Acunetix Web Vulnerability Scanner
  Acunetix Web Vulnerability Scanner是一个网站及
  服务器漏洞扫描软件,它包含有收费和免费两种版本。
  功能介绍:
  1) AcuSensor 技术
  2) 自动的客户端脚本分析器,允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。
  3) 业内先进且深入的 SQL 注入和跨站脚本测试
  4) 高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer
  5) 可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
  6) 支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
  7) 丰富的报告功能,包括 VISA PCI 依从性报告
  8) 高速的多线程扫描器轻松检索成千上万个页面
  9) 智能爬行程序检测 web 服务器类型和应用程序语言
  10) Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX
  11) 端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
  三、Web应用漏洞检测
  随着信息网络的发展,人们的信息安全意识日益提升,信息系统的安全防护措施也逐渐提高。通常在服务器的互联网边界处都会部署防火墙来隔离内外网络,仅仅将 外部需要的服务器端口暴露出来。采用这种措施可以大大的提高信息系统安全等级,对于外部攻击者来说,像关闭了所有无关的通路,仅仅留下一个必要入口。但 是仍然有一类安全问题无法避免,是web应用漏洞。
  目前的大多数应用都是采用B/S模式,由于服务器需要向外界提供web应用,http服务是无法关闭的。web应用漏洞是利用这个合法的通路,采用 SQL注入、跨站脚本、表单破解等应用攻击方式来获取服务器的高级权限。在目前的网络环境下,威胁大的漏洞形式是web应用漏洞,通常是攻击者攻陷服 务器的第一步。常见的漏洞包括SQL注入、跨站脚本攻击和编码漏洞等,表单破解主要是针对服务器用户的弱口令破解。从本质上来说,应用漏洞的形成原因是程 序编写时没有对用户的输入字符进行严格的过滤,造成用户可以精心构造一个恶意字符串达到自己的目的。
  AppScan
  AppScan 是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的 页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周 期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了 详尽的漏洞原理、修改建议、手动验证等功能。AppScan的缺点在于,作为一款商业软件,价格十分昂贵。
  溯雪
  溯雪是一款国产软件,主要的功能是进行表单破解。由于目前的应用多数采用B/S模式,登录窗口也都采用表单提交的方式,使得基于传统协议的暴力破解软件没有用武之地。针对此类应用,采用溯雪等基于表单的暴力破解软件可以很好的进行弱口令扫描。
  溯雪的工作原理是抽取目标网站中的表单元素,搜寻错误登录时的错误标志,然后采用字典填充其值并不断提交尝试获得正确的连接。
  Pangolin
  Pangolin是一款SQL注入测试工具,能够自动化的进行注入漏洞的检测,从检测注入开始到后控制目标系统都给出了测试步骤,是目前国内使用率高 的SQL注入测试软件。支持的数据库包括Access、DB2、Informix、Microsoft SQL Server 2000、Microsoft SQL Server 2005、Microsoft SQL Server 2008、Mysql、Oracle、PostgreSQL、Sqlite3、Sybase。