企业与个人必备安全测试工具

1.Appsacn

AppScan是IBM的一款web应用安全测试工具,能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）等。其漏洞扫描速度一般，准确率最高，漏洞规则库最全面。漏洞验证可查看请求相应代码，拥有较完整的漏洞修复建议。报表功能完整。

2.AWVS

自动化的web应用程序安全测试工具，可以扫描任何通过web浏览器访问的和遵循HTTP/HTTPS规则的web站点和应用。漏洞扫描速度较快，准确率较高，漏洞规则库较为全面。漏洞验证可查看请求响应代码，报表功能完整。有多重漏洞的验证工具。

3.Burp Suite 集成插件

shiro漏洞检测

Struts2漏洞检测

Fastjson漏洞检测

burp漏洞插件检测列表，文末提供下载。

Application Inspector

微软开源了快速检查第三方开源组件安全问题的命令行工具 Application Inspector，源代码采用MIT 许可证发布在软件巨人旗下的托管平台 GitHub 上。这个静态源代码分析工具用于帮助开发者在整合第三方开源组件时处理潜在的安全问题。

1.Nexpose

Nexpose自身的功能非常强大。可以更新其漏洞数据库，以保证最新的漏洞被扫描到。可以给出哪些漏洞可以被Metasploit Exploit，哪些漏洞在Exploit-db里面有exploit的方案。可以生成非常详细的，非常强大的Report，涵盖了很多统计功能和漏洞的详细信息。

2.OpenVAS

OpenVAS 是 Nessus 项目的一个开源分支，配置使用相较于 Nessus 更加复杂，扫描速度也不如 Nessus ，但是胜在开源免费。相比于 Nessus ，OpenVAS 的漏洞评估更加侧重系统内部的漏洞，尤其是在 Linux 内核级的漏洞检测上尤为明显。

3.Nessus

全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件，Nessus可同时在本机或远端上遥控，进行系统的漏洞分析扫描。

Scuba用于扫描数据库，查找安全漏洞和配置缺陷(包括修补级别)，其针对 Oracle Database、Microsoft SQL Server、SAP Sybase、IBM DB2、Informix 和 MySQL 提供了接近 1200 次评估测试。

DockerScan专门对docker镜像安全测试的工具，采用python开发，支持敏感信息的扫描，例如：在环境变量中查找密码、尝试在环境变量中查找任何 URL/IP、尝试推断内部用于运行软件的用户等。

QARK，该工具用于分析那些用Java语言开发的Android应用中的潜在安全缺陷。QARK 全称 Quick Android Review Kit。这个工具用来寻找与 Android 应用相关的安全漏洞，包括检查源代码和打包的 APKs。

Fortify 全名叫：Fortify SCA ，是HP的产品 ，是一个静态的、白盒的软件源代码安全测试工具。将源代码中存在的安全漏洞扫描出来，并给予整理报告。扫描的结果包含详细的安全漏洞信息、安全知识说明、修复意见。支持21种语言。文末附下载地址。

Webinspect主要是对Web应用程序进行网络应用安全测试和评估。它提供了快速扫描功能，并能进行广泛的安全评估，并给出准确的Web应用程序安全扫描结果。

DependencyCheck用于识别项目依赖项并检查是否存在任何已知的，公开披露的漏洞。目前，已支持Java、.NET、Ruby、PHP、Node.js、Python等语言编写的程序，并为C/C++构建系统提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。

公众号回复：0627，获取所有工具包。