qualys —— 软件漏洞 检测

appscan；Acunetix是全球排名前三的漏洞厂商，同类产品包括Nessus,Qualys

 

 

Qualys推出的主要工具叫QualysGuard。涉及了包括：

漏洞管理 — 主动检测和消除可能引起网络攻击的安全漏洞，并管理整体风险。

策略合规 — 实现和记录对内部策略和外部法规的合规性，可用于解决您业务的合规性需求。

付款卡行业合规 — 满足所有付款卡数据安全标准要求，在线实现付款卡合规性和文件合规性状态。

网站应用扫描 — 主动检测和消除自定义网端应用程序中最常见的安全漏洞。

恶意软件识别 — 免费为网页提供恶意软件识别服务。

安全印章 — 网页安全测试服务，并提供漏洞扫描、恶意软件识别、3G证书验证后的安全印章。

为主的6大模块工具的定制服务。同时还提供零日扫描服务，API接口等服务。

 

https://www.qualys.com/

 

 

在 Qualys SSL Labs SSL 测试中获得 A+ 评级的秘技 2021 版 - sysin - 博客园 (cnblogs.com)

 

 

(151条消息) 开发人员最常用的 10 大容器安全工具_IT孔乙己的博客-CSDN博客_容器安全工具

Qualys Container Security是 Qualys Cloud Platform 旗下的服务之一。Qualys 提供对容器主机安全性的可见性以及在运行时检测和防止安全漏洞的能力。它收集镜像注册表、镜像和从镜像中衍生出来的容器。使用 Qualys Container Security，您可以确定图像是否缓存在不同的主机上。Qualys 还识别暴露的网络端口上的容器是否正在运行特权。

Qualys 主要特点：

包含策略以阻止使用特定于漏洞的图像
识别具有高漏洞、较旧或测试版本标签以及未经批准的软件包的映像
以集中方式发现和跟踪容器及其镜像
通过为 CI/CD 工具部署插件，允许持续检测 DevOps 管道中的漏洞。
提供威胁识别、影响评估和补救优先级
————————————————
版权声明：本文为CSDN博主「IT孔乙己」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/pythondby/article/details/123141903

 

这些开源安全工具，你用过多少 - 旅途 - 博客园 (cnblogs.com)

渗透测试/漏洞评估篇

Metasploit

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

Metasploit号称是“世界上使用最广泛的渗透测试软件”，它以漏洞评估工具而著称。官方网站还含有关于渗透测试和安全的许多基本信息。

支持的操作系统：Windows和Linux。

相关网站：http://www.metasploit.com/

Nexpose

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

Nexpose出自开发Metasploit的Rapid 7之手，它是另一款大名鼎鼎的网络漏洞扫描工具。它既有免费开源版，又有提供额外功能的收费版。

支持的操作系统：Windows和Linux。

相关网站：http://www.rapid7.com/products/nexpose/compare-downloads.jsp

Ettercap

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

Ettercap可用来确定贵企业网络在中间人攻击面前的脆弱性。功能包括：探测活动连接、实时过滤内容、主动和被动剖析许多协议及更多方面。

支持的操作系统：Linux。

相关网站：http://ettercap.github.io/ettercap/

Nmap

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

这款流行的网络映射器一直出现在众多电影中，包括《极乐空间》、《特种部门2：全面反击》和《黑客帝国》。除了帮助安全审查外，它还可用于网络管理。

支持的操作系统：Windows、Linux和OS X。

相关网站：http://nmap.org/

Katana

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

这款套件将许多最受欢迎的安全和渗透测试工具结合在一个可以从U盘来运行的便携式程序包中。它含有Metasploit、Wireshark、nmap、Firefox、ClamAV及本文介绍的其他许多应用程序。

支持的操作系统：Windows和Linux。

相关网站：http://www.hackfromacave.com/katana.html

Nikto

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

可以轻松扫描你的Web服务器，查找6700多种可能很危险的文件和程序。它还可以检查不安全的配置和过时软件。

支持的操作系统：Windows、Mac、Linux、Unix和BSD。

相关网站：http://www.cirt.net/nikto2

OpenVAS

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

OpenVAS声称是“世界上最先进的开源漏洞扫描器和管理器”。它为漏洞管理提供了一种框架，可以扫描33000多种安全漏洞。

支持的操作系统：Windows、Linux和OS X。

相关网站：http://www.openvas.org/index.html

OWASP Zed Attack Proxy

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

这款渗透测试工具又叫ZAP，用起来要比另外一些同类工具来得容易，因而对刚接触这种安全测试的那些人来说是不错的选择。这款屡获奖项的工具旨在查找Web应用程序中的安全漏洞。

支持的操作系统：Windows、Linux和OS X。

相关网站：https://www.owasp.org/index.php/ZAP

Paros

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

基于Java的Paros有助于评估Web应用程序的安全漏洞。它可以扫描、查找跨站脚本和SQL注入问题等其他安全威胁。

支持的操作系统：与操作系统无关。

相关网站：http://www.parosproxy.org/index.shtml

Samurai

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

Samurai是一款基于Linux的自生系统，它把许多不同的渗透测试工具集合在一个框架里面。它含有可用于侦察、映射、发现和攻击的工具。

支持的操作系统：Linux。

相关网站：http://samurai.inguardians.com/

w3af

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

这个Web应用程序安全审查框架可以搜寻200多种不同种类的安全漏洞，包括跨站脚本、PHP配置不当和SQL注入攻击。还提供了无数的附件。

支持的操作系统：Windows和Linux。

相关网站：http://w3af.org/

Wapiti

针对的商用软件：Qualys、CORE Security、Saint和Cobalt Strike的产品

Wapiti是另一种查找Web应用程序中安全漏洞的工具，它可以对应用程序进行黑盒扫描。它可以检查XSS、SQL和XPath注入攻击、文件包含、命令执行、XXE注入攻击、CRLF注入攻击及其他安全漏洞。

支持的操作系统：Windows、Linux和OS X。

相关网站：http://wapiti.sourceforge.net/

 

 

安全科普:漏洞扫描那些事 - Beijing UGTech Co.,Ltd

 

企业可以采用哪些优秀云安全解决方案_课课家 (kokojia.com)

(6) Qualys

　　Qualys的云安全平台提供各种服务，包括漏洞管理、Web应用程序扫描、网络安全监控和日志分析。Qualys还可以与其他基于云的应用程序集成，以确保您的基础设施中的所有应用程序都是安全的。

　　该平台提供了一个统一的环境，可为您的整个组织提供对安全性和合规性问题的可见性，而且它也易于使用。它监控容器、端点、移动设备和虚拟机，使其成为希望构建或更新其安全策略的公司的最佳解决方案之一。

 

 https://owasp.org/www-project-top-ten/

 

 

• A01:2021-Broken Access Control moves up from the fifth position; 94% of applications were tested for some form of broken access control. The 34 Common Weakness Enumerations (CWEs) mapped to Broken Access Control had more occurrences in applications than any other category.
• A02:2021-Cryptographic Failures shifts up one position to #2, previously known as Sensitive Data Exposure, which was broad symptom rather than a root cause. The renewed focus here is on failures related to cryptography which often leads to sensitive data exposure or system compromise.
• A03:2021-Injection slides down to the third position. 94% of the applications were tested for some form of injection, and the 33 CWEs mapped into this category have the second most occurrences in applications. Cross-site Scripting is now part of this category in this edition.
• A04:2021-Insecure Design is a new category for 2021, with a focus on risks related to design flaws. If we genuinely want to “move left” as an industry, it calls for more use of threat modeling, secure design patterns and principles, and reference architectures.
• A05:2021-Security Misconfiguration moves up from #6 in the previous edition; 90% of applications were tested for some form of misconfiguration. With more shifts into highly configurable software, it’s not surprising to see this category move up. The former category for XML External Entities (XXE) is now part of this category.
• A06:2021-Vulnerable and Outdated Components was previously titled Using Components with Known Vulnerabilities and is #2 in the Top 10 community survey, but also had enough data to make the Top 10 via data analysis. This category moves up from #9 in 2017 and is a known issue that we struggle to test and assess risk. It is the only category not to have any Common Vulnerability and Exposures (CVEs) mapped to the included CWEs, so a default exploit and impact weights of 5.0 are factored into their scores.
• A07:2021-Identification and Authentication Failures was previously Broken Authentication and is sliding down from the second position, and now includes CWEs that are more related to identification failures. This category is still an integral part of the Top 10, but the increased availability of standardized frameworks seems to be helping.
• A08:2021-Software and Data Integrity Failures is a new category for 2021, focusing on making assumptions related to software updates, critical data, and CI/CD pipelines without verifying integrity. One of the highest weighted impacts from Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) data mapped to the 10 CWEs in this category. Insecure Deserialization from 2017 is now a part of this larger category.
• A09:2021-Security Logging and Monitoring Failures was previously Insufficient Logging & Monitoring and is added from the industry survey (#3), moving up from #10 previously. This category is expanded to include more types of failures, is challenging to test for, and isn’t well represented in the CVE/CVSS data. However, failures in this category can directly impact visibility, incident alerting, and forensics.
• A10:2021-Server-Side Request Forgery is added from the Top 10 community survey (#1). The data shows a relatively low incidence rate with above average testing coverage, along with above-average ratings for Exploit and Impact potential. This category represents the scenario where the security community members are telling us this is important, even though it’s not illustrated in the data at this time.