十大Web服務器漏洞掃描程序【轉載】-學習

十大Web服務器漏洞掃描程序【轉載】-學習
 

http://server.51cto.com 

註釋：yanbinjia

其中用過 Paros proxy、ZAP效果都一般，達不到商用的效果，但是做web app簡單掃描是可以的，這兩個都是基於java開發的，這個對於java程序員來說是個利好，可以看看內部實現學習。（ZAP也屬於Paros的一個分支，另外據說OWASP的WebScarab比較不錯）

現在有許多消息令我們感到Web的危險性，因此，當前如何構建一個安全的Web環境成爲網管員和安全管理員們義不容辭的責任。但是巧婦難爲無米之炊，該選擇哪些安全工具呢?

掃描程序可以在幫助造我們造就安全的Web站點上助一臂之力，也就是說在***“黑”你之前，先測試一下自己系統中的漏洞。我們在此推薦十大Web漏洞掃描程序，供您參考。

1. Nikto

這是一個開源的Web服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900個服務器版本，還有250多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新並且可以自動更新(如果需要的話)。

Nikto可以在儘可能短的週期內測試你的Web服務器，這在其日誌文件中相當明顯。不過，如果你想試驗一下(或者測試你的IDS系統)，它也可以支持LibWhisker的反IDS方法。

不過，並非每一次檢查都可以找出一個安全問題，雖然多數情況下是這樣的。有一些項目是僅提供信息(“info only” )類型的檢查，這種檢查可以查找一些並不存在安全漏洞的項目，不過Web管理員或安全工程師們並不知道。這些項目通常都可以恰當地標記出來。爲我們省去不少麻煩。

2. Paros proxy

這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基於Java的web代理程序，可以評估Web應用程序的漏洞。它支持動態地編輯/查看HTTP/HTTPS，從而改變cookies和表單字段等項目。它包括一個Web通信記錄程序，Web圈套程序(spider)，hash 計算器，還有一個可以測試常見的Web應用程序***(如SQL注入式***和跨站腳本***)的掃描器。

3. WebScarab

它可以分析使用HTTP 和HTTPS協議進行通信的應用程序，WebScarab可以用最簡單地形式記錄它觀察的會話，並允許操作人員以各種方式觀查會話。如果你需要觀察一個基於HTTP(S)應用程序的運行狀態，那麼WebScarabi就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題，還是允許安全專業人員識別漏洞，它都是一款不錯的工具。

4. WebInspect

這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助於確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，並會嘗試一些常見的Web***，如參數注入、跨站腳本、目錄遍歷***(directory traversal)等等。

5. Whisker/libwhisker

Libwhisker是一個Perla模塊，適合於HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP服務器，特別是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程序。

6. Burpsuite

這是一個可以用於***Web應用程序的集成平臺。Burp套件允許一個***者將人工的和自動的技術結合起來，以列舉、分析、***Web應用程序，或利用這些程序的漏洞。各種各樣的burp工具協同工作，共享信息，並允許將一種工具發現的漏洞形成另外一種工具的基礎。

7. Wikto

可以說這是一個Web服務器評估工具，它可以檢查Web服務器中的漏洞，並提供與Nikto一樣的很多功能，但增加了許多有趣的功能部分，如後端miner和緊密的Google集成。它爲MS.NET環境編寫，但用戶需要註冊才能下載其二進制文件和源代碼。

8. Acunetix Web Vulnerability Scanner

這是一款商業級的Web漏洞掃描程序，它可以檢查Web應用程序中的漏洞，如SQL注入、跨站腳本***、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，並且能夠創建專業級的Web站點安全審覈報告。

9. Watchfire AppScan

這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發週期都提供安全測試，從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞，如跨站腳本***、HTTP響應拆分漏洞、參數篡改、隱式字段處理、後門/調試選項、緩衝區溢出等等。

10. N-Stealth

N-Stealth是一款商業級的Web服務器安全掃描程序。它比一些免費的Web掃描程序，如Whisker/libwhisker、 Nikto等的升級頻率更高，它宣稱含有“30000個漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”，不過這種說法令人質疑。還要注意，實際上所有通用的VA工具，如Nessus， ISS Internet Scanner， Retina， SAINT， Sara等都包含Web 掃描部件。(雖然這些工具並非總能保持軟件更新，也不一定很靈活。)N-Stealth主要爲Windows平臺提供掃描，但並不提供源代碼。