安全掃描工具可以分為系統(tǒng)掃描工具與應(yīng)用掃描工具。安全掃描工具可以很好地發(fā)現(xiàn)網(wǎng)絡(luò)空間中主機(jī)或者應(yīng)用的安全漏洞。因此，借助于安全掃描工具，我們可以更好地對(duì)網(wǎng)絡(luò)空間中的主機(jī)或者應(yīng)用的安全漏洞進(jìn)行漏洞處置，從而使網(wǎng)絡(luò)空間中的資產(chǎn)更加安全。

1、系統(tǒng)掃描工具

系統(tǒng)掃描工具主要是針對(duì)網(wǎng)絡(luò)中系統(tǒng)軟件的脆弱性進(jìn)行信息安全評(píng)估，及時(shí)發(fā)現(xiàn)安全漏洞并給出安全漏洞的安全建議。以前的系統(tǒng)掃描工具有流光及Hscan等，現(xiàn)在的系統(tǒng)掃描工具有Nessus等。

（1）Nessus

Nessus是目前全球使用最多的針對(duì)主機(jī)的安全漏洞掃描工具之一。Nessus受到全球27000多個(gè)組織的信任，它是主機(jī)脆弱性評(píng)估的標(biāo)準(zhǔn)工具，如圖1所示。

圖1  Nessus

（2）Hscan

Hscan是一款使用簡(jiǎn)單、功能十分強(qiáng)大的偏向于系統(tǒng)的安全掃描工具，它可對(duì)主機(jī)系統(tǒng)的漏洞及弱口令等進(jìn)行安全的檢測(cè)和修復(fù)，其掃描的范圍包括主機(jī)名、端口、中間件、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)設(shè)備等，如圖2所示。

圖2  Hscan

2、應(yīng)用掃描工具

應(yīng)用掃描工具主要針對(duì)網(wǎng)絡(luò)中應(yīng)用軟件的脆弱性進(jìn)行信息安全評(píng)估，及時(shí)發(fā)現(xiàn)安全漏洞并給出安全漏洞的安全建議。以前的應(yīng)用掃描工具有X-Scan及JSky等，現(xiàn)在的應(yīng)用掃描工具有AWVS、AppScan及Netsparker等。

（1）AWVS

AWVS全稱(chēng)為Acunetix Web Vulnerability Scanner，它是一款知名的應(yīng)用漏洞掃描工具，它通過(guò)網(wǎng)絡(luò)爬蟲(chóng)檢測(cè)網(wǎng)站應(yīng)用的安全性，可檢測(cè)流行的應(yīng)用漏洞。AWVS工具如圖3所示。

圖3  AWVS

（2）AppScan

AppScan是一個(gè)應(yīng)用安全漏洞掃描工具，與AWVS類(lèi)似。AppScan安全漏洞掃描輸出的報(bào)告很全面，漏洞的安全建議也很完善，如圖4所示。

圖4  AppScan

（3）Netsparker

Netsparker是一個(gè)檢測(cè)能力十分強(qiáng)大的開(kāi)放的Web應(yīng)用掃描工具。它可用來(lái)發(fā)現(xiàn)Web應(yīng)用中的SQL注入漏洞及跨站腳本漏洞等，大大方便滲透測(cè)試人員快速檢查網(wǎng)站的安全性。Netsparker完全支持基于Ajax與JavaScript的應(yīng)用，并且可掃描任意類(lèi)型的Web應(yīng)用，無(wú)論其構(gòu)建的技術(shù)如何。Netsparker工具如圖5所示。

圖5  Netsparker

（4）X-Scan

X-Scan安全掃描工具的漢化版是被傾力打造的一款十分強(qiáng)大的偏向于應(yīng)用的安全掃描工具。X-Scan安全掃描工具采用多線(xiàn)程方式對(duì)指定IP地址范圍進(jìn)行安全檢測(cè)。X-Scan提供命令行與圖形界面兩種操作方式，其圖形界面如圖6所示。

圖6  X-Scan圖形界面操作方式