Skip to content


web应用的安全评估工具简介

ibm appscan
AppScan 是一个面向 Web 应用安全检测的自动化工具,使用它可以自动化检测 Web 应用的安全漏洞,比如跨站点脚本攻击(Cross Site Scripting Flaws)、注入式攻击(Injection Flaws)、失效的访问控制(Broken Access Control)、缓存溢出问题(Buffer Overflows)等等。这些安全漏洞大多包括在 OWASP(Open Web Application Security Project,开放式 Web 应用程序安全项目)所公布的 Web 应用安全漏洞中

IBM站点可以免费注册,然后下载相应的版本即可.
商业版大约100万台币,没错是一百万台币,折和人民币20W左右
这里说大概近50W左右
http://www.softwarelist.cn/?fsid=56&id=5302&cpath=ABAI
IBM Rational AppScan Enterprise Edition 7.7.654安装程序、破解文件及注册机可升级(已测试)分七个部分,请分别下载然后放到同一文件夹中解压

http://download.csdn.net/source/840431
http://download.csdn.net/source/840498
http://download.csdn.net/source/840544
http://download.csdn.net/source/840569
http://download.csdn.net/source/840606
http://download.csdn.net/source/840643
http://download.csdn.net/source/840657

Hp Webinspect
HP Application Security Center软件产品能全面分析现在构建于新一代Web 2.0技术之上的复杂web应用。HP Application Security Center软件应用范围广泛,具有快速扫描功能且能提供准确的Web应用扫描结果。
HP的工具出现误报的几率相对较大
商业版好像也要一百万,不知道啥币种
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-200%5e9570_4000_100__

Acunetix Web Vulnerability

通过网络爬虫测试你的网站安全,检测流行的攻击 ,如交叉站点脚本,sql 注入等。在被黑客攻击前扫描购物车,表格、安全区域和其他Web应用程序。
短小精干,同时速度也快,适合入门级的朋友
商业版一万四左右
http://www.lengmo.net/post/1332/

N-Stalker
N-Stalker Web Application Security Scanner是N-Stalker公司研发的一个顶级的安全评估工具。通过与知名的N-Stealth HTTP Security Scanner及其35,000个web攻击签名数据库合并,以及正在申请专利的web应用程序安全评估技术组件,N-Stalker能为你的web应用程序彻底消除大量普遍的安全隐患,包括跨站点的脚本和SQL injection,缓冲溢出,篡改参数攻击等等。
商业版一万四左右
http://www.3ddown.com/soft/32913.htm

google ratproxy
google 审计 XSS 的开源工具
http://code.google.com/p/ratproxy/
Ratproxy 工作流程:

1) 运行脚本后,会在本地启动一个代理服务器,默认端口是 8080 ;
2) 浏览器设置这个地址 (http://localhost:8080)为 代理地址 ;
3) 浏览要测试的 Web 页面,进行实际登录,填写表单等操作(这些动作会被代理服务器捕捉并做点”手脚”发给待检测的页面),ratproxy 会在后台记录相关的 Log ;
4) 用 ratproxy 提供的工具解析 Log 并输出 HTML 进行分析;
5) 修正比较严重的问题后,跳回到第一步,直到评估通过为止。

Posted in 安全, 技术.

Tagged with , .


2 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

  1. David Lou says

    不错,收藏了:)
    记得原来还看到过一个网站也提供安全评估,通过网站浏览需要检测的网站,会即时给出当前页的评估结果,可惜找不到了。

  2. C1G says

    一般这样的服务都要收钱或有一定的检测限制:(



Some HTML is OK

or, reply to this post via trackback.