同時說明下:本排序不代表遊俠(www.youxia.org)眼中的廠商或工具實力排名。
---------- start -----www.youxia.org-----
1.IBM Rational AppScan
IBM公司推出的IBM Rational AppScan產品是業界領先的應用安全測試工具,曾以 Watchfire AppScan 的名稱享譽業界。Rational AppScan 可自動化 Web 應用的安全漏洞評估工作,能掃描和檢測所有常見的 Web 應用安全漏洞,例如 SQL 注入(SQL-injection)、跨站點腳本***(cross-site scripting)及緩衝溢出(buffer overflow)等方面安全漏洞的掃描。
遊俠標註:AppScan不但可以對WEB進行安全評估,更重要的是導出的報表相當實用,也是國外產品中唯一可以導出中文報告的產品,並且可以生成各種法規遵從報告,如ISO 27001、OWASP 2007等。
2.HP WebInspect
目前,許多複雜的 Web 應用程序全都基於新興的 Web 2.0 技術,HP WebInspect 可以對這些應用程序執行 Web 應用程序安全測試和評估。HP WebInspect 可提供快速掃描功能、廣泛的安全評估範圍及準確的 Web 應用程序安全掃描結果。
它可以識別很多傳統掃描程序檢測不到的安全漏洞。利用創新的評估技術,例如同步掃描和審覈 (simultaneous crawl and audit, SCA) 及併發應用程序掃描,您可以快速而準確地自動執行 Web 應用程序安全測試和 Web 服務安全測試。
主要功能:
·利用創新的評估技術檢查 Web 服務及 Web 應用程序的安全
·自動執行 Web 應用程序安全測試和評估
·在整個生命週期中執行應用程序安全測試和協作
·通過最先進的用戶界面輕鬆運行交互式掃描
·滿足法律和規章符合性要求
·利用高級工具 (HP Security Toolkit) 執行***測試
·配置以支持任何 Web 應用程序環境
遊俠標註:毫無疑問的,WebInspect的掃描速度相當讓人滿意。
3.Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner是一款自動的Web應用安全性測試工具,它能夠通過發現Web應用的Hacking弱點來監測你的網站。自動掃描能夠更快速有效的對你的網站和Web應用進行深度測試。
大約有70%的網站存在安全隱患,這些漏洞可能會導致信用卡信息或客戶列表等敏感的公司數據被盜。
對web應用hacking來說,防火牆,SSL和鎖定的服務器幾乎是無用的。
從80/443端口發起的針對web application的***,能夠直接穿過防火牆,越過操作系統和網絡級的安全措施,到達您的應用的心臟和企業數據。模塊類的web應用通常都沒用作足夠的測試,有隱藏的弱點,及易受到***。
Acunetix具有領先的web應用安全掃描技術:我們的工程師從1997年開始就專注於網站分析和弱點偵測。Acunetix Web Vulnerability Scanner包括許多開創性的功能:
·自動的Javascript分析器可以測試Ajax和Web2.0的應用,
·行業內最先進,最深入的SQL注入和跨站點腳本測試,
·Visual macro recorder使Web form和密碼保護區域測試更容易,
·擴展的報表工具包括VISA PCI compliance報表,
·多線程和快速掃描工具能夠輕鬆檢驗成千上萬的頁面,
·智能的Crawler能夠探測Web服務器的種類和應用的編程語言,
·Acunetix 可以探測和分析網站上的Flash內容,SOAP和AJAX。
4.綠盟極光遠程安全評估系統-Web應用掃描
綠盟遠程安全評估系統Web應用掃描增強模塊,是綠盟科技研究團隊多年深入研究當前各種流行的Web***手段的技術結晶,是專門面向 Web 應用安全管理員進行專業安全評估及檢測的自動化工具。可以進行Web應用、Web 服務及支撐系統等多層次全方位的安全漏洞掃描、審計和輔助邏輯分析,全面發現各類安全隱患,提出針對性的修復建議,以及形成多種符合法規、行業標準的報告。
5.安恆信息MatriXay明鑑WEB應用弱點掃描器
明鑑WEB應用弱點掃描器(簡稱:MatriXay 3.6)是安恆安全專家團隊在深入分析研究B/S架構應用系統中典型安全漏洞以及流行***技術基礎上研製而成,該產品1.0版本於2006年8月世界安全大會BlackHat和Def-Con上首次發佈,2.0版本於2007年12月 發佈,並在08奧運WEB安全保障中發揮了重要的作用。與市場上同類產品的不同之處在於:不僅具有非凡的掃描功能,還提供了強大的***測試、網頁***檢測功能。因此,被評價爲“最佳的WEB安全評估工具”。
作爲公安部等級保護測評中心專用應用安全測評工具,工信部安全中心運營商安全Web和數據庫安全檢查工具,MatriXay 3.6 (2009版)可以幫助用戶充分了解WEB應用存在的安全隱患,建立安全可靠的WEB應用服務,改善並提升應用系統抗各類WEB應用***的能力(如:注入***、跨站腳本、釣魚***、信息泄漏、惡意編碼、表單繞過、緩衝區溢出等)。
同時,安恆信息擁有國內領先的WEB在線掃描平臺,詳情參照:
[網路遊俠:網上應用安全掃描平臺試用]
6.安域領創WebRavor
新一代應用安全掃描工具WebRavor,全面超越現有的此類工具,是目前世界上最好的商業級安全產品,被客戶評價爲“技術和藝術的完美結晶”,並且已經取得多項專利保護(200920105886.0/200910078545.3)。
安域領創的安全服務團隊具有豐富的實施和規劃經驗,從2001年開始就參與規劃和實施多種類型的安全諮詢和服務項目,遍及政府、金融、電信、移動、聯通等國內各大行業客戶。
WebRavor是在深入研究分析WEB應用系統中典型安全漏洞及流行***技術的基礎上,由國內頂尖團隊開發的一款WEB應用安全評估產品。研發及測試時間歷經4年,經過10萬多個真實系統的測試,是目前業界最強悍的專注於WEB應用安全弱點的評估工具。
WebRavor在2006年8月的世界安全大會BlackHat和Def—Con上發佈後,被評價爲“最佳的WEB安全評估工具”。
遊俠標註:WebRavor的作者是中國第一代***的代表人物,寫“流光”的作者“小榕”。請參考遊俠寫的:
[網路遊俠:WEB安全審計與***利器——WebRavor評估版試用]
7.諾賽科技Jsky/Pangolin
JSky Web應用安全漏洞掃描系統是一款簡明易用的自動化Web漏洞掃描與漏洞利用平臺。幫你發現並解決現有Web系統中存在的安全隱患;杜絕******;保護企業核心資產。
諾賽科技爲您提供專業且全面的安全解決方案。JSky作爲自動化的Web應用漏洞掃描軟件模擬“***者”給你全方位的視角和完善的建議。讓你對***者的操作一目瞭然,從而制定有針對性的防護方案。
JSky不只是告訴您這裏有漏洞,同時也能通過實際操作告訴您這種漏洞會導致什麼樣的後果:企業會否由於該漏洞發生數據泄漏?數據丟失?網站掛馬?無論您後臺數據庫是MSSQL、MYSQL、Oracle抑或是大型的Sybase、Informix、DB2系統,我們都能通過簡單的操作進行深入的***測試。包括讀系統敏感文件、寫文件、讀取數據庫信息、執行系統命令、權限提升、上傳***後門等等一系列的操作。
嚮導式的操作,能讓您瞬間成爲Web應用安全專家。
遊俠標註:諾賽科技有大牛zwell的支撐,同時有Pangolin穿山甲SQL注入評估軟件、iiScan在線WEB安全評估平臺,也是非常有實力的公司。其iiScan在線WEB安全評估平臺請見:
[張百川:WEB應用安全評估平臺iiScan測試]
8.知道創宇“知道網站安全體檢中心”
知道創宇成立於2007年,是中國唯一微軟全球安全服務提供商。知道創宇專注於WEB安全,致力於提供產品、技術、服務來改善日益惡化的中國互聯網安全環境。
知道網站安全體檢中心(在線WEB安全評估系統):
·網站內容監控:出現敏感關鍵字立刻通知您!
·免費掛馬監控:第一時間向您發出掛馬警告!
·網站安全檢測:SQL注入、XSS跨站漏洞檢測!
·谷歌屏蔽通知:發現網站被谷歌屏蔽向您發出報警!
·ICP 備案檢測:對網站備案的完整性進行檢驗!
關於該掃描平臺,請參照遊俠寫的測試文章:
[張百川:“知道”網站安全體檢初體驗]
9.智恆聯盟WebPecker網站整體威脅檢測系統
“網站啄木鳥”是北京智恆聯盟科技有限公司技術研究團隊多年深入研究當前各類流行Web***手段(如網頁掛馬***、SQL注入漏洞、跨站腳本***等)的經驗結晶。該系統是目前國內最早的一款商業化Web安全檢查系統,通過本地檢測技術與遠程檢測技術相結合,對網站進行全面的、深入的、徹底的風險評估,綜合性的規則庫(本地漏洞庫、ActiveX庫、網頁***庫、網站代碼審計規則庫等)以及業界最爲領先的智能化爬蟲技術及SQL注入狀態檢測技術,使得相比國內外同類產品智能化程度高,速度快,誤報率極低。
經過數百個用戶的實踐證明,“網站啄木鳥”是Web安全性價比最高的產品,相比國外的Web安全掃描產品來說,速度快,具備緊密跟蹤國內最新網頁***的快速響應及更新能力;相比國內的Web安全掃描產品來說,功能多,結果準,該系統是我國等級保護測評以及網站安全保密檢查必備軟件系統。
10. Syhunt Sandcat
Sandcat是一款遠程網絡應用程序安全評估掃描器。它允許你以***的視角掃描最常見的網絡應用程序缺陷。Sandcat在遠程分析WEB應用程序存在的問題,包括但不僅限於:如:SQL注入、XSS等。SandCat有Free版和Pro版,前者可以免費下載。
---------- end -----www.youxia.org-----
除了上述產品,其實國內、國外還有很多不錯的產品或服務,如:Safe3 Web Vul Scanner、啓明星辰安星遠程網站安全檢查服務、Google發佈的開源WEB掃描器Skipfish、Watcher、N-Stealth等,大家也可以瞭解下。