用者可以通过多种形式来查看记录；

Webinspect：惠普公司的安全渗透产品，运行起来占用大量内存，小家碧玉的就慎用了；

Whisker：Whisker是一款基于libwhisker的扫描器，但是现在大家都趋向于使用Nikto，它也是基于libwhisker的。

BurpSuite：是一款信息安全从业人员必备的集成型的渗透测试工具，它采用自动测试和半自动测试的方式;

Wikto:Wikto是一款基于C#编写的Web漏洞扫描工具;

Acunetix Web Vulnerability Scanner：（简称AWVS）是一款知名的 络漏洞扫描工具，它通过 络爬虫测试你的 站安全，检测流行安全漏洞；

N-Stealth：N-Stealth 是一款商业级的Web服务器安全扫描程序。

Nessus

Nessus：Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。

可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高；可自行定义插件(Plug-in)；完整支持SSL (Secure Socket Layer)。

nmap

除了端口表，Nmap还能提供关于目标机的进一步信息，包括反向域名，操作系统猜测，设备类型，和MAC地址。

Veracode

Veracode为开发人员、进程和技术提供一个可扩展性和符合成本效益的软件安全规划。Veracode提供一个基于云的应用程序安全测试平台。无需购买硬件，无需安装软件，使用客户马上就可以开始测试和补救应用程序，另外Veracode提供自动化的静态和动态应用程序安全测试软件和补救服务。主要有：Veracode Static静态分析、Veracode Dynamic动态分析、Veracode DynamicMP动态多处理器、Veracode Analytics应用程序智能分析 、Veracode Policy 络安全策略管理器、Veracode APIs应用程序接口测试工具等。

CAIN

破解屏保、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令、支持VNC口令解码、Cisco Type-7口令解码、Base64口令解码、SQL Server 7.0/2000口令解码、Remote Desktop口令解码、Access Database口令解码、Cisco PIX Firewall口令解码、Cisco MD5解码、NTLM Session Security口令解码、IKE Aggressive Mode Pre-Shared Keys口令解码、Dialup口令解码、远程桌面口令解码等综合工具，还可以远程破解，可以挂字典以及暴力破解。

其sniffer功能极其强大，可以明文捕获一切帐 口令，包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5- PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等

appscan

appscan是IBM公司开发的用于扫描web应用的基础架构，进行安全漏洞测试并提供可行的 告和建议。AppScan的扫描能力，零时差补丁升级，配置向导和详细的 表系统都进行了整合，简化使用，增强用户效率，有利于安全防范和保护web应用基础架构。

Nikto:

这是一个开源的Web 服务器扫描程序，它可以对Web 服务器的多种项目(包括3500个潜在的危险文件/CGI，以及超过900 个服务器版本，还有250 多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto 可以在尽可能短的周期内测试你的Web 服务器，这在其日志文件中相当明显。不过，如果 你想试验一下(或者测试你的IDS系统)，它也可以支持LibWhisker 的反IDS方法。

不过，并非每一次检查都可以找出一个安全问题，虽然多数情况下是这样的。有一些项目是仅提 供信息(“info only” )类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过 Web 管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。

parosproxy

WebScarab

它可以分析使用HTTP 和HTTPS 协议进行通信的应用程序，WebScarab 可以用最简单地形式记录它观察的会话，并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarabi 就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。

Webinspect

大惠普公司的安全扫描产品，这是一款强大的Web 应用程序扫描程序。SPI Dynamics 的这款应用程序安全评估工具有助于确 认Web 应用中已知的和未知的漏洞。它还可以检查一个Web 服务器是否正确配置，并会尝试一些 常见的Web 攻击，如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。

Burpsuite

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警 的一个强大的可扩展的框架。

Wikto

可以说这是一个Web 服务器评估工具，它可以检查Web 服务器中的漏洞，并提供与Nikto 一样的很多功能，增加了许多有趣的功能部分，如后端miner 和紧密的Google 集成。它为MS.NET环境编写，但用户需要注册才能下载其二进制文件和源代码。

Acunetix Web Vulnerability Scanner

N-Stealth

N-Stealth 是一款商业级的Web服务器安全扫描程序。它比一些免费的Web 扫描程序，如Whisker/libwhisker、Nikto 等的升级频率更高，它宣称含有“30000个漏洞和漏洞程序”以及 “每天增加大量的漏洞检查”，不过这种说法令人质疑。还要注意，实际上所有通用的VA 工具， 如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 扫描部件。(虽然这些工具并非总能保持软件更新，也不一定很灵活。)N-Stealth 主要为Windows 平台提供扫描，但并不提供源代码。

如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 扫描部件。(虽然这些

工具并非总能保持软件更新，也不一定很灵活。)N-Stealth 主要为Windows 平台提供扫描，但

并不提供源代码。

国内 站安全渗透测试、漏洞扫描产品：

华为：主要业务领域防火墙、入侵检测/入侵防御、统一威胁管理、抗DDoS、VPN、云WAF。

启明星辰：主要业务领域防火墙、 络隔离、入侵检测/入侵防御、统一威胁管理、抗DDoS、数据库安全、数据防泄漏、漏洞扫描、SOC&NGSOC以及评估加固和安全运维服务。

深信服：主要业务领域，防火墙、统一威胁管理、上 行为管理、VPN、移动终端安全等。

绿盟科技：主要业务领域，防火墙、入侵检测/入侵防御、统一威胁管理、主机安全(配置核查、主机防护)、抗DDoS、数据库安全、漏洞扫描、Web应用扫描与监控、Web应用防火墙以及安全咨询、评估加固和安全运维等服务。

360企业安全：主要业务领域防火墙、 络隔离、终端检测响应EDR、Web应用扫描与监控、云WAF、移动APP安全、威胁情 、安全大数据分析(APT)、SOC&NGSOC，并提供渗透测试等服务。

亚信安全：主要业务领域，统一威胁管理、主机安全(配置核查、主机防护)、终端防护&防病毒、数据防泄露、堡垒机/运维安全、移动终端安全、反钓鱼、SOC&NGSOC。

卫士通：主要业务领域：防火墙、入侵检测/入侵防御、VPN、数据加密、文档安全、加密机。

天融信：主要业务领域，防火墙、 络隔离、入侵检测/入侵防御、上 行为管理、VPN以及评估加固和安全运维等服务。

华三通信：主要业务领域防火墙、入侵检测/入侵防御、统一威胁管理和VPN。

安恒：主要业务领域数据库安全、Web应用扫描与监控、Web应用防火墙、大数据分析(态势感知)、等级保护工具等。