Web安全：安全扫描工具

安全扫描工具可以分为系统扫描工具与应用扫描工具。安全扫描工具可以很好地发现网络空间中主机或者应用的安全漏洞。因此，借助于安全扫描工具，我们可以更好地对网络空间中的主机或者应用的安全漏洞进行漏洞处置，从而使网络空间中的资产更加安全。

1、系统扫描工具

系统扫描工具主要是针对网络中系统软件的脆弱性进行信息安全评估，及时发现安全漏洞并给出安全漏洞的安全建议。以前的系统扫描工具有流光及Hscan等，现在的系统扫描工具有Nessus等。

（1）Nessus

Nessus是目前全球使用最多的针对主机的安全漏洞扫描工具之一。Nessus受到全球27000多个组织的信任，它是主机脆弱性评估的标准工具，如图1所示。

图1 Nessus

（2）Hscan

Hscan是一款使用简单、功能十分强大的偏向于系统的安全扫描工具，它可对主机系统的漏洞及弱口令等进行安全的检测和修复，其扫描的范围包括主机名、端口、中间件、数据库及网络设备等，如图2所示。

图2 Hscan

2、应用扫描工具

应用扫描工具主要针对网络中应用软件的脆弱性进行信息安全评估，及时发现安全漏洞并给出安全漏洞的安全建议。以前的应用扫描工具有X-Scan及JSky等，现在的应用扫描工具有AWVS、AppScan及Netsparker等。

（1）AWVS

AWVS全称为Acunetix Web VulnerabilityScanner，它是一款知名的应用漏洞扫描工具，它通过网络爬虫检测网站应用的安全性，可检测流行的应用漏洞。AWVS工具如图3所示。

图3 AWVS

（2）AppScan

AppScan是一个应用安全漏洞扫描工具，与AWVS类似。AppScan安全漏洞扫描输出的报告很全面，漏洞的安全建议也很完善，如图4所示。

图4 AppScan

（3）Netsparker

Netsparker是一个检测能力十分强大的开放的Web应用扫描工具。它可用来发现Web应用中的SQL注入漏洞及跨站脚本漏洞等，大大方便渗透测试人员快速检查网站的安全性。Netsparker完全支持基于Ajax与JavaScript的应用，并且可扫描任意类型的Web应用，无论其构建的技术如何。Netsparker工具如图5所示。

图5 Netsparker

（4）X-Scan

X-Scan安全扫描工具的汉化版是被倾力打造的一款十分强大的偏向于应用的安全扫描工具。X-Scan安全扫描工具采用多线程方式对指定IP地址范围进行安全检测。X-Scan提供命令行与图形界面两种操作方式，其图形界面如图6所示。

图6 X-Scan图形界面操作方式