01sqlmap
SQLmap 是一款用来检测与利用 SQL 注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。
官网:https://sqlmap.org/
02Nessus
Nessus 号称是世界上最流行的漏洞扫描程序,全世界有超过 75000 个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。 Nessus 不同于传统的漏洞扫描软件,Nessus 可同时在本机或远端上遥控,进行系统的漏洞分析扫描。 对应渗透测试人员来说, Nessus 是必不可少的工具之一。
官网:https://www.tenable.com
03Nikto
Nikto 是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过 3300 种有潜在危险的文件 CGIs;超过 625 种服务器版本;超过 230 种特定服务器问题。
官网:https://www.cirt.net/nikto2
04skipfish
谷歌创建的Web应用程序安全扫描程序,是一种活跃的Web应用程序安全侦察工具。它通过执行递归爬网和基于字典的探针为目标站点准备交互式站点扫描。然后使用许多活动(但希望无中断)安全检查的输出对结果映射进行注释。该工具生成的最终报告旨在作为专业 Web 应用程序安全评估的基础。
官网:https://code.google.com/archive/p/skipfish/
05AWVS
AWVS(Web Vulnerability Scanner)是一个自动化的 Web 应用程序安全测试工具,它可以扫描任何可通过 Web 浏览器访问的和遵循 HTTP/HTTPS 规则的 Web 站点和 Web 应用程序。 适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的 Web 网站。 WVS 可以通过检查 SQL 注入攻击漏洞、跨站脚本攻击漏洞等来审核 Web 应用程序的安全性。 它可以扫描任何可通过 Web 浏览器访问的和遵循 HTTP/HTTPS 规则的 Web 站点和 Web 应用程序。
官网:https://www.acunetix.com/
06appscan
IBM Security AppScan是 IBM 的 Rational 软件部门的一组网络安全测试和监控工具。 AppScan 旨在在开发过程中对 Web 应用程序的安全漏洞进行测试。该产品学习每个应用程序的行为,无论是现成的或是内部开发的应用程序;该产品还开发了一个程序,用来测试应用程序所有功能的常见的和特定的安全漏洞。
官网:https://www.ibm.com
07owasp-ZAP
OWASP Zed Attack Proxy 攻击代理服务器是世界上最受欢迎的免费安全工具之一。ZAP 可以帮助我们在开发和测试应用程序过程中,自动发现 Web 应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。
官网:https://www.zaproxy.org/download/
08OpenVAS
OpenVAS漏洞扫描器是一种漏洞分析工具,由于其全面的特性,可以使用它来扫描服务器和网络设备。这些扫描器将通过扫描现有设施中的开放端口、错误配置和漏洞来查找IP地址并检查任何开放服务。扫描完成后,将自动生成报告并以电子邮件形式发送,以供进一步研究和更正。OpenVAS也可以从外部服务器进行操作,从黑客的角度出发,从而确定暴露的端口或服务并及时进行处理。如果您已经拥有一个内部事件响应或检测系统,则OpenVAS将帮助您使用网络渗透测试工具和整个警报来改进网络监控。
官网:https://www.openvas.org/
09Comodo HackerProof
Comodo HackerProof是另一款领先的最佳漏洞扫描程序,它具有强大的功能,可让IT部门每天扫描其漏洞。特有的PCI扫描选项,防止驱动攻击和站点检查器技术,有助于下一代网站扫描。除了这些,Comodo还提供了一个指标,让用户在与其互动时感到安全。
官网:https://www.comodo.com
010Nexpose
Nexpose community是由Rapid7公司开发的漏洞扫描工具,它也是一个开源解决方案,能够较全面满足大多数网络系统的安全检查要求。该解决方案具有较好的通用性,并可以集成到Metasploit框架中,对各种类型访问网络的新设备进行安全检测和扫描。它还能够监视暴露在现实世界中的漏洞,并根据威胁的后果进行优先级分析,为威胁提供了风险评分,范围在1-1000之间,从而大幅提升漏洞管理的效率。
官网:https://www.rapid7.com
011Retina
Retina CS是eEye Digital Security公司推出的一款强大的漏洞检测工具,它可以帮助用户快速发现网络中的安全漏洞,并且可以有效地防止安全攻击。Retina CS可以应用于企业网络安全管理,可以帮助企业快速发现网络中的安全漏洞,从而有效地防止安全攻击,保障网络安全。此外,Retina CS还可以用于系统安全审计,可以帮助企业快速发现系统中的安全漏洞,从而及时修复安全漏洞,保障系统的安全。
官网:https://www.beyondtrust.com/
012Vulnerability Manager Plus
Vulnerability Manager Plus是一个端到端的漏洞管理和合规检查解决方案,支持多个操作系统,提供内置的修复程序,通过统一的控制台,对风险和漏洞进行全面扫描、持续监测、严格评估,和完整修复。Vulnerability Manager Plus是分布式办公模式的最佳选择,无论是局域网(LAN)、广域网(WAN),还是隔离区(DMZ),甚至是漫游中的终端,都可以使用Vulnerability Manager Plus保证工作环境的安全。
官网:https://www.manageengine.cn/
013Tripwire IP360
Tripwire IP360主动发现、分析和评估资产的漏洞风险,可以作为您漏洞管理 (VM) 计划的基本解决方案。它可以快速检测漏洞、精细化风险优先级以及补救管理。
官网:https://www.tripwire.com/