常用Web漏洞扫描工具汇总（持续更新中）

常用Web漏洞扫描工具汇总

• 常用Web漏洞扫描工具汇总
• • • 1、AWVS，
    • 2、OWASP Zed（ZAP），
    • 3、Nikto，
    • 4、BurpSuite，
    • 5、Nessus，
    • 6、nmap
    • 7、X-ray
    • 还有很多不是非常知名，但可能也很大牌、也较常见的。
    • 除此之外，还有很多商业漏洞扫描软件。
    • 还有国内的一些扫描工具。
    • 还有一些小团队、个人开发的漏扫工具，
    • 还有开源的漏扫工具。
    • 总结：
• 一. OWASP ZAP使用教程
• • • 一、安装
    • • • 唯一需要注意的是：
    • 二、使用
    • • • 1、初步使用ZAP
        • 2、更新
        • 3、本地代理设置
        • 4、简单攻击
        • 5、persist session结果保存
        • 6、扫描模式
        • 7、扫描策略
        • 8、扫描时跳过某个插件扫描
        • 9、CSRF Tokens设置
        • 10、设置代理后，https网站证书不受信任问题
        • 11、contexts／scope 站点过滤
        • 12、http session
        • 13、编码解码工具
        • 14、爬行useragent设置
        • 15、fuzzer模糊测试（漏洞检查工具）
        • 16、代理截断

常用Web漏洞扫描工具汇总

1、AWVS，

国外商业收费软件，据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况，也可导出报告，报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。

2、OWASP Zed（ZAP），

来自OWASP项目组织的开源免费工具，提供漏洞扫描、爬虫、Fuzz功能，该工具已集成于Kali Linux系统。

详情见 一. OWASP ZAP使用教程

3、Nikto，

一款开源软件，不仅可用于扫描发现网页文件漏洞，还支持检查网页服务器和CGI的安全问题。它支持指定特定类型漏洞的扫描、绕过IDC检测等配置。该工具已集成于Kali Linux系统。

4、BurpSuite，

“Scanner”功能用于漏洞扫描，可设置扫描特定页面，自动扫描结束，可查看当前页面的漏洞总数和漏洞明细。虽说也有漏扫功能，但其核心功能不在于此，因此漏扫功能还是不如其他专业漏洞扫描工具。

5、Nessus