Web漏洞扫描器集合主流综合Web安全扫描工具推荐

Web 漏洞扫描程序实在是太多了。Web 可能是网络安全入门的第一课，这节课的内容实际上比我更好。我还在这里扔砖头，所以这节课可以算是科普文章，介绍几种常用的Web安全扫描器，至于扫描器的一些细分，可以借鉴之前的扫描器集

AWVS，主流的综合性网络安全扫描器

推荐指数：

官方网站：

使用文档的详细说明：Web

（AWVS） 是一种著名的 Web 漏洞扫描工具，它使用网络爬虫来测试您网站的安全性并检测流行的安全漏洞。它包含付费和免费两个版本，AWVS官网为：，最新版本为V13版本，官方下载地址为：

在之前的实战过程中，我更喜欢AWVS作为通用的扫描仪，因为可以扫描的漏洞很多，使用起来会比较简单。

作者简介：一款功能强大的漏洞扫描器，拥有庞大而完整的漏洞库，可以说是市面上最好的漏洞扫描器

简介

官方网站：

详细说明文件：

推荐指数： ⭐

简介

BM 是一款非常有用且功能强大的 Web 应用安全测试工具，一度在业界广为人知，可以自动对 Web 应用进行安全漏洞评估，可以扫描和检测所有常见的 Web 应用安全漏洞，如 SQL 注入 （SQL-）、跨站点脚本攻击（cross-site）、缓冲区溢出 （ ），以及最新的 Flash/Flex 应用和 Web 2.0 应用暴露等安全漏洞。欢迎有需要的朋友下载使用。它是前IBM软件部门的一套网络安全测试和监控工具，该部门于2019年被HCL 收购。它旨在测试 Web 应用程序在开发过程中的安全漏洞 [1]。该产品可以学习每个应用程序的行为，无论是现成的还是内部开发的;该产品还开发了一个程序，用于测试应用程序所有功能中的常见和特定安全漏洞。

作者简介：优点是误报极少。

官方网站：

详细说明文件：

推荐指数：

开放漏洞评估系统

（Open ）是一种客户端/服务器架构，通常用于评估目标主机上的漏洞。 是提供完全免费产品的项目的一个分支。默认情况下，它安装在标准 Kali Linux 上，本节介绍配置和启动。

它是一种开源扫描仪，在充电开始后独立出来

作者简介：系统和设备扫描功能强大，但缺点是扫描速度慢，占用大量磁盘空间

尼托

推荐指数：

地址：

详细说明文件：

Nikto 是一款免费的在线漏洞扫描程序，可帮助您了解服务器功能、检查其版本、在 Web 服务器上进行测试以识别威胁和恶意软件的存在，并扫描不同的协议，例如 https、httpd、HTTP 等。 可以在短时间内扫描服务器的多个端口。Nikto 因其效率和服务器增强功能而受到青睐。

作者简介：基于/完成其底层功能的开源漏洞扫描程序。这是一个很棒的工具，但软件本身并不经常更新，并且可能无法检测到最新和最危险的工具。

X射线

推荐指数：

官方网站：

详细使用文档： #//

Xray 是一个强大的安全评估工具，由许多经验丰富的一线安全从业者构建

目前支持以下类型的漏洞检测：

POC 框架默认内置 poc，用户也可以根据需要自行构建和运行 poc

作者简介：Go 语言开发了一款优秀的漏洞扫描器，可以支持导入 POC 扫描，但团队对 POC 的质量要求很高，导致 POC 数量相对较少

总结

笔者以一种不多于匮乏的态度推荐了几种主流的综合性Web安全漏洞扫描器，在一般环境中，这些综合性漏洞扫描器可以扫描大部分问题，如果某些环境不允许扫描器扫描的话。然后你需要自己测试一下。通过WAF的方法也是为了测试一个安全研究员的基本水平，后面会单独解释。如果你还有好的扫描仪推荐，可以私信给我，我会推荐给大家，谢谢！