1. Burp Suite （免費）

Burp Suite 其實是一個平臺，包含不同類型的工具，相互間有許多接口，連接便利，能加快滲透應用程序的進程。不同的工具共享相同的框架，用于顯示和處理 HTTP 消息、身份驗證、耐久性、日志記錄、警報、代理和可擴展性。

[[243092]]

Burp Suite 需要付費，但也有免費試用版可以使用，適用于 Linux、MAC OS X 和 Windows 操作系統。

2. Nikto （免費）

Nikto 是一個開放源代碼的 Web 服務器掃描程序，可以在 Web 服務器上執行超過 6700 個潛在危險文件和程序的測試。也可在超過 2700 臺服務器上檢查 1250 多個舊服務器的版本和特定的版本問題。此外，Nikto 還可檢查服務器配置項目（如多個索引文件、HTTP 服務器選項等），還能嘗試識別已安裝的軟件和 Web 服務器。其插件和掃描項目經常可以自動更新。

其具體功能包括 SSL 支持；完整的 HTTP 代理支持；檢查過時的服務器組件；以XML、HTML、CSV 或 NBE 等各種格式保存報告；通過使用模板引擎輕松自定義報告；通過輸入文件在服務器或多服務器上掃描多個端口；識別通過頭文件、文件和圖標識別安裝的軟件；使用 NTLM 和 Basic 進行主機驗證；檢查常見的“parking”站點；在特定時間自動暫停等等。

雖然 Nikto 并不可隱藏蹤跡，卻可以在盡可能快的時間內測試網絡服務器，還能支持 LibWhisker 的反 IDS方法。

其實，并非所有的檢查都是為了查找安全問題。但是安全工程師和網站管理員有時不知道他們的服務器上存在“僅檢查信息”類型的檢查。而通過使用 Nikto，這些“信息類型”的檢查會在打印出的信息中標記出來，還能掃描到另一些針對日志文件中未知項目的檢查。

Nikto 可免費使用。由于 Nikto 基于 perl，因此只在大多數安裝了 Perl 翻譯器的系統上運行。

3. Acunetix Web Vulnerability Scanner（簡稱AWVS）

是一款知名的網絡漏洞掃描工具，它通過網絡爬蟲測試你的網站安全，檢測流行安全漏洞，如交叉站點腳本,sql 注入等。在被黑客攻擊前掃描購物車，表格、安全區域和其他Web應用程序。75% 的互聯網攻擊目標是基于Web的應用程序。因為他們時常接觸機密數據并且被放置在防火墻之前。

WVS如何工作

WVS擁有大量的自動化特性和手動工具，總體而言，它以下面的方式工作：

1.它將會掃描整個網站，它通過跟蹤站點上的所有鏈接和robots.txt（如果有的話）而實現掃描。然后WVS就會映射出站點的結構并顯示每個文件的細節信息。

2.在上述的發現階段或掃描過程之后，WVS就會自動地對所發現的每一個頁面發動一系列的漏洞攻擊，這實質上是模擬一個黑客的攻擊過程。WVS分析每一個頁面中可以輸入數據的地方，進而嘗試所有的輸入組合。這是一個自動掃描階段。

3.在它發現漏洞之后，WVS就會在“Alerts Node（警告節點）”中報告這些漏洞。每一個警告都包含著漏洞信息和如何修復漏洞的建議。

4.在一次掃描完成之后，它會將結果保存為文件以備日后分析以及與以前的掃描相比較。使用報告工具，就可以創建一個專業的報告來總結這次掃描。