在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,尽量摘取其官方网站的说明:
同时说明下:本排序不代表本人眼中的厂商或工具实力排名。
1. Rational AppScan
IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)等方面安全漏洞的扫描。
游侠标注:AppScan不但可以对WEB进行安全评估,更重要的是导出的报表相当实用,也是国外产品中唯一可以导出中文报告的产品,并且可以生成各种法规遵从报告,如 27001、OWASP 2007等。
2. WebInspect
目前,许多复杂的 Web 应用程序全都基于新兴的 技术,HP WebInspect 可以对这些应用程序执行 Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。
它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核 (simultaneous crawl and audit, SCA) 及并发应用程序扫描,您可以快速而准确地自动执行 Web 应用程序安全测试和 Web 服务安全测试。
主要功能:
·利用创新的评估技术检查 Web 服务及 Web 应用程序的安全
·自动执行 Web 应用程序安全测试和评估
·在整个生命周期中执行应用程序安全测试和协作
·通过最先进的用户界面轻松运行交互式扫描
·满足法律和规章符合性要求
·利用高级工具 (HP Security Toolkit) 执行渗透测试
·配置以支持任何 Web 应用程序环境
标注:毫无疑问的,WebInspect的扫描速度相当让人满意。
3.Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner是一款自动的Web应用安全性测试工具,它能够通过发现Web应用的Hacking弱点来监测你的网站。自动扫描能够更快速有效的对你的网站和Web应用进行深度测试。
大约有70%的网站存在安全隐患,这些漏洞可能会导致信用卡信息或客户列表等敏感的公司数据被盗。
对web应用hacking来说,,和锁定的几乎是无用的。
从80/443端口发起的针对web application的攻击,能够直接穿过防火墙,越过和网络级的安全措施,到达您的应用的心脏和数据。类的web应用通常都没用作足够的测试,有隐藏的弱点,及易受到攻击。
Acunetix具有领先的web应用安全扫描技术:我们的工程师从1997年开始就专注于网站分析和弱点侦测。Acunetix Web Vulnerability Scanner包括许多开创性的功能:
·自动的Javascript分析器可以测试Ajax和Web2.0的应用,
·行业内最先进,最深入的SQL注入和跨站点脚本测试,
·Visual macro recorder使Web form和密码保护区域测试更容易,
·扩展的报表工具包括VISA PCI compliance报表,
·多线程和快速扫描工具能够轻松检验成千上万的页面,
·智能的Crawler能够探测的种类和应用的编程语言,
·Acunetix 可以探测和分析网站上的Flash内容,SOAP和AJAX。
4.绿盟极光远程安全评估系统-Web应用扫描
绿盟远程安全评估系统Web应用扫描增强模块,是绿盟科技研究团队多年深入研究当前各种流行的Web攻击手段的技术结晶,是专门面向 Web 应用安全管理员进行专业安全评估及检测的自动化工具。可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析,全面发现各类安全隐患,提出针对性的修复建议,以及形成多种符合法规、行业标准的报告。
5.安恒信息MatriXay明鉴WEB应用弱点扫描器
明鉴WEB应用弱点扫描器(简称:MatriXay 3.6)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页检测功能。因此,被评价为“最佳的WEB安全评估工具”。
作为公安部等级保护测评中心专用应用安全测评工具,安全中心运营商安全Web和安全检查工具,MatriXay 3.6 (2009版)可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。
6.安域领创WebRavor
新一代应用安全扫描工具WebRavor,全面超越现有的此类工具,是目前世界上最好的商业级安全产品,被客户评价为“技术和艺术的完美结晶”,并且已经取得多项专利保护(200920105886.0/200910078545.3)。
安域领创的团队具有丰富的实施和规划经验,从2001年开始就参与规划和实施多种类型的安全咨询和服务项目,遍及政府、金融、电信、移动、等国内各大行业客户。
WebRavor是在深入研究分析WEB应用系统中典型安全漏洞及流行攻击技术的基础上,由国内顶尖团队开发的一款WEB应用安全评估产品。研发及测试时间历经4年,经过10万多个真实系统的测试,是目前业界最强悍的专注于WEB应用安全弱点的评估工具。
WebRavor在2006年8月的世界安全大会BlackHat和Def—Con上发布后,被评价为“最佳的WEB安全评估工具”。
游侠标注:WebRavor的作者是中国第一代的代表人物,写“流光”的作者“小榕”。
7.诺赛科技Jsky/Pangolin
JSky Web应用安全漏洞扫描系统是一款简明易用的自动化Web漏洞扫描与漏洞利用平台。帮你发现并解决现有Web系统中存在的安全隐患;杜绝黑客攻击;保护企业核心资产。
诺赛科技为您提供专业且全面的安全解决。JSky作为自动化的Web应用漏洞扫描软件模拟“攻击者”给你全方位的视角和完善的建议。让你对者的操作一目了然,从而制定有针对性的防护方案。
JSky不只是告诉您这里有漏洞,同时也能通过实际操作告诉您这种漏洞会导致什么样的后果:企业会否由于该漏洞发生数据泄漏?数据丢失?网站挂马?无论您后台数据库是MSSQL、、抑或是大型的、Informix、DB2系统,我们都能通过简单的操作进行深入的渗透测试。包括读系统敏感文件、写文件、读取数据库信息、执行系统命令、权限提升、上传木马后门等等一系列的操作。
向导式的操作,能让您瞬间成为Web应用安全专家。
游侠标注:诺赛科技有大牛zwell的支撑,同时有Pangolin穿山甲SQL注入评估软件、iiScan在线WEB安全评估平台,也是非常有实力的公司。
8.知道创宇“知道网站安全体检中心”
知道创宇成立于2007年,是中国唯一全球安全服务提供商。知道创宇专注于WEB安全,致力于提供产品、技术、服务来改善日益恶化的中国安全环境。
知道网站安全体检中心(在线WEB安全评估系统):
·网站内容监控:出现敏感关键字立刻通知您!
·免费挂马监控:第一时间向您发出挂马警告!
·网站安全检测:SQL注入、XSS跨站漏洞检测!
·屏蔽通知:发站被谷歌屏蔽向您发出报警!
·ICP 备案检测:对的完整性进行检验!
9.智恒联盟WebPecker网站整体威胁检测系统
“网站啄木鸟”是北京智恒联盟科技有限公司技术研究团队多年深入研究当前各类流行Web攻击手段(如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等)的经验结晶。该系统是目前国内最早的一款商业化Web安全检查系统,通过本地检测技术与远程检测技术相结合,对网站进行全面的、深入的、彻底的风险评估,综合性的规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术,使得相比国内外同类产品智能化程度高,速度快,误报率极低。
经过数百个用户的实践证明,“网站啄木鸟”是Web安全性价比最高的产品,相比国外的Web安全扫描产品来说,速度快,具备紧密跟踪国内最页木马的快速响应及更新能力;相比国内的Web安全扫描产品来说,功能多,结果准,该系统是我国等级保护测评以及网站安全保密检查必备软件系统。
10. Syhunt Sandcat
Sandcat是一款远程网络应用程序安全评估扫描器。它允许你以黑客的视角扫描最常见的网络应用程序缺陷。Sandcat在远程分析WEB应用程序存在的问题,包括但不仅限于:如:SQL注入、XSS等。
SandCat有Free版和Pro版,前者可以免费下载。
除了上述产品,其实国内、国外还有很多不错的产品或服务,如:Safe3 Web Vul Scanner、启明星辰安星远程网站安全检查服务、发布的开源WEB扫描器Skipfish、Watcher、N-Stealth等。