安全测试扫描工具(容器安全扫描工具)

Acunetix WVS全称Acunetix Web Vulnerability Scanner，他是一个网站及服务器漏洞扫描软件。拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告，可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。 本次提供的Acunetix WVS 10版本可以扫描的漏洞比较多，功能比较全，重新设计的基于Web的用户界面，让用户使用和管理更加容易，从而更高效地工作并降低成本。功能特点：1、自动的客户端脚本分析器，允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。2、业内最先进且深入的 SQL 注入和跨站脚本测试3、高级渗透测试工具，例如 HTTP Editor 和 HTTP Fuzzer4、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域5、支持含有 CAPTHCA 的页面，单个开始指令和 Two Factor（双因素）验证机制6、丰富的报告功能，包括 VISA PCI 依从性报告7、高速的多线程扫描器轻松检索成千上万个页面8、智能爬行程序检测 web 服务器类型和应用程序语言9、Acunetix 检索并分析网站，包括 flash 内容、SOAP 和 AJAX 10、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查

1、Nexpose：跟其他扫描工具不同的是，它的功能十分强大，可以更新漏洞数据库，也可以看出哪些漏洞可以被Metasploit Exploit，可以生成非常详细、强大的Report，涵盖了很多统计功能和漏洞的详细信息。 2、OpenVAS：类似Nessus的综合型漏洞扫描器，可以用来识别远程主机、Web应用存在的各种漏洞，它使用NVT脚本对剁成远程系统的安全问题进行检测。3、WebScarab：可以分析使用HTTP和HTTPS协议进行通信的应用程序，它可以简单记录观察的会话且允许操作人员以各种方式进行查看。4、WebInspect：是一款强大的Web应用程序扫描程序，有助于确认Web应用中已知和未知的漏洞，还可以检查一个Web服务器是否正确配置。5、Whisker/libwhisker：是一个Perla工具，适合于HTTP测试，可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。6、Burpsuite：可以用于攻击Web应用程序的集成平台，允许一个攻击者将人工和自动的技术进行结合，并允许将一种工具发现的漏洞形成另外一种工具的基础。7、Wikto：是一个Web服务器评估工具，可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分。8、Watchfire AppScan：是一款商业类的Web漏洞扫描程序，简化了部件测试和开发早期的安全保证，可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。 9、N-Stealth：是一款商业级的Web服务器安全扫描程序，主要为Windows平台提供扫描，但并不提供源代码。
漏洞扫描服务（Vulnerability Scan Service，VSS） 是一款自动探测企业网络资产并识别其风险的产品。依托腾讯二十年累积的安全能力，漏洞扫描服务能够对企业的网络设备及应用服务的可用性、安全性与合规性等进行定期的安全扫描、持续性风险预警和漏洞检测，并且为企业提供专业的修复建议，降低企业安全风险。 全面漏洞扫描多年的安全能力建设积累了丰富而全面的漏洞规则库，覆盖 OWASP TOP 10的 Web 漏洞，例如：SQL 注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）、弱密码等。同时，系统还具备专业高效的 0Day/1Day/NDay 漏洞检测能力。敏感内容检测基于多个内容安全风险监测引擎及持续运营样本库，能够快速准确发现网站异常涉黄、涉恐、涉政、赌博等敏感图片、文字信息，帮助企业及时自检，避免因不当内容导致网站被监管机构要求整改，影响企业形象和业务发展。篡改挂马检测结合及时准确的威胁情报及高精准的智能鉴定模型，针对网站进行挂马、暗链、垃圾广告、矿池等风险的多维度智能检测，避免企业网站被他人长期恶意利用。全面资产支持支持多种网络资产的全面风险扫描，涵盖主机、网站、小程序、公众号、IoT 等资产类型，基于丰富的指纹库，精准识别客户网络资产，并进行实时监测，帮助客户及时发现影子资产、感知资产变动、有效管理资产。威胁情报联动依托腾讯安全积累近二十年的威胁情报大数据，提供 0Day/1Day/NDay 漏洞检测，并有安全专家实时跟进网络最新风险动态，第一时间提供威胁情报和专业处置建议，大幅缩减风险潜伏期，预防大规模入侵，降低安全风险。智能风险告警 支持在客户网络资产出现安全风险时，通过多种方式实时告警并提供专业处置建议，帮助客户及时感知风险和快速处置。

今天小编要跟大家分享的文章是关于开源Web应用的安全测试工具汇总。Web应用安全测试可对Web应用程序执行功能测试，找到尽可能多的安全问题，大大降低黑客入侵几率。 在研究并推荐一些最佳的开源Web应用安全测试工具之前，让我们首先了解一下安全测试的定义、功用和价值。一、安全测试的定义安全测试可以提高信息系统中的数据安全性，防止未经批准的用户访问。在Web应用安全范畴中，成功的安全测试可以保护Web应用程序免受严重的恶意软件和其他恶意威胁的侵害，这些恶意软件和恶意威胁可能导致Web应用程序崩溃或产生意外行为。安全测试有助于在初始阶段解决Web应用程序的各种漏洞和缺陷。此外，它还有助于测试应用程序的代码安全性。Web安全测试涵盖的主要领域是：·认证方式·授权书·可用性·保密·一致性·不可否认二、安全测试的目的全球范围内的组织和专业人员都使用安全测试来确保其Web应用程序和信息系统的安全性。实施安全测试的主要目的是：·帮助提高产品的安全性和保质期·在开发初期识别并修复各种安全问题·评估当前状态下的稳定性三、为什么我们需要重视Web安全测试·避免性能不一致·避免失去客户信任·避免以安全漏洞的形式丢失重要信息·防止身份不明的用户盗窃信息·从意外故障中恢复·节省解决安全问题所需的额外费用目前市场上有很多免费、付费和开源工具可用来检查Web应用程序中的漏洞和缺陷。关于开源工具，除了免费之外，最大的优点是可以自定义它们，以符合您的特定要求。以下，是我们推荐的十大开源安全测试列表：1、ArachniArachni面向渗透测试人员和管理员的旨在识别Web应用程序中的安全问题。该开源安全测试工具能够发现许多漏洞，包括：·无效的重定向·本地和远程文件包含·SQL注入·XSS注射主要亮点：·即时部署·模块化，高性能Ruby框架·多平台支持下载：https://github.com/Arachni/arachni2、劫掠者便携式Grabber旨在扫描小型Web应用程序，包括论坛和个人网站。轻量级的安全测试工具没有GUI界面，并且使用Python编写。Grabber发现的漏洞包括：·备份文件验证·跨站脚本·文件包含·简单的AJAX验证·SQL注入主要亮点：·生成统计分析文件·简单便携·支持JS代码分析下载：https://github.com/amoldp/Grabber-Security-and-Vulnerability-Analysis-3、IronWaspIronWasp是一种开放源代码，功能强大的扫描工具，能够发现25种以上的Web应用程序漏洞。此外，它还可以检测误报和误报。IronWasp可帮助暴露各种漏洞，包括：·身份验证失败·跨站脚本·CSRF·隐藏参数·特权提升主要亮点：·通过插件或模块可扩展地用C#、Python、Ruby或VB.NET编写·基于GUI·以HTML和RTF格式生成报告下载：https://github.com/Lavakumar/IronWASP4、NogotofailNogotofail是Google开发的网络流量安全测试工具，一款轻量级的应用程序，能够检测TLS/SSL漏洞和配置错误。Nogotofail暴露的漏洞包括：·MiTM攻击·SSL证书验证问题·SSL注入·TLS注入主要亮点：·易于使用·轻巧的·易于部署·支持设置为路由器、代理或VPN服务器下载：https://github.com/google/nogotofail5、SonarQube另一个值得推荐的开源安全测试工具是SonarQube。除了公开漏洞外，它还用于衡量Web应用程序的源代码质量。尽管使用Java编写，SonarQube仍能够分析20多种编程语言。此外，它可以通过持续集成工具轻松地集成到Jenkins之类的产品中。SonarQube发现的问题以绿色或红色突出显示。前者代表低风险的漏洞和问题，而后者则代表严重的漏洞和问题。对于高级用户，可以通过命令提示符进行访问。对于那些相对较新的测试人员，有一个交互式GUI。SonarQube暴露的一些漏洞包括：·跨站脚本·拒绝服务(DoS)攻击·HTTP响应拆分·内存损坏·SQL注入主要亮点：·检测棘手的问题·DevOps集成·设置pullrequests请求分析·支持短期和长期代码分支的质量跟踪·提供QualityGate·可视化项目历史下载：https://github.com/SonarSource/sonarqube6、SQLMapSQLMap完全免费，可以实现网站数据库中SQL注入漏洞检测和利用过程的自动化。该安全测试工具附带一个功能强大的测试引擎，能够支持6种类型的SQL注入技术：·基于布尔的盲注·基于错误·带外·堆叠查询·基于时间的盲注·UNION查询主要亮点：·自动化查找SQL注入漏洞的过程·也可以用于网站的安全测试·强大的检测引擎·支持多种数据库，包括MySQL、Oracle和PostgreSQL下载：https://github.com/sqlmapproject/sqlmap7、W3afW3af是最受Python开发者喜欢的Web应用程序安全测试框架之一。该工具覆盖Web应用程序中超过200多种类型的安全问题，包括：·SQL盲注·缓冲区溢出·跨站脚本·CSRF·不安全的DAV配置主要亮点：·认证支持·易于上手·提供直观的GUI界面·输出可以记录到控制台，文件或电子邮件中下载：https://github.com/andresriancho/w3af8、WapitiWapiti是领先的Web应用程序安全测试工具之一，它是SourceForge和devloop提供的免费的开源项目。Wapiti可执行黑盒测试，检查Web应用程序是否存在安全漏洞。由于是命令行应用程序，因此了解Wapiti使用的各种命令非常重要。Wapiti对于经验丰富的人来说易于使用，但对于新手来说却是一个的考验。但请放心，您可以在官方文档中找到所有Wapiti说明。为了检查脚本是否易受攻击，Wapiti注入了有效负载。该开源安全测试工具同时支持GET和POSTHTTP攻击方法。Wapiti暴露的漏洞包括：·命令执行检测·CRLF注射·数据库注入·档案披露·Shellshock或Bash错误·SSRF(服务器端请求伪造)·可以绕开的.htaccess弱配置·XSS注入·XXE注入主要亮点：·允许通过不同的方法进行身份验证，包括Kerberos和NTLM·带有buster模块，可以暴力破解目标Web服务器上的目录和文件名·操作类似fuzzer·同时支持GET和POSTHTTP方法进行攻击下载：https://github.com/mbarbon/wapiti9、WfuzzWfuzz是用Python开发的，普遍用于暴力破解Web应用程序。该开源安全测试工具没有GUI界面，只能通过命令行使用。Wfuzz暴露的漏洞包括：·LDAP注入·SQL注入·XSS注入主要亮点：·认证支持·Cookiesfuzzing·多线程·多注入点·支持代理和SOCK下载：https://github.com/xmendez/wfuzz10、Zed攻击代理(ZAP)ZAP或ZedAttackProxy由OWASP(开放Web应用程序安全项目)开发，是一种跨多平台，开放源代码Web应用程序安全测试工具。ZAP用于在开发和测试阶段查找Web应用程序中的许多安全漏洞。由于其直观的GUI，新手和专家都可以轻松使用ZedAttachProxy。安全测试工具支持高级用户的命令行访问。除了是最著名的OWASP项目之一，ZAP还是当之无愧的Web安全测试旗舰产品。ZAP用Java编写。除了用作扫描程序外，ZAP还可以用来拦截代理以手动测试网页。ZAP暴露的漏洞包括：·应用错误披露·非HttpOnlyCookie标识·缺少反CSRF令牌和安全标头·私人IP披露·URL重写中的会话ID·SQL注入·XSS注入主要亮点：·自动扫描·易于使用·多平台·基于休息的API·支持身份验证·使用传统而强大的AJAX蜘蛛下载：https://github.com/zaproxy以上就是小编今天为大家分享的关于开源Web应用的安全测试工具汇总的文章，希望本篇文章能够对大家有所帮助，想要了解更多Web相关知识记得关注北大青鸟Web培训官网，最后祝愿小伙伴们工作顺利。

将安全融入开发过程，更早捕获并修复应用漏洞，你需要这五类共28款DevSecOps工具。DevSecOps是将安全集成到整个应用开发周期的过程，是从内到外强化应用，使其能够抵御各种潜在威胁的理想方式。因为很多公司企业不断开发应用以满足客户和商业合作伙伴的需求，DevSecOps的吸引力也与日俱增。敏捷开发方法与DevOps操作帮助公司企业达成持续开发的目标。云原生应用架构也成为了DevSecOps运动的有力贡献者，推动采用公共云提供商、容器技术和容器平台为应用提供计算能力。DevSecOps将安全过程与工具集成进工作流并加以自动化，摆脱了传统方法按时间点进行的潜在干扰，是个无缝且持续的过程。咨询公司 Data Bridge Market Research 称，鉴于网络安全威胁数量与危害性的持续上升，全球DevSecOps市场预计将从2018年的14.7亿美元增长至2026年的136.3亿美元。市场繁荣之下，DevSecOps工具必将呈现百花齐放百家争鸣的局面。下面就按核心门类为您呈上多款优秀DevSecOps工具。开发应用的时候很容易忽略掉安全漏洞。下面的工具为开发人员提供了潜在安全异常及缺陷的警报功能，可供开发人员及时调查并修复这些漏洞，不至于走得太远回不了头。有些工具专用于警报功能，比如开源的Alerta 。其他工具则兼具测试等别的功能，比如 Contrast Assess。1. Alerta(https://alerta.io/)该开源工具可将多个来源的信息整合去重，提供快速可视化功能。Alerta与Prometheus、Riemann、Nagios、Cloudwatch及其他监视/管理服务集成，开发人员可通过API按需定制Alerta。2. Contrast Assess(https://www.contrastsecurity.com/interactive-application-security-testing-iast)作为一款互动应用安全测试(IAST)工具，Contrast Assess 与用户应用集成，在后台持续监视代码，并在发现安全漏洞时发出警报。据称即便是非安全开发人员也可使用 Contrast Assess 自行识别并修复漏洞。3. Contrast Protect(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)该运行时应用自保护(RASP)工具采用了 Contrast Assess 同款嵌入式代理。Contrast Protect 在生产环境中查找漏洞利用程序和未知威胁，并将结果提交给安全信息及事件管理(SIEM)控制台、防火墙或其他安全工具。4. ElastAlert(https://elastalert.readthedocs.io/en/latest/)ElastAlert提供近实时接收警报的框架，可接收来自Elasticsearch数据的安全异常、流量激增及其他模式。ElastAlert查询Elasticsearch并根据一系列规则比较这些数据。一旦出现匹配，ElastAlert便发出警报并随附建议动作。大多数DevSecOps工具都提供一定程度的自动化。此类工具自动扫描、发现并修复安全缺陷，只是自动化程度各有不同，从条件式事件驱动的自动化到运用深度学习技术的自动化都有。1. CodeAI(http://www.qbitlogic.com/codeai/)旨在通过深度学习技术自动查找并修复源代码中的安全漏洞，号称可为开发人员提供可供参考的解决方案列表，而不仅仅是安全问题列表。其供应商QbitLogic宣称，已为CodeAI馈送了数百万个现实世界漏洞修复样本供训练。2. Parasoft tool suite(https://www.parasoft.com/)Parasoft提供包括应用开发安全测试在内的多种自动化工具：1）Parasoft C/C++test(https://www.parasoft.com/products/ctest)用于开发过程早期缺陷识别；2）Parasoft Insure++(https://www.parasoft.com/products/insure)可以查找不规范编程及内存访问错误；3）Parasoft Jtest(https://www.parasoft.com/products/jtest)用于Java软件开发测试；4) Parasoft dotTEST(https://www.parasoft.com/products/jtest)以深度静态分析和高级覆盖作为 Visual Studio 工具的补充。3. Red Hat Ansible Automation(https://www.redhat.com/en/technologies/management/ansible)该工具包含三个模块——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation，可作为无代理IT自动化技术单独或联合使用。尽管不是专门的安全工具，Ansible Automation 却可供用户定义规则以确定自身软件开发项目中哪些部分是安全的。4. StackStorm(https://stackstorm.com)该开源工具号称“可进行条件式运营”，其事件驱动的自动化能在检测到安全漏洞时提供脚本化的修复与响应，并附有持续部署、ChatOps优化等功能。5. Veracode(https://www.veracode.com/devsecops)该公司提供DevSecOps环境中广泛使用的一系列自动化安全工具，包括在代码编写时即时自动扫描的Greenlight；在沙箱中扫描代码漏洞的 Developer Sandbox；识别漏洞组件的 Software Composition Analysis (SCA)；以及识别应用缺陷的 Static Analysis。专用DevSecOps仪表板工具可使用户在同一图形界面中查看并共享从开发伊始到运营过程中的安全信息。有些DevSecOps应用，比如ThreatModeler和Parasoft已自带仪表板。1. Grafana(https://grafana.com/)该开源分析平台允许用户创建自定义仪表板，聚合所有相关数据以可视化及查询安全数据。如果不想自行构建，还可以在其网站上选用社区构建的仪表板。2. Kibana(https://www.elastic.co/products/kibana)如果你使用Elasticsearch，该开源工具可在统一图形界面中集成成千上万的日志条目，包括运营数据、时间序列分析、应用监视等等。威胁建模DevSecOps工具用以在复杂的攻击界面中识别、预测并定义威胁，以便用户可以做出主动安全决策。有些工具可根据用户提供的系统及应用信息自动构建威胁模型，并提供可视化界面以帮助安全及非安全人员 探索 威胁及其潜在影响。1. IriusRisk(https://continuumsecurity.net/threat-modeling-tool/)出自 Continuum Security 的解决方案，既可云部署，也可现场部署，能以基于问卷的界面自动化风险及需求分析，并设计出威胁模型和技术性安全要求。IriusRisk还可帮助用户管理代码构建及安全测试阶段。2. ThreatModeler(https://threatmodeler.com/)该自动化威胁建模系统有两个版本：AppSec版和云版。在提供了用户应用或系统的功能性信息后，ThreatModeler会基于更新的威胁情报自动就整个攻击界面进行数据分析和潜在威胁识别。3. OWASP Threat Dragon(https://www.owasp.org/index.php/OWASP_Threat_Dragon)一款基于Web的开源工具，提供系统图解和用于自动化威胁建模与缓解的规则引擎。Threat Dragon 承诺可与其他软件开发生命周期(SDLC)工具无缝集成，且界面易于使用。在开发过程中测试应用以找出潜在漏洞是DevSecOps的关键部分，能够事先发现安全漏洞，避免漏洞被黑客利用。尽管其他工具往往包含了测试功能，比如Parasoft出品的那些，下列工具仍然在应用安全测试上表现强劲。1. BDD-Security(https://continuumsecurity.net/bdd-security/)该出自 Continuum Security 的开源框架可使安全人员在敏捷开发过程中测试行为驱动开发(BDD)语言编写的功能及非功能性安全场景。此BDD框架旨在使安全功能独立于应用特定的导航逻辑，让同样的安全要求能够更容易地应用到多个应用程序上。2. Checkmarx CxSAST(https://www.checkmarx.com/products/static-application-security-testing/)可对25种编程及脚本语言进行未编译/未构建源代码扫描的静态应用安全测试(SAST)工具，能在SDLC早期发现成百上千种安全漏洞。CxSAST兼容所有集成开发环境(IDE)，是Checkmarx软件暴露平台的一部分——该平台可在DevOps所有阶段植入安全。Checkmarx的交互式应用安全测试(IAST)工具可检测运行中应用的安全漏洞。3. Chef InSpec(https://github.com/inspec/inspec)整个开发过程中的每一阶段都可以运用该开源工具自动化安全测试以确保针对传统服务器及容器和云API的合规、安全及其他政策要求。4. Fortify(https://www.microfocus.com/en-us/solutions/application-security)Micro Focus 出品，提供端到端应用安全，可供进行覆盖整个软件开发生命周期的现场及按需测试。Fortify on Demand 是 Micro Focus 的应用安全即服务产品，提供静态、动态和移动应用安全测试，以及生产环境中Web应用的持续监视。5. Gauntlt(http://gauntlt.org/)流行测试框架，旨在推动易操作的安全测试及安全、开发和运营团队间的沟通。GauntIt便于产生攻击测试用例，且能方便地钩入现有工具及进程。6. Synopsys suite(https://www.synopsys.com/)Synopsys提供多个应用安全测试工具，包括：1）SAST工具Coverity(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)自动化测试且融入持续集成/持续交付(CI/CD)管道；2）SCA工具 Black Duck(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)采用容器及应用中的开源和第三方代码检测并管理安全；3）SeekerIAST(https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)识别可暴露敏感数据的运行时安全漏洞；以及一系列用于应用安全测试的托管服务。以下DevSecOps工具同样含有上述工具提供的功能，但或多或少略有不同。1. Aqua Security(https://www.aquasec.com/)在整个CI/CD管道和运行时环境中管理端到端安全，可用于所有平台和云环境的容器及云原生应用。2. Dome9 Arc(https://www.checkpoint.com/solutions/devops-security/)被 Check Point 收购，提供自动化测试及安全实施，使开发人员能够将安全及合规融入公共云应用的构建、部署及运营。3. GitLab(https://about.gitlab.com/)该工具可将DevSecOps架构融入CI/CD过程，在提交时测试每一块代码，使开发人员能够在编程期间缓解安全漏洞，并提供涵盖所有漏洞的仪表板。4. Red Hat OpenShift(https://www.redhat.com/en/technologies/cloud-computing/openshift)为基于容器的应用提供内置安全，比如基于角色的访问控制、以安全增强的Linux(SELinux)实现隔离，以及贯穿整个容器构建过程的核查。5. RedLock(https://www.paloaltonetworks.com/products/secure-the-cloud/redlock/cloud-security-governance)(前身为Evident.io)Palo Alto Networks 出品，适用于部署阶段，帮助开发人员快速发现并缓解资源配置、网络架构及用户活动中的安全威胁，尤其是在亚马逊S3存储桶和弹性块存储(EBS)卷上。6. SD Elements(https://www.securitycompass.com/sdelements/)出品自 Security Compass 的自动化平台，旨在收集客户软件信息，发现威胁及对策，突出相关安全控制措施以帮助公司企业实现其安全和合规目标。7. WhiteHat Sentinel 应用安全平台(https://www.whitehatsec.com/products/solutions/devsecops/)该解决方案提供贯穿整个SDLC的应用安全，适用于需将安全集成进工具中的敏捷开发团队，以及需持续测试以保证生产环境应用安全的安全团队。8. WhiteSource(https://www.whitesourcesoftware.com/)用于解决开源漏洞，可集成进用户的生成过程，无论用户采用什么编程语言、生成工具或开发环境。WhiteSource使用经常更新的开源代码数据库持续检查开源组件的安全及授权。

一、NMap 是一个开源且免费的安全扫描工具，可以被用于安全审计和网络发现，能被使用于Windows、Linux、Mac OS等，可用于探测网络中可访问的主机，检测它们的类型和版本、正在提供的服务以及正在使用的防火墙或数据包过滤器的信息等。二、Wireshark提供免费且开源的渗透测试服务，可以把它当做网络协议分析器，能被适用于Linux、Windows、Unix、Mac OS以及其他常见的操作系统中。三、Metasploit可为用户提供有关安全风险和漏洞等方面的重要信息，让用户了解各种应用程序、平台和操作系统上的最新漏洞，以及可以被利用的代码，它可在Linux、Windows、AppleMac OS上运行命令行和图形用户界面。四、Netsparker是一款精确、自动化且易用的Web应用安全扫描工具，可以被用于自动化识别Web应用服务中的跨站点脚本，即XSS，和SQL注入等安全风险爱你，不仅可以生成风险报告，还可以通过概念证明来确认是否有误报，且能减少手动验证漏洞的时间。五、Acunetix是一款全自动化的Web漏洞扫描程序，可以智能检测、识别并报告Web应用漏洞，用户可以利用它将检测到的漏洞导出到问题跟踪器中。六、Nessus 是针对安全从业人员的漏洞评估解决方案，能够协助检测和修复各种操作系统、应用程序、乃至设备上的漏洞、恶意软件、配置错误、以及补丁的缺失，运行于Windows、Linux、Mac上，用户可以用它来进行IP与网站的扫描，合规性检查，敏感数据搜索等测试。
金山网镖，360，都可以，还有一些端口监视器等
你应该说具体一点 如果仅仅是为了自己的系统更安全，定期更新补丁，适时查杀病毒就足够了。