[[396070]]

本文轉(zhuǎn)載自微信公眾號(hào)「Bypass」，作者Bypass。轉(zhuǎn)載本文請(qǐng)聯(lián)系Bypass公眾號(hào)。

初入門時(shí)，喜歡將目標(biāo)站點(diǎn)直接丟掃描器，慢慢等掃描結(jié)果，極度依賴Web掃描器;而有一些漏洞高手，善于運(yùn)用運(yùn)用各種工具但并不依賴工具，經(jīng)?？梢哉业綊呙韫ぞ甙l(fā)現(xiàn)不了的漏洞。

一款好用的Web掃描器對(duì)于白帽子來(lái)說(shuō)，就像劍客手中的劍一樣重要，那么，如何來(lái)選擇一款合適而好用的Web掃描器呢?今天，我們來(lái)介紹一下比較常見的Web安全掃描工具，來(lái)給自己挑一把趁手的武器吧。

從掃描方式來(lái)說(shuō)，最傳統(tǒng)的一種方式就是基于爬蟲的漏洞掃描，通過(guò)爬蟲收集網(wǎng)站的所有鏈接及其參數(shù)請(qǐng)求，發(fā)送Payload進(jìn)行漏洞探測(cè)。對(duì)于一些涉及邏輯判斷，爬蟲無(wú)法抓取的頁(yè)面，則可以通過(guò)被動(dòng)代理掃描，基于被動(dòng)代理的漏洞掃描讓掃描器成為了指哪打哪的利器。另外，但是有一些API或孤頁(yè)，通過(guò)爬蟲和人工點(diǎn)擊是一一獲取到的，這就需要基于日志/流量分析的漏洞掃描來(lái)解決這個(gè)問(wèn)題。

1、AWVS

非常經(jīng)典的Web掃描神器，入門必備。推薦指數(shù)：★★★★★

官方網(wǎng)站：

https://www.acunetix.com 

AWS10.5 以前的版本，提供的是有客戶端和Web界面，不到50M的安裝文件，界面簡(jiǎn)潔，掃描速度快，資源占用率低、掃描策略設(shè)置簡(jiǎn)單，客戶端的各種輔助工具更是提供了強(qiáng)大的單兵作戰(zhàn)能力。

我個(gè)人就是堅(jiān)定的AWS10.5的擁護(hù)者，后來(lái)AWVS的web改版確實(shí)是有點(diǎn)不習(xí)慣了。

2、IBM AppScan

一款可與AWVS比肩的Web安全掃描工具， 推薦指數(shù)：★★★★

官方網(wǎng)站：

https://www.hcltechsw.com/products/appscan 

總體而言，掃描的效果還是不錯(cuò)的，準(zhǔn)確度也相對(duì)高一些，掃描速度確實(shí)是有點(diǎn)慢。一般而言，通常我們可以對(duì)一個(gè)web站點(diǎn)同時(shí)使用AWVS和AppScan都進(jìn)行檢測(cè)，然后相互驗(yàn)證掃描效果，提高檢測(cè)的準(zhǔn)確率。

3、Goby

一款攻擊面分析工具，推薦指數(shù)：★★★★★

官方網(wǎng)站：

https://gobies.org 

安裝過(guò)程非常簡(jiǎn)單，Windows解壓縮直接雙擊EXE即可運(yùn)行，可跨平臺(tái)支持Windows、Linux、 Mac。功能上也挺全面的，提供最全面的資產(chǎn)識(shí)別，最快的掃描體驗(yàn)，內(nèi)置可自定義的漏洞掃描框架。

4、Xray

一款強(qiáng)大的安全評(píng)估工具。推薦指數(shù)：★★★★

官方網(wǎng)站：

https://xray.cool 

xray 最好用的就是它的被動(dòng)掃描模式，與burp進(jìn)行聯(lián)動(dòng)更是一項(xiàng)絕活，讓流量從Burp轉(zhuǎn)發(fā)到Xray，所有的數(shù)據(jù)包透明，堪稱指哪打哪的利器。

5、開源漏洞檢測(cè)框架

以POC-T、pocsuite、pocscan、Osprey等為代表的開源項(xiàng)目，提供了可自定義的漏洞檢測(cè)框架，Poc數(shù)量和質(zhì)量，決定了檢測(cè)效果，漏洞庫(kù)的積累就顯得尤為重要。

github項(xiàng)目地址：

POC-T：https://github.com/Xyntax/POC-T 
pocsuite3：https://github.com/knownsec/pocsuite3 
pocscan：https://github.com/erevus-cn/pocscan 
Osprey：https://github.com/TophantTechnology/osprey 

開源的掃描器不計(jì)其數(shù)，復(fù)造輪子的人甚多，而真正能夠成為神器的工具其實(shí)不多。

6、IAST 灰盒掃描工具

如果我們的定位是在SDL的安全測(cè)試過(guò)程中，相比起黑盒測(cè)試方案，IAST則是一種新的安全測(cè)試方案。一般會(huì)通過(guò)Agent插樁監(jiān)測(cè)，無(wú)需重放請(qǐng)求、無(wú)臟數(shù)據(jù)，幾乎達(dá)到0誤報(bào)，無(wú)疑是實(shí)現(xiàn)自動(dòng)化安全測(cè)試的最佳選擇。

7、商業(yè)Web應(yīng)用掃描器

一些安全廠商提供了漏掃產(chǎn)品，不過(guò)在細(xì)分領(lǐng)域其實(shí)還有是一定區(qū)別的，比如有專門做Web應(yīng)用安全掃描的，也有綜合性漏洞掃描的，還有做Web安全監(jiān)測(cè)的掃描產(chǎn)品，都有提供了一定的Web應(yīng)用漏洞掃描的能力。

部分安全廠商及掃描產(chǎn)品匯總：

綠盟       綠盟WEB應(yīng)用漏洞掃描系統(tǒng)(WVSS)  綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)(RSAS) 
啟明       天鏡脆弱性掃描與管理系統(tǒng) 
安恒       Web應(yīng)用弱點(diǎn)掃描器（MatriXay    明鑒遠(yuǎn)程安全評(píng)估系統(tǒng) 
奇安信     網(wǎng)神SecVSS3600漏洞掃描系統(tǒng) 
盛邦安全    Web漏洞掃描系統(tǒng)（RayWVS）    遠(yuǎn)程安全評(píng)估系統(tǒng)（RayVAS) 
斗象科技    ARS 智能漏洞與風(fēng)險(xiǎn)檢測(cè) 
長(zhǎng)亭科技    洞鑒（X-Ray）安全評(píng)估系統(tǒng) 
四葉草安全  全時(shí)風(fēng)險(xiǎn)感知平臺(tái) 

以上，就是我們總結(jié)的比較常見的Web安全掃描工具，歡迎大家一起留言討論。