最受欢迎的十大WEB应用安全评估系统

最受欢迎的十大WEB应用安全评估系统在国内一些网站上经常看到文章说某某 WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。当然，毫无疑问的，几乎都是商业软件，并且为了描述更准确，游侠尽量摘取其官方网站的说明：1.IBMRationalAppScanIBM公司推出的IBMRationalAppScan产品是业界领先的应用安全测试工具，曾以WatchfireAppScan的名称享誉业界。RationalAppScan可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的 Web应用安全漏洞，例如SQL注入(SQL-injection)、跨站点脚本攻击(cross-sitescripting、及缓冲溢出(bufferoverflow、等方面安全漏洞的扫描。游侠标注：AppScan不但可以对WEB进行安全评估，更重要的是导出的报表相当实用，

也是国外产品中唯一可以导出中文报告的产品，并且可以生成各种法规遵从报告，如 ISO27001、OWASP2007等。2.HPWebInspect

M£44Vf^TfAHat**** *W」I-J?F"*Vr=ri^ftRfcrjfcjfc-■jtrF !■'・"}«■□“『•■";M*：M百.「円-*f**h"4IMCr*w-I砂>討El■*F卜EuvrM£44Vf^TfAHat**** *W」I-J?F"*Vr=ri^ftRfcrjfcjfc-■jtrF !■'・"}«■□“『•■";M*：M百.「円-*f**h"4IMCr*w-I砂>討El■*F卜Euvr配2mhrftt■CrMni¥u<^]aSun"HJlmRMmng•$叭1hiLiwi■治宀血哼IW4H电弋曲十・町词?|—Lh|.<1f冲叭，"a威F40酉灯hrrtp~*r>•f点¥■M<B(MFJT|庐・14ZHMn«*l*A^E如JEb”*d*■•严gvtarSc*"?!Ekx^dhflL^J!©y3#TJ!0"目前，许多复杂的Web应用程序全都基于新兴的 Web2.0技术，HPWeblnspect可以对这些应用程序执行 Web应用程序安全测试和评估。 HPWebInspect可提供快速扫描功能、广泛的安全评估范围及准确的 Web应用程序安全扫描结果。它可以识别很多传统扫描程序检测不到的安全漏洞。 利用创新的评估技术，例如同步扫描和审核(simultaneouscrawlandaudit,SCA)及并发应用程序扫描，您可以快速而准确地自动执行Web应用程序安全测试和Web服务安全测试。主要功能：•利用创新的评估技术检查 Web服务及Web应用程序的安全•自动执行Web应用程序安全测试和评估•在整个生命周期中执行应用程序安全测试和协作•通过最先进的用户界面轻松运行交互式扫描•满足法律和规章符合性要求•利用高级工具 (HPSecurityToolkit)执行渗透测试•配置以支持任何 Web应用程序环境游侠标注：毫无疑问的， WebInspect的扫描速度相当让人满意。3.AcunetixWebVulnerabilityScanner严 右—Mt:LWra*Mw^hrnlfMTwhCM^pmlivntMi~Hj1n.m.J_MrRlruHSUiVHtorMl^齐VWatSMrfHiPQtwiMHlOftT*r«ad]4M^cA*1K.IM恬ItfMTwhCM^pmlivntMi~Hj1n.m.J_MrRlruHSUiVHtorMl^齐VWatSMrfHiPQtwiMHlOftT*r«ad]4M^cA*1K.IM恬It刖J ■*^V'b|3AAh 440%'^44 0^*tfi Ag^hfi1fit》鼻稣 ddHr-fkm44|(Q•“* 上■乎丹J>*Jjiein代皿i|^rfWi.E?*pEna* •[口•jF*teed*■*«"£・0^护4a*d« 1CU.Xummu.wwmf0*rtFhfew!g•^tpHdMn■・■*nrL«如修tatawtH»■■94/*»jeihM^I=•*nnww・■*甲,1力•R*a»fWcW*QQA»«V3jW» 曲«9 Cfrp^wvwfenpivCMriwvAtv*0iGw* 知审"Af*i*r科i・/Em>v4vTv1-iMiSLiCAJM!■■<!!iiftB8(1D■tau■」询.n*F*hJvfiWwfiA泗mi fij孕.flpi ■■4arrimwdfDj-0frdfaanHh厲0WiAfel缶鼻 ・Blo^MIF*CMITlMMdI|Mtp-i1192.1MD.2S.WjAiar\li^rmtftoftAcunetixWebVulnerabilityScanner是一款自动的Web应用安全性测试工具，它能够通过发现Web应用的Hacking弱点来监测你的网站。自动扫描能够更快速有效的对你的网站和Web应用进行深度测试。大约有70%的网站存在安全隐患，这些漏洞可能会导致信用卡信息或客户列表等敏感的公司数据被盗。对web应用hacking来说，防火墙，SSL和锁定的服务器几乎是无用的。从80/443端口发起的针对webapplication的攻击，能够直接穿过防火墙，越过操作系统和网络级的安全措施，到达您的应用的心脏和企业数据。模块类的 web应用通常都没用作足够的测试，有隐藏的弱点，及易受到攻击。Acunetix具有领先的web应用安全扫描技术：我们的工程师从 1997年开始就专注于网站分析和弱点侦测。 AcunetixWebVulnerabilityScanner包括许多开创性的功能：•自动的Javascript分析器可以测试Ajax和Web2.0的应用，•行业内最先进，最深入的 SQL注入和跨站点脚本测试，Visualmacrorecorder使Webform和密码保护区域测试更容易，•扩展的报表工具包括VISAPCIcomplianee报表，•多线程和快速扫描工具能够轻松检验成千上万的页面，•智能的Crawler能够探测Web服务器的种类和应用的编程语言，Acunetix可以探测和分析网站上的 Flash内容，SOAP和AJAX4•绿盟极光远程安全评估系统-Web应用扫描WWiTlBi 1MWJ■**$朋9削调tn»EWWiTlBi 1MWJ■**$朋9削调tn»E肺屮)®MClaShewiipCD~®«na(1l蠹口o朗n\■isahaiB豊弭仆mc(llIfill： t|MspLMI.it.tii])h|iet|dx- 疋 3HN1■ih«Bnr|K.cfH>*u*"*■ •■™ ;>|r.4阳JRLF4p#* ;,讀*诽年刚)|护1(¥0»£剛141**口tna=怡3E輛3<LLnpft3E4fc皑dotutwflltpokwffietiaihcp-r*- 了忧亟p虹皿■邛耳艸hgzi£4。枇iMd=1&护凯a|=%?E^3Ct-cnpftSEi-mMcunn-enScOOK►-$cHW-r*f»i(»curwsni p)咻<#1亦un[.- ',*帕山・"曲kmrFc补林CVM^PXk'mMllZ^METHODWnilRLhEp护 ■'标种临1单$1^・獰牝14*如曲曲#常60%加耳£$备PA链匚iD^OO%>DJ%&5thirridW1H：：•:「Mt^tCItSh叶Mp阳4・lxnw«80聲F0%C4WDA%rilKOC '-：icnpt'ziflMtdixumt^l(q0*441-.'(c帕卜0^*--Hr-<o•冷曰川.：—的0<A:: ■■:T---：i^绿盟远程安全评估系统Web应用扫描增强模块，是绿盟科技研究团队多年深入研究当前各种流行的Web攻击手段的技术结晶，是专门面向 Web应用安全管理员进行专业安全评估及检测的自动化工具。可以进行 Web应用、Web服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析， 全面发现各类安全隐患， 提出针对性的修复建议， 以及形成多种符合法规、行业标准的报告。5•安恒信息MatriXay明鉴WEB应用弱点扫描器BatrIXayWebScan2_顼目时漏辑⑧视图妁工貝A）报表®帮助EIPJ网站列表-□审阀站列表J?rosyS«rver-□审阀站列表J?rosyS«rverJMtp：//192.158.3.2iJhttp://ig2.15B3.2L,...i计

is用尸管理网站列表管理计划枉务i计

is明鉴WEB应用弱点扫描器（简称： MatriXay3.6）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品 1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布，2.0版本于2007年12月发布，并在08奥运WEB安全保障中发挥了重要的作用。 与市场上同类产品的不同之处在于： 不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。因此，被评价为“最佳的WEB安全评估工具”。作为公安部等级保护测评中心专用应用安全测评工具， 工信部安全中心运营商安全Web和数据库安全检查工具， MatriXay3.6（2009版）可以帮助用户充分了解 WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类 WEB应用攻击的能力（如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等）。同时，安恒信息拥有国内领先的 WEB在线扫描平台，详情参照：6•安域领创WebRavor攻目0](004)：BONU50lfcWEB-p]http:/；demo.webra/-1353ORA匚11_CHAR_TYPE_1三ELu +00(004攻目0](004)：BONU50lfcWEB-p]http:/；demo.webra/-1353ORA匚11_CHAR_TYPE_1三ELu +00(004):LONL-00(003)：AATf冈酉NAME□□ID0QCONTEW□HAANEW500AASH1DIAN-0HORAriE_OR_CHW0>“http:/Jdemo.wet（6口8）子1庄6”旧自IT严=a%；rir；门二”3亠）"匚油kr）硕;从浏览黑打开f)ICauinotdistingru*)Fuz2injgcontentofiICamnot*)GetCDlmrincount,of疤tColumn匚ount-ofAATCK*}GetColumncounto£A(il^tlTUTUjLS身扮■认证（E）…7在检测bittp7/demo.webravor.cof页面11示信息（D…扫描审计港透加入扫描例外圖…耳上17匚LilTEilf ^2概览(Q)-.序,，审匚ONTENTDependDnPolicy被动模式扫描■弱直列表扌娄制合任务管理新一代应用安全扫描工具商业级安全产品，被客户评价为“技术和艺术的完美结晶”WebRavor,新一代应用安全扫描工具商业级安全产品，被客户评价为“技术和艺术的完美结晶”，并且已经取得多项专利保护（200920105886.0/200910078545.3）。安域领创的安全服务团队具有丰富的实施和规划经验，从 2001年开始就参与规划和实施多种类型的安全咨询和服务项目，遍及政府、金融、电信、移动、联通等国内各大行业客户。WebRavor是在深入研究分析WEB应用系统中典型安全漏洞及流行攻击技术的基础上，由国内顶尖团队开发的一款 WEB应用安全评估产品。研发及测试时间历经 4年，经过10万多个真实系统的测试，是目前业界最强悍的专注于 WEB应用安全弱点的评估工具。WebRavor在2006年8月的世界安全大会BlackHat和Def—Con上发布后，被评价为“最佳的WEB安全评估工具”。游侠标注：WebRavor的作者是中国第一代黑客的代表人物， 写“流光”的作者“小榕”。请参考游侠写的：7.诺赛科技Jsky/Pangolin

JSkyWeb应用安全漏洞扫描系统是一款简明易用的自动化 Web漏洞扫描与漏洞利用平台。帮你发现并解决现有Web系统中存在的安全隐患；杜绝黑客攻击；保护企业核心资产。诺赛科技为您提供专业且全面的安全解决方案。 JSky作为自动化的Web应用漏洞扫描软件模拟“攻击者”给你全方位的视角和完善的建议。让你对入侵者的操作一目了然， 从而制定有针对性的防护方案。JSky不只是告诉您这里有漏洞，同时也能通过实际操作告诉您这种漏洞会导致什么样的后果：企业会否由于该漏洞发生数据泄漏？数据丢失？网站挂马？无论您后台数据库是MSSQLMYSQLOracle抑或是大型的SybaseInformix、DB2系统，我们都能通过简单的操作进行深入的渗透测试。包括读系统敏感文件、写文件、读取数据库信息、执行系统命令、权限提升、上传木马后门等等一系列的操作。向导式的操作，能让您瞬间成为 Web应用安全专家。游侠标注：诺赛科技有大牛zwell的支撑，同时有Pangolin穿山甲SQL注入评估软件、iiScan在线WEB安全评估平台，也是非常有实力的公司。其 iiScan在线WEB安全评估平台请见：8•知道创宇“知道网站安全体检中心”WEB知道创宇成立于2007年，是中国唯一微软全球安全服务提供商。知道创宇专注于安全，致力于提供产品、技术、服务来改善日益恶化的中国互联网安全环境。WEB知道网站安全体检中心（在线 WEB安全评估