最受歡迎的十大WEB應用安全評估系統在國內一些網站上經常看到文章說某某 WEB應用安全評估工具排名，但是很可惜，絕大多數都是國外人搞的，界面是英文，操作也不方便，那游俠就在這里綜合下，列舉下國內WEB安全評估人員常用的一些工具。當然，毫無疑問的，幾乎都是商業軟件，并且為了描述更準確，游俠盡量摘取其官方網站的說明：1.IBMRationalAppScanIBM公司推出的IBMRationalAppScan產品是業界領先的應用安全測試工具，曾以WatchfireAppScan的名稱享譽業界。RationalAppScan可自動化Web應用的安全漏洞評估工作，能掃描和檢測所有常見的 Web應用安全漏洞，例如SQL注入(SQL-injection)、跨站點腳本攻擊(cross-sitescripting、及緩沖溢出(bufferoverflow、等方面安全漏洞的掃描。游俠標注：AppScan不但可以對WEB進行安全評估，更重要的是導出的報表相當實用，

也是國外產品中唯一可以導出中文報告的產品，并且可以生成各種法規遵從報告，如 ISO27001、OWASP2007等。2.HPWebInspect

M￡44Vf^TfAHat**** *W」I-J?F"*Vr=ri^ftRfcrjfcjfc-■jtrF !■'?"}?■□“『?■";M*：M百.「円-*f**h"4IMCr*w-I砂>討El■*F卜EuvrM￡44Vf^TfAHat**** *W」I-J?F"*Vr=ri^ftRfcrjfcjfc-■jtrF !■'?"}?■□“『?■";M*：M百.「円-*f**h"4IMCr*w-I砂>討El■*F卜Euvr配2mhrftt■CrMni￥u<^]aSun"HJlmRMmng?$叭1hiLiwi■治宀血哼IW4H電弋曲十?町詞?|—Lh|.<1f沖叭，"a威F40酉燈hrrtp~*r>?f點￥■M<B(MFJT|廬?14ZHMn?*l*A^E如JEb”*d*■?嚴gvtarSc*"?!Ekx^dhflL^J!?y3#TJ!0"目前，許多復雜的Web應用程序全都基于新興的 Web2.0技術，HPWeblnspect可以對這些應用程序執行 Web應用程序安全測試和評估。 HPWebInspect可提供快速掃描功能、廣泛的安全評估范圍及準確的 Web應用程序安全掃描結果。它可以識別很多傳統掃描程序檢測不到的安全漏洞。 利用創新的評估技術，例如同步掃描和審核(simultaneouscrawlandaudit,SCA)及并發應用程序掃描，您可以快速而準確地自動執行Web應用程序安全測試和Web服務安全測試。主要功能：?利用創新的評估技術檢查 Web服務及Web應用程序的安全?自動執行Web應用程序安全測試和評估?在整個生命周期中執行應用程序安全測試和協作?通過最先進的用戶界面輕松運行交互式掃描?滿足法律和規章符合性要求?利用高級工具 (HPSecurityToolkit)執行滲透測試?配置以支持任何 Web應用程序環境游俠標注：毫無疑問的， WebInspect的掃描速度相當讓人滿意。3.AcunetixWebVulnerabilityScanner嚴 右—Mt:LWra*Mw^hrnlfMTwhCM^pmlivntMi~Hj1n.m.J_MrRlruHSUiVHtorMl^齊VWatSMrfHiPQtwiMHlOftT*r?ad]4M^cA*1K.IM恬ItfMTwhCM^pmlivntMi~Hj1n.m.J_MrRlruHSUiVHtorMl^齊VWatSMrfHiPQtwiMHlOftT*r?ad]4M^cA*1K.IM恬It刖J ■*^V'b|3AAh 440%'^44 0^*tfi Ag^hfi1fit》鼻穌 ddHr-fkm44|(Q?“* 上■乎丹J>*Jjiein代皿i|^rfWi.E?*pEna* ?[口?jF*teed*■*?"￡?0^護4a*d? 1CU.Xummu.wwmf0*rtFhfew!g?^tpHdMn■?■*nrL?如修tatawtH?■■94/*?jeihM^I=?*nnww?■*甲,1力?R*a?fWcW*QQA??V3jW? 曲?9 Cfrp^wvwfenpivCMriwvAtv*0iGw* 知審"Af*i*r科i?/Em>v4vTv1-iMiSLiCAJM!■■<!!iiftB8(1D■tau■」詢.n*F*hJvfiWwfiA泗mi fij孕.flpi ■■4arrimwdfDj-0frdfaanHh厲0WiAfel缶鼻 ?Blo^MIF*CMITlMMdI|Mtp-i1192.1MD.2S.WjAiar\li^rmtftoftAcunetixWebVulnerabilityScanner是一款自動的Web應用安全性測試工具，它能夠通過發現Web應用的Hacking弱點來監測你的網站。自動掃描能夠更快速有效的對你的網站和Web應用進行深度測試。大約有70%的網站存在安全隱患，這些漏洞可能會導致信用卡信息或客戶列表等敏感的公司數據被盜。對web應用hacking來說，防火墻，SSL和鎖定的服務器幾乎是無用的。從80/443端口發起的針對webapplication的攻擊，能夠直接穿過防火墻，越過操作系統和網絡級的安全措施，到達您的應用的心臟和企業數據。模塊類的 web應用通常都沒用作足夠的測試，有隱藏的弱點，及易受到攻擊。Acunetix具有領先的web應用安全掃描技術：我們的工程師從 1997年開始就專注于網站分析和弱點偵測。 AcunetixWebVulnerabilityScanner包括許多開創性的功能：?自動的Javascript分析器可以測試Ajax和Web2.0的應用，?行業內最先進，最深入的 SQL注入和跨站點腳本測試，Visualmacrorecorder使Webform和密碼保護區域測試更容易，?擴展的報表工具包括VISAPCIcomplianee報表，?多線程和快速掃描工具能夠輕松檢驗成千上萬的頁面，?智能的Crawler能夠探測Web服務器的種類和應用的編程語言，Acunetix可以探測和分析網站上的 Flash內容，SOAP和AJAX4?綠盟極光遠程安全評估系統-Web應用掃描WWiTlBi 1MWJ■**$朋9削調tn?EWWiTlBi 1MWJ■**$朋9削調tn?E肺屮)?MClaShewiipCD~??na(1l蠹口o朗n\■isahaiB豊弭仆mc(llIfill： t|MspLMI.it.tii])h|iet|dx- 疋 3HN1■ih?Bnr|K.cfH>*u*"*■ ?■? ;>|r.4陽JRLF4p#* ;,讀*誹年剛)|護1(￥0?￡剛141**口tna=怡3E輛3<LLnpft3E4fc皚dotutwflltpokwffietiaihcp-r*- 了憂亟p虹皿■邛耳艸hgzi￡4。枇iMd=1&護凱a|=%?E^3Ct-cnpftSEi-mMcunn-enScOOK?-$cHW-r*f?i(?curwsni p)咻<#1亦un[.- ',*帕山?"曲kmrFc補林CVM^PXk'mMllZ^METHODWnilRLhEp護 ■'標種臨1單$1^?獰牝14*如曲曲#常60%加耳￡$備PA鏈匚iD^OO%>DJ%&5thirridW1H：：?:「Mt^tCItSh葉Mp陽4?lxnw?80聲F0%C4WDA%rilKOC '-：icnpt'ziflMtdixumt^l(q0*441-.'(c帕卜0^*--Hr-<o?冷曰川.：—的0<A:: ■■:T---：i^綠盟遠程安全評估系統Web應用掃描增強模塊，是綠盟科技研究團隊多年深入研究當前各種流行的Web攻擊手段的技術結晶，是專門面向 Web應用安全管理員進行專業安全評估及檢測的自動化工具。可以進行 Web應用、Web服務及支撐系統等多層次全方位的安全漏洞掃描、審計和輔助邏輯分析， 全面發現各類安全隱患， 提出針對性的修復建議， 以及形成多種符合法規、行業標準的報告。5?安恒信息MatriXay明鑒WEB應用弱點掃描器BatrIXayWebScan2_頊目時漏輯⑧視圖妁工貝A）報表?幫助EIPJ網站列表-□審閥站列表J?rosyS?rver-□審閥站列表J?rosyS?rverJMtp：//192.158.3.2iJhttp://ig2.15B3.2L,...i計

is用尸管理網站列表管理計劃枉務i計

is明鑒WEB應用弱點掃描器（簡稱： MatriXay3.6）是安恒安全專家團隊在深入分析研究B/S架構應用系統中典型安全漏洞以及流行攻擊技術基礎上研制而成，該產品 1.0版本于2006年8月世界安全大會BlackHat和Def-Con上首次發布，2.0版本于2007年12月發布，并在08奧運WEB安全保障中發揮了重要的作用。 與市場上同類產品的不同之處在于： 不僅具有非凡的掃描功能，還提供了強大的滲透測試、網頁木馬檢測功能。因此，被評價為“最佳的WEB安全評估工具”。作為公安部等級保護測評中心專用應用安全測評工具， 工信部安全中心運營商安全Web和數據庫安全檢查工具， MatriXay3.6（2009版）可以幫助用戶充分了解 WEB應用存在的安全隱患，建立安全可靠的WEB應用服務，改善并提升應用系統抗各類 WEB應用攻擊的能力（如:注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩沖區溢出等）。同時，安恒信息擁有國內領先的 WEB在線掃描平臺，詳情參照：6?安域領創WebRavor攻目0](004)：BONU50lfcWEB-p]http:/；demo.webra/-1353ORA匚11_CHAR_TYPE_1三ELu +00(004攻目0](004)：BONU50lfcWEB-p]http:/；demo.webra/-1353ORA匚11_CHAR_TYPE_1三ELu +00(004):LONL-00(003)：AATf岡酉NAME□□ID0QCONTEW□HAANEW500AASH1DIAN-0HORAriE_OR_CHW0>“http:/Jdemo.wet（6口8）子1莊6”舊自IT嚴=a%；rir；門二”3亠）"匚油kr）碩;從瀏覽黑打開f)ICauinotdistingru*)Fuz2injgcontentofiICamnot*)GetCDlmrincount,of疤tColumn匚ount-ofAATCK*}GetColumncounto￡A(il^tlTUTUjLS身扮■認證（E）…7在檢測bittp7/demo.webravor.cof頁面11示信息（D…掃描審計港透加入掃描例外圖…耳上17匚LilTEilf ^2概覽(Q)-.序,，審匚ONTENTDependDnPolicy被動模式掃描■弱直列表扌婁制合任務管理新一代應用安全掃描工具商業級安全產品，被客戶評價為“技術和藝術的完美結晶”WebRavor,新一代應用安全掃描工具商業級安全產品，被客戶評價為“技術和藝術的完美結晶”，并且已經取得多項專利保護（200920105886.0/200910078545.3）。安域領創的安全服務團隊具有豐富的實施和規劃經驗，從 2001年開始就參與規劃和實施多種類型的安全咨詢和服務項目，遍及政府、金融、電信、移動、聯通等國內各大行業客戶。WebRavor是在深入研究分析WEB應用系統中典型安全漏洞及流行攻擊技術的基礎上，由國內頂尖團隊開發的一款 WEB應用安全評估產品。研發及測試時間歷經 4年，經過10萬多個真實系統的測試，是目前業界最強悍的專注于 WEB應用安全弱點的評估工具。WebRavor在2006年8月的世界安全大會BlackHat和Def—Con上發布后，被評價為“最佳的WEB安全評估工具”。游俠標注：WebRavor的作者是中國第一代黑客的代表人物， 寫“流光”的作者“小榕”。請參考游俠寫的：7.諾賽科技Jsky/Pangolin

JSkyWeb應用安全漏洞掃描系統是一款簡明易用的自動化 Web漏洞掃描與漏洞利用平臺。幫你發現并解決現有Web系統中存在的安全隱患；杜絕黑客攻擊；保護企業核心資產。諾賽科技為您提供專業且全面的安全解決方案。 JSky作為自動化的Web應用漏洞掃描軟件模擬“攻擊者”給你全方位的視角和完善的建議。讓你對入侵者的操作一目了然， 從而制定有針對性的防護方案。JSky不只是告訴您這里有漏洞，同時也能通過實際操作告訴您這種漏洞會導致什么樣的后果：企業會否由于該漏洞發生數據泄漏？數據丟失？網站掛馬？無論您后臺數據庫是MSSQLMYSQLOracle抑或是大型的SybaseInformix、DB2系統，我們都能通過簡單的操作進行深入的滲透測試。包括讀系統敏感文件、寫文件、讀取數據庫信息、執行系統命令、權限提升、上傳木馬后門等等一系列的操作。向導式的操作，能讓您瞬間成為 Web應用安全專家。游俠標注：諾賽科技有大牛zwell的支撐，同時有Pangolin穿山甲SQL注入評估軟件、iiScan在線WEB安全評估平臺，也是非常有實力的公司。其 iiScan在線WEB安全評估平臺請見：8?知道創宇“知道網站安全體檢中心”WEB知道創宇成立于2007年，是中國唯一微軟全球安全服務提供商。知道創宇專注于安全，致力于提供產品、技術、服務來改善日益惡化的中國互聯網安全環境。WEB知道網站安全體檢中心（在線 WEB安全評估