网站安全测试工具(web安全测试工具)

扫描网站漏洞是要用专业的扫描工具，下面就是介绍几种工具 1. Nikto这是一个开源的Web服务器扫描程序，它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器，这在其日志文件中相当明显。不过，如果你想试验一下，它也可以支持 LibWhisker的反IDS方法。不过，并非每一次检查都可以找出一个安全问题，虽然多数情况下是这样的。有一些项目是仅提供信息类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过Web管理员或安全工程师们并不知道。2. Paros proxy这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序，hash 计算器，还有一个可以测试常见的Web应用程序攻击的扫描器。3. WebScarab:它可以分析使用HTTP和HTTPS协议进行通信的应用程序，WebScarab可以用最简单地形式记录它观察的会话，并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。4. WebInspect：这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置，并会尝试一些常见的 Web攻击，如参数注入、跨站脚本、目录遍历攻击等等。5. Whisker/libwhisker :Libwhisker是一个Perla模块，适合于HTTP测试。它可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。 Whisker是一个使用libwhisker的扫描程序。6. Burpsuite：这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来，以列举、分析、攻击Web应用程序，或利用这些程序的漏洞。各种各样的burp工具协同工作，共享信息，并允许将一种工具发现的漏洞形成另外一种工具的基础。7. Wikto:可以说这是一个Web服务器评估工具，它可以检查Web服务器中的漏洞，并提供与Nikto一样的很多功能，但增加了许多有趣的功能部分，如后端 miner和紧密的Google集成。它为MS.NET环境编写，但用户需要注册才能下载其二进制文件和源代码。8. Acunetix Web Vulnerability Scanner :这是一款商业级的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。9. Watchfire AppScan：这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试，从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。10. N-Stealth： N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序，如Whisker/libwhisker、 Nikto等的升级频率更高。还要注意，实际上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件。N-Stealth主要为Windows平台提供扫描，但并不提供源代码。
进行安全检测以及修复漏洞是必须要做的事，那该如何进行网站检测？ 1、在搜索引擎里边找到很多网站安全检测的平台，很多从事安全方面的公司都有推出这样的安全检测供大家使用。直接在搜索引擎搜索“网站安全监测”。2、具体要使用哪一个的还得看开发人员自己的选择，我其它平台也使用检测，主要还是使用有注册用户名使用的。3、进入检测的网站，登陆会员名，在输入框里边输入自己的网址，按检测即可进行。检测之后可以看到出现的问题以及打的分数。4、当然是越安全打的分数越高，100分满了。同时也会显示出发现的漏洞以及历史漏洞。5、提供历史漏洞的网站也挺厉害的，有的网站也曾经被检测出漏洞，确实都是存在漏洞什么的，及时发现处理就好。6、如果发现有漏洞必须要通过验证网站的权限才让您看的，所以当发现有存在漏洞的时候，及时处理为好。7、一个网站的安全可以显示出一个公司的技术水平以及处理问题的能力，访问者查看的公司网站都存在问题，又怎么可以能有好感呢？所以定期对网站做安全检测以及及时修复是很重要，也是相当有必要的事情。 8、当然了，除了网站漏洞需要及时核查处理修理补上，服务器上的安全同样是需要做好，双重保险，客户访问就会浏览率增加！网站效果就会日益见好！
可以试试看DMSCA   百度一下DMSCA网页链接

今天小编要跟大家分享的文章是关于对于Web安全问题有哪些常用的测试方法?安全问题一直是我们重点关注的问题，开发的过程中还需要着重注意，该转义的地方转义;该屏蔽的地方屏蔽，该过滤的地方过滤等等。今天小编就来跟大家说一说Web安全问题有哪些常用的测试方法有哪些，让我们一起来看一看吧~ 一、常见的Web安全问题常见的Web安全问题有：SQL注入、跨站点脚本攻击、跨站点伪造请求、目录遍历、邮件表头注入、页面错误信息等。二、手动安全测试对于手动安全测试来说：1、URL有参数的，手动修改参数，看是否得到其他用户的信息和相关页面;2、在登录输入框的地方输入‘or1=1--或“or1=1--等看是否有SQL注入;3、在注重SQL注入的同时，一般在有输入框的地方输入三、自动化安全问题对于自动化安全测试来说：测试组目前使用的安全测试工具为IBM的AppScan(当然，是破解版,34上已经放过该工具的安装包)1、在使用之前务必确认自己绑定的Host;2、配置URL、开发环境、错误显示类型;3、结果保存后可根据提示的问题类型和解决建议进行分析。四、Web安全测试考虑测试点Web安全测试通常要考虑的测试点：1、输入的数据没有进行有效的控制和验证2、用户名和密码3、直接输入需要权限的网页地址可以访问4、认证和会话数据作为GET的一部分来发送5、隐藏域与CGI参数6、上传文件没有限制7、把数据验证寄希望于客户端的验证8、跨站脚本(XSS)9、注入式漏洞(SQL注入)10、不恰当的异常处理11、不安全的存储12、不安全的配置管理13、传输中的密码没有加密14、弱密码，默认密码15、缓冲区溢出16、拒绝服务五、SQL注入SQL注入：所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击.(select*form表Whereid=1or11or1是输入框输入的这样会导致满足id=1或1的数据都查出来而所有的数据都满足1这样就查出来了很多不该被查出来的数据这就是sql注入)以上就是小编今天为大家分享的关于对于Web安全问题有哪些常用的测试方法?的文章，希望本篇文章能够对正在从事Web相关工作的小伙伴们有所帮助。想要了解更多Web相关知识记得关注北大青鸟Web前端培训官网。来源：蜻蜓91Testing

Acunetix WVS全称Acunetix Web Vulnerability Scanner，他是一个网站及服务器漏洞扫描软件。拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告，可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。 本次提供的Acunetix WVS 10版本可以扫描的漏洞比较多，功能比较全，重新设计的基于Web的用户界面，让用户使用和管理更加容易，从而更高效地工作并降低成本。功能特点：1、自动的客户端脚本分析器，允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。2、业内最先进且深入的 SQL 注入和跨站脚本测试3、高级渗透测试工具，例如 HTTP Editor 和 HTTP Fuzzer4、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域5、支持含有 CAPTHCA 的页面，单个开始指令和 Two Factor（双因素）验证机制6、丰富的报告功能，包括 VISA PCI 依从性报告7、高速的多线程扫描器轻松检索成千上万个页面8、智能爬行程序检测 web 服务器类型和应用程序语言9、Acunetix 检索并分析网站，包括 flash 内容、SOAP 和 AJAX 10、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查

1、NMap 是一个开源且免费的安全扫描工具，可被用于安全审计和网络发现。能够工作在Windows、Linux、HP-UX、Solaris、BSD(包括Mac OS)、以及AmigaOS上。Nmap可用于探测网络中那些可访问的主机，检测它们操作系统的类型和版本，正在提供的服务，以及正在使用的防火墙或数据包过滤器的信息等。由于它既带有GUI界面，又提供命令行，因此许多网络与系统管理员经常将它运用到自己的日常工作中，其中包括：检查开放的端口，维护服务的升级计划，发现网络拓扑，以及监视主机与服务的正常运行时间等方面。2、Wireshark作为业界最好的工具之一，Wireshark可以提供免费且开源的渗透测试服务。通常，您可以把它当作网络协议分析器，以捕获并查看目标系统与网络中的流量。它可以在Linux、Windows、Unix、Solaris、Mac OS、NetBSD、FreeBSD、以及其他操作系统上运行。Wireshark广受教育工作者、安全专家、网络专业人员、以及开发人员的使用和喜爱。那些经由Wireshark还原的信息，可以被其图形用户界面(GUI)或TTY模式的TShark工具来查看。3、Metasploit作为一个安全项目，Metasploit可为用户提供有关安全风险或漏洞等方面的重要信息。该开源的框架可以通过渗透测试服务，让用户获悉各种应用程序、平台和操作系统上的最新漏洞，以及可以被利用的代码。从渗透测试角度来看，Metasploit可以实现对已知漏洞的扫描，侦听，利用，以及证据的收集。它提供可在Linux、Windows以及Apple Mac OS上运行的命令行和图形用户界面。虽然Metasploit是一种商业工具，但它附带有一个开源的有限试用版。4、Netsparker作为一款商业化的安全测试工具，Netsparker是一个精确、自动化且易用的Web应用安全扫描程序。该工具可以被用于自动化地识别Web应用服务中的跨站点脚本(XSS)和SQL注入等安全风险。通过基于证据的扫描技术，它不仅可以生成风险报告，还能够通过概念证明(Proof of Concept)，来确认是否有误报，并能减少手动验证漏洞的时间。5、Acunetix是一款全自动化的Web漏洞扫描程序。它可以智能地检测、识别并报告超过4500种Web应用漏洞，其中包括XSS XXE、SSRF、主机头部注入(Host Header Injection)和SQL注入的所有变体。作为一种商业工具，Acunetix通过其DeepScan Crawler来扫描重AJAX(AJAX-heavy)客户端类型的单页面应用(SPA)和HTML5网站。6、Nessus是针对安全从业人员的漏洞评估解决方案。它能够协助检测和修复各种操作系统、应用程序、乃至设备上的漏洞、恶意软件、配置错误、以及补丁的缺失。通过运行在Windows、Linux、Mac、Solaris上，用户可以用它来进行IP与网站的扫描，合规性检查，敏感数据搜索等测试。7、W3af作为一个免费工具，W3af是一个Web应用攻击和审计框架。它通过搜索、识别和利用200多种已知的Web应用漏洞，来掌控目标网站的总体风险。这些漏洞包括：跨站点脚本(XSS)、SQL注入、未处理的应用错误、可被猜测的密钥凭据、以及PHP错误配置等。W3af不但适用于Mac、Linux和Windows OS，而且提供控制台和图形用户界面。8、Zed Attack Proxy由OWASP开发的免费且开源的安全测试工具。它可以让您在Web应用中发现一系列安全风险与漏洞。由于支持Unix/Linux、Windows和Mac OS，即使您是渗透测试的新手，也能轻松地上手该工具。9、Burpsuite作为一个严控“入侵者”扫描工具，Burpsuite被部分安全测试专家认为：“如果没有它，渗透测试将无法开展。”虽然不是免费，但是Burpsuite提供丰富的功能。通常，人们可以在Mac OS X、Windows和Linux环境中使用它，以实现爬取内容和功能，拦截代理，以及扫描Web应用等测试目的。10、Sqlninja 作为最好的开源渗透测试工具之一，Sqlninja可以利用Microsoft SQL Server作为后端，来检测Web应用上的SQL注入威胁和漏洞。该自动化测试工具提供命令行界面，可以在Linux和Apple Mac OS X上被使用。Sqlninja具有包括：对远程命令进行计数，DB指纹识别，及其检测引擎等描述性功能。

软件测试分为功能测试、接口测试、自动化测试、性能测试几大方向，每个方向用到的测试工具都不尽相同。功能测试会用到SVN、禅道、QCALM、Jira等软件测试管理工具。接口测试则会用到Jmeter、Postman、Fiddler软件，使用Jmeter可以执行测试用例，对页面跳转，参数传递等功能进验证。 自动化测试则又分为Web自动化测试和移动自动化测试。Web自动化测试主要会用到Selenium软件以及Firebug插件工具，使用Selenium可以对网站的核心功能进行自动化测试，包括元素定位、鼠标键盘的模拟操作及自动化测试框架的使用等。Web自动化测试主要用到的是Appium以及Monkey软件。Appium可以对APP核心功能进行测试验证，包括ID、xpath、list元素定位，数据交互、模块封装以及自动化测试框架的使用，生成测试报告，对APP功能进行评估等。
我们将常用的测试工具分为10类： 1. 测试管理工具2. 接口测试工具3. 性能测试工具4. C/S自动化工具5.白盒测试工具6.代码扫描工具7.持续集成工具8.网络测试工具9.app自动化工具 10.web安全测试工具