最受欢迎的十大WEB应用安全评估系统教学教材

最受欢迎的十大WEB应用安全评估系统

在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。当然，毫无疑问的，几乎都是商业软件，并且为了描述更准确，游侠尽量摘取其官方网站的说明：

1.IBM Rational AppScan

IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具，曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作，能扫描和检测所有常见的Web 应用安全漏洞，例如SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）及缓冲溢出（buffer overflow）等方面安全漏洞的扫描。

游侠标注：AppScan不但可以对WEB进行安全评估，更重要的是导出的报表相当实用，也是国外产品中唯一可以导出中文报告的产品，并且可以生成各种法规遵从报告，如ISO 27001、OWASP 2007等。

2.HP WebInspect

目前，许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术，HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。

它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术，例如同步扫描和审核（simultaneous crawl and audit, SCA）及并发应用程序扫描，您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。

主要功能：

·利用创新的评估技术检查Web 服务及Web 应用程序的安全

·自动执行Web 应用程序安全测试和评估

·在整个生命周期中执行应用程序安全测试和协作

·通过最先进的用户界面轻松运行交互式扫描

·满足法律和规章符合性要求

·利用高级工具（HP Security Toolkit）执行渗透测试

·配置以支持任何Web 应用程序环境

游侠标注：毫无疑问的，WebInspect的扫描速度相当让人满意。

3.Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner是一款自动的Web应用安全性测试工具，它能够通过发现Web应用的Hacking弱点来监测你的网站。自动扫描能够更快速有效的对你的网站和Web应用进行深度测试。

大约有70%的网站存在安全隐患，这些漏洞可能会导致信用卡信息或客户列表等敏感的公司数据被盗。

对web应用hacking来说，防火墙，SSL和锁定的服务器几乎是无用的。

从80/443端口发起的针对web application的攻击，能够直接穿过防火墙，越过操作系统和网络级的安全措施，到达您的应用的心脏和企业数据。模块类的web应用通常都没用作足够的测试，有隐藏的弱点，及易受到攻击。

Acunetix具有领先的web应用安全扫描技术：我们的工程师从1997年开始就专注于网站分析和弱点侦测。Acunetix Web Vulnerability Scanner包括许多开创性的功能：·自动的Javascript分析器可以测试Ajax和Web2.0的应用，

·行业内最先进，最深入的SQL注入和跨站点脚本测试，

·Visual macro recorder使Web form和密码保护区域测试更容易，

·扩展的报表工具包括VISA PCI compliance报表，

·多线程和快速扫描工具能够轻松检验成千上万的页面，

·智能的Crawler能够探测Web服务器的种类和应用的编程语言，

·Acunetix 可以探测和分析网站上的Flash内容，SOAP和AJAX。

4.绿盟极光远程安全评估系统-Web应用扫描

绿盟远程安全评估系统Web应用扫描增强模块，是绿盟科技研究团队多年深入研究当前各种流行的Web攻击手段的技术结晶，是专门面向Web 应用安全管理员进行专业安全评估及检测的自动化工具。可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析，全面发现各类安全隐患，提出针对性的修复建议，以及形成多种符合法规、行业标准的报告。

5.安恒信息MatriXay明鉴WEB应用弱点扫描器

明鉴WEB应用弱点扫描器（简称：MatriXay 3.6）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布，2.0版本于2007年12月发布，并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。因此，被评价为“最佳的WEB安全评估工具”。

作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心运营商安全Web 和数据库安全检查工具，MatriXay 3.6 （2009版）可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等）。

同时，安恒信息拥有国内领先的WEB在线扫描平台，详情参照：

6.安域领创WebRavor

新一代应用安全扫描工具WebRavor，全面超越现有的此类工具，是目前世界上最好的商业级安全产品，被客户评价为“技术和艺术的完美结晶”，并且已经取得多项专利保护（200920105886.0/200910078545.3）。

安域领创的安全服务团队具有丰富的实施和规划经验，从2001年开始就参与规划和实施多种类型的安全咨询和服务项目，遍及政府、金融、电信、移动、联通等国内各大行业客户。

WebRavor是在深入研究分析WEB应用系统中典型安全漏洞及流行攻击技术的基础上，由国内顶尖团队开发的一款WEB应用安全评估产品。研发及测试时间历经4年，经过10万多个真实系统的测试，是目前业界最强悍的专注于WEB应用安全弱点的评估工具。

WebRavor在2006年8月的世界安全大会BlackHat和Def—Con上发布后，被评价为“最佳的WEB安全评估工具”。

游侠标注：WebRavor的作者是中国第一代黑客的代表人物，写“流光”的作者“小榕”。请参考游侠写的：

7.诺赛科技Jsky/Pangolin