常用Web安全扫描工具有哪些

小编给大家分享一下常用Web安全扫描工具有哪些，相信大部分人都还不怎么了解，因此分享这篇文章给大家参考一下，希望大家阅读完这篇文章后大有收获，下面让我们一起去了解一下吧！

1、AWVS

非常经典的Web扫描神器，入门必备。推荐指数：★★★★★

官方网站：

https://www.acunetix.com

AWS10.5  以前的版本，提供的是有客户端和Web界面，不到50M的安装文件，界面简洁，扫描速度快，资源占用率低、扫描策略设置简单，客户端的各种辅助工具更是提供了强大的单兵作战能力。

我个人就是坚定的AWS10.5的拥护者，后来AWVS的web改版确实是有点不习惯了。

2、IBM AppScan

一款可与AWVS比肩的Web安全扫描工具， 推荐指数：★★★★

官方网站：

https://www.hcltechsw.com/products/appscan

总体而言，扫描的效果还是不错的，准确度也相对高一些，扫描速度确实是有点慢。一般而言，通常我们可以对一个web站点同时使用AWVS和AppScan都进行检测，然后相互验证扫描效果，提高检测的准确率。

3、Goby

一款攻击面分析工具，推荐指数：★★★★★

官方网站：

https://gobies.org

安装过程非常简单，Windows解压缩直接双击EXE即可运行，可跨平台支持Windows、Linux、  Mac。功能上也挺全面的，提供最全面的资产识别，最快的扫描体验，内置可自定义的漏洞扫描框架。

4、Xray

一款强大的安全评估工具。推荐指数：★★★★

官方网站：

https://xray.cool

xray 最好用的就是它的被动扫描模式，与burp进行联动更是一项绝活，让流量从Burp转发到Xray，所有的数据包透明，堪称指哪打哪的利器。

5、开源漏洞检测框架

以POC-T、pocsuite、pocscan、Osprey等为代表的开源项目，提供了可自定义的漏洞检测框架，Poc数量和质量，决定了检测效果，漏洞库的积累就显得尤为重要。

github项目地址：

POC-T：https://github.com/Xyntax/POC-T pocsuite3：https://github.com/knownsec/pocsuite3 pocscan：https://github.com/erevus-cn/pocscan Osprey：https://github.com/TophantTechnology/osprey

开源的扫描器不计其数，复造轮子的人甚多，而真正能够成为神器的工具其实不多。

6、IAST 灰盒扫描工具

如果我们的定位是在SDL的安全测试过程中，相比起黑盒测试方案，IAST则是一种新的安全测试方案。一般会通过Agent插桩监测，无需重放请求、无脏数据，几乎达到0误报，无疑是实现自动化安全测试的最佳选择。

7、商业Web应用扫描器

一些安全厂商提供了漏扫产品，不过在细分领域其实还有是一定区别的，比如有专门做Web应用安全扫描的，也有综合性漏洞扫描的，还有做Web安全监测的扫描产品，都有提供了一定的Web应用漏洞扫描的能力。

部分安全厂商及扫描产品汇总：

绿盟       绿盟WEB应用漏洞扫描系统(WVSS)  绿盟远程安全评估系统(RSAS) 启明       天镜脆弱性扫描与管理系统 安恒       Web应用弱点扫描器（MatriXay    明鉴远程安全评估系统 奇安信     网神SecVSS3600漏洞扫描系统 盛邦安全    Web漏洞扫描系统（RayWVS）    远程安全评估系统（RayVAS) 斗象科技    ARS 智能漏洞与风险检测 长亭科技    洞鉴（X-Ray）安全评估系统 四叶草安全  全时风险感知平台

以上是“常用Web安全扫描工具有哪些”这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注亿速云行业资讯频道！