我正在研究使用工具的可能性,以帮助我评估我的网站的漏洞。我最喜欢的是Nikto2和SensePost。
在实际决定之前,我认为在周围询问意见是明智的:任何人都有过任何经验吗?有人知道任何可能更好的工具吗?期待听到一些意见!! :)
答案 0 :(得分:3)
我听说Nessus非常好,但不确定他们是否有自由的好看。
如果你有公司支持,你可以选择Qualys扫描仪。
如果你要去免费路线,Nikto很好,nmap扫描也不会受伤。只需确保您拥有最新的软件和补丁,并了解XSS / Injection攻击的工作原理。
答案 1 :(得分:0)
您在寻找应用程序安全性(HTTP)还是网络安全性? Nessus和Qualys历来专注于网络安全,并且在Web应用程序安全测试方面表现不佳。 Nmap几乎不进行任何测试,除非您启用一些脚本然后它进行基本枚举。您应该学习如何使用Burp或ZAP进行手动测试,但Nikto,W3af,grendlescan或任何其他免费扫描仪将帮助您找到黑客。你真的需要了解这些庸俗。我会使用Burp Suite(Pro,如果可能)或ZAP(我听说它很好)进行评估。 Dirbuster和谷歌是很好的枚举工具。
答案 2 :(得分:0)
您必须尝试Scan Titan它是免费的并且还测试了所有已知的安全漏洞,我对其进行了测试并且它提供了良好的结果。