1. Burp Suite （免費）

Burp Suite 其實是一個平臺，包含不同類型的工具，相互間有許多接口，連接便利，能加快滲透應用程序的進程。不同的工具共享相同的框架，用于顯示和處理 HTTP 消息、身份驗證、耐久性、日志記錄、警報、代理和可擴展性。

[[243092]]

Burp Suite 需要付費，但也有免費試用版可以使用，適用于 Linux、MAC OS X 和 Windows 操作系統(tǒng)。

2. Nikto （免費）

Nikto 是一個開放源代碼的 Web 服務(wù)器掃描程序，可以在 Web 服務(wù)器上執(zhí)行超過 6700 個潛在危險文件和程序的測試。也可在超過 2700 臺服務(wù)器上檢查 1250 多個舊服務(wù)器的版本和特定的版本問題。此外，Nikto 還可檢查服務(wù)器配置項目（如多個索引文件、HTTP 服務(wù)器選項等），還能嘗試識別已安裝的軟件和 Web 服務(wù)器。其插件和掃描項目經(jīng)?？梢宰詣痈?。

其具體功能包括 SSL 支持；完整的 HTTP 代理支持；檢查過時的服務(wù)器組件；以XML、HTML、CSV 或 NBE 等各種格式保存報告；通過使用模板引擎輕松自定義報告；通過輸入文件在服務(wù)器或多服務(wù)器上掃描多個端口；識別通過頭文件、文件和圖標識別安裝的軟件；使用 NTLM 和 Basic 進行主機驗證；檢查常見的“parking”站點；在特定時間自動暫停等等。

雖然 Nikto 并不可隱藏蹤跡，卻可以在盡可能快的時間內(nèi)測試網(wǎng)絡(luò)服務(wù)器，還能支持 LibWhisker 的反 IDS方法。

其實，并非所有的檢查都是為了查找安全問題。但是安全工程師和網(wǎng)站管理員有時不知道他們的服務(wù)器上存在“僅檢查信息”類型的檢查。而通過使用 Nikto，這些“信息類型”的檢查會在打印出的信息中標記出來，還能掃描到另一些針對日志文件中未知項目的檢查。

Nikto 可免費使用。由于 Nikto 基于 perl，因此只在大多數(shù)安裝了 Perl 翻譯器的系統(tǒng)上運行。

3. Acunetix Web Vulnerability Scanner（簡稱AWVS）

是一款知名的網(wǎng)絡(luò)漏洞掃描工具，它通過網(wǎng)絡(luò)爬蟲測試你的網(wǎng)站安全，檢測流行安全漏洞，如交叉站點腳本,sql 注入等。在被黑客攻擊前掃描購物車，表格、安全區(qū)域和其他Web應用程序。75% 的互聯(lián)網(wǎng)攻擊目標是基于Web的應用程序。因為他們時常接觸機密數(shù)據(jù)并且被放置在防火墻之前。

WVS如何工作

WVS擁有大量的自動化特性和手動工具，總體而言，它以下面的方式工作：

1.它將會掃描整個網(wǎng)站，它通過跟蹤站點上的所有鏈接和robots.txt（如果有的話）而實現(xiàn)掃描。然后WVS就會映射出站點的結(jié)構(gòu)并顯示每個文件的細節(jié)信息。

2.在上述的發(fā)現(xiàn)階段或掃描過程之后，WVS就會自動地對所發(fā)現(xiàn)的每一個頁面發(fā)動一系列的漏洞攻擊，這實質(zhì)上是模擬一個黑客的攻擊過程。WVS分析每一個頁面中可以輸入數(shù)據(jù)的地方，進而嘗試所有的輸入組合。這是一個自動掃描階段。

3.在它發(fā)現(xiàn)漏洞之后，WVS就會在“Alerts Node（警告節(jié)點）”中報告這些漏洞。每一個警告都包含著漏洞信息和如何修復漏洞的建議。

4.在一次掃描完成之后，它會將結(jié)果保存為文件以備日后分析以及與以前的掃描相比較。使用報告工具，就可以創(chuàng)建一個專業(yè)的報告來總結(jié)這次掃描。