漏洞扫描——漏洞库
CVE漏洞库 https://cve.mitre.org
为了规范漏洞的描述,MITER公司建立了一个通用的漏洞列表(Common Vulnerabilities & Exposures,简称CVE)
— 已公开的信息安全漏洞字典,统一的漏洞编号标准
— MITRE公司负责维护(非盈利机构)
— 扫描器的大部分扫描项都对应一个CVE编号实现不同厂商之间信息交换的统一标准
国外漏洞库
BugTraq漏洞库(http://www.securityfocus.com/bid)
ICAT漏洞库(http://icat.nist.gov/icat.cfm)
X-Force漏洞库 (http://xforce.iss.net)
CERT/CC漏洞信息数据库 ( http://www.cert.org )
国内漏洞库
国家计算机网络入侵防范中心 (http://www.nipc.org.cn)
绿盟科技 (http://www.nsfocus.com)
安全焦点 (http://www.xfocus.net)
中国信息安全论坛 (http://www.chinafirst.org.cn)
安终科技 (http://www.cnns.net)
中国计算机网络应急处理协调中心 (http://www.cert.org.cn)
漏洞扫描——扫描器
Nessus
Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。
— 提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。
— 不同于传统的漏洞扫描软件,Nessus 可同时在本机或远端上摇控,进行系统的漏洞分析扫描。
— 其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小)其效率表现可因为丰富资源而提高。
— 可自行定义插件(Plug-in)
— NASL(Nessus Attack Scripting Language) 是由 Tenable 所开发出的语言,用来写入Nessus的安全测试选项。
— 完整支持SSL(Secure Socket Layer)。
https://www.tenable.com/downloads/nessus?loginAttempted=true
WVS(Web Vulnerability Scanner)
是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。
https://www.acunetix.com/download/fullver23/
AppScan
AppScan是业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。
在商业安全扫描工具中,提供简体中文支持的,目前也只有AppScan一个。
其他漏洞扫描器
商业
Netsparker
WebInspect
开源
W3af
Owasp Zap