web安全測試工具有哪些

1、Nikto

這是一個開源的Web服務(wù)器掃描程序，它可以對Web服務(wù)器的多種項目進行全面的測試。其掃描項目和插件經(jīng)常更新并且可以自動更新。 Nikto 可以在盡可能短的周期內(nèi)測試你的Web 服務(wù)器，它也可以支持LibWhisker 的反IDS方法。

不過，并非每一次檢查都可以找出一個安全問題。有一些項目是僅提供信息(“info only” )類型的檢查，這種檢查可以查找一些并不存在安全漏洞的項目，不過 Web 管理員或安全工程師們并不知道，這些項目通常都可以恰當(dāng)?shù)貥?biāo)記出來。可以省去不少麻煩。

2、Acunetix Web Vulnerability Scanner

一款商業(yè)級的Web漏洞掃描程序，它可以檢查Web應(yīng)用程序中的漏洞，如SQL注入、跨站腳 本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，并且能夠創(chuàng)建專業(yè)級的Web 站點安全審核報告。

3、WebScarab

它可以分析使用HTTP 和HTTPS 協(xié)議進行通信的應(yīng)用程序，WebScarab 可以用最簡單地形式記錄它觀察的會話，并允許操作人員以各種方式觀查會話。不管是幫助開發(fā)人員調(diào)試其它方面的難題，還是允許安全專業(yè)人員識別漏洞，它都是一款不錯的工具。

4、WebInspect

一款強大的Web 應(yīng)用程序掃描程序。SPI Dynamics 的這款應(yīng)用程序安全評估工具有助于確認(rèn)Web 應(yīng)用中已知的和未知的漏洞。它還可以檢查一個Web 服務(wù)器是否正確配置，并會嘗試一些常見的Web 攻擊，如參數(shù)注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

5、Whisker/libwhisker

Libwhisker 是一個Perla模塊，適合于HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP 服務(wù)器，特別是檢測危險CGI 的存在。Whisker 是一個使用libwhisker 的掃描程序。

6、Paros proxy

一個對Web 應(yīng)用程序的漏洞進行評估的代理程序，即一個基于Java 的web代理程序，可以評估Web應(yīng)用程序的漏洞。它支持動態(tài)地編輯/查看HTTP/HTTPS，從而改變cookies和表單字段等項目。它包括一個Web 通信記錄程序，Web 圈套程序(spider)，hash 計算器，還有一個可以測試常見的Web應(yīng)用程序攻擊的掃描器。

7、Burpsuite

一個可以用于攻擊Web 應(yīng)用程序的集成平臺。Burp 套件允許一個攻擊者將人工的和自動的 技術(shù)結(jié)合起來，以列舉、分析、攻擊Web 應(yīng)用程序，或利用這些程序的漏洞。各種各樣的burp 工具協(xié)同工作，共享信息，并允許將一種工具發(fā)現(xiàn)的漏洞形成另外一種工具的基礎(chǔ)。

8、 Wikto

一個Web 服務(wù)器評估工具，它可以檢查Web 服務(wù)器中的漏洞，并提供與Nikto 一樣的很多功能，但增加了許多有趣的功能部分，如后端miner 和緊密的Google 集成。它為MS.NET 環(huán)境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。

9、 Watchfire AppScan

一款商業(yè)類的Web 漏洞掃描程序。AppScan 在應(yīng)用程序的整個開發(fā)周期都提供安全測試， 從而測試簡化了部件測試和開發(fā)早期的安全保證。它可以掃描許多常見的漏洞，如跨站腳本攻擊、HTTP 響應(yīng)拆分漏洞、參數(shù)篡改、隱式字段處理、后門/調(diào)試選項、緩沖區(qū)溢出等等。

10、N-Stealth

N-Stealth 是一款商業(yè)級的Web 服務(wù)器安全掃描程序。它比一些免費的Web 掃描程序，如 Whisker/libwhisker、Nikto 等的升級頻率更高。還要注意，實際上所有通用的VA 工具， 如Nessus, ISS Internet Scanner, Retina, SAINT, Sara 等都包含Web 掃描部件。N-Stealth 主要為Windows 平臺提供掃描，但并不提供源代碼。

另外，以下一些測試工具也是很不錯的，可以了解以下。

Ettercap：功能完備的跨平臺的局域網(wǎng)滲透攻擊工具；

Cisco Packet Tracert：思科官方出品的傻瓜式模擬器；

GNS3：思科網(wǎng)絡(luò)與安全模擬器，能模擬防火墻、入侵檢測、VPN等技術(shù)；

Hping3：強大的TCP/IP數(shù)據(jù)包生成工具，可用于防火墻測試和安全審計；

eNSP：華為官方出品的網(wǎng)絡(luò)/安全模擬器，支持USG防火墻產(chǎn)品；

Cain Windows：下最強大的局域網(wǎng)攻擊與揭密工具；

Vmware：操作系統(tǒng)虛擬環(huán)境平臺，制作虛擬機用來做安全測試；

Visio：最好用的繪圖軟件，微軟出品，支持各種網(wǎng)絡(luò)拓?fù)鋱D、流程圖等；

Wireshark：最好用的抓包軟件，全球開源網(wǎng)絡(luò)安全工具Top1；

Namp：最強悍的端口掃描器，可基于掃描腳本引擎安全掃描漏洞；

SecureCRT與Xshell一樣，都是最常用的終端登錄和命令操作軟件。

以上就是小編的分享，希望可以幫助到大家。