常用Web漏洞扫描工具汇总

常用Web漏洞扫描工具汇总

1、AWVS，

2、OWASP Zed（ZAP），

3、Nikto，

4、BurpSuite，

5、Nessus，

6、nmap

7、X-ray

还有很多不是非常知名，但可能也很大牌、也较常见的。

除此之外，还有很多商业漏洞扫描软件。

还有国内的一些扫描工具。

还有一些小团队、个人开发的漏扫工具，

还有开源的漏扫工具。

总结：

一. OWASP ZAP使用教程

一、安装

唯一需要注意的是：

二、使用

1、初步使用ZAP

2、更新

3、本地代理设置

4、简单攻击

5、persist session结果保存

6、扫描模式

7、扫描策略

8、扫描时跳过某个插件扫描

9、CSRF Tokens设置

10、设置代理后，https网站证书不受信任问题

11、contexts／scope 站点过滤

12、http session

13、编码解码工具

14、爬行useragent设置

15、fuzzer模糊测试（漏洞检查工具）

16、代理截断

常用Web漏洞扫描工具汇总

1、AWVS，

国外商业收费软件，据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况，也可导出报告，报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。

2、OWASP Zed（ZAP），

来自OWASP项目组织的开源免费工具，提供漏洞扫描、爬虫、Fuzz功能，该工具已集成于Kali Linux系统。

详情见 一. OWASP ZAP使用教程

3、Nikto，

一款开源软件，不仅可用于扫描发现网页文件漏洞，还支持检查网页服务器和CGI的安全问题。它支持指定特定类型漏洞的扫描、绕过IDC检测等配置。该工具已集成于Kali Linux系统。

4、BurpSuite，

“Scanner”功能用于漏洞扫描，可设置扫描特定页面，自动扫描结束，可查看当前页面的漏洞总数和漏洞明细。虽说也有漏扫功能，但其核心功能不在于此，因此漏扫功能还是不如其他专业漏洞扫描工具。

5、Nessus