最好的在线安全扫描器

今天一个老朋友询问：小型企业如何通过免费的、开源的在线工具来对网站实现基础的安全扫描和风险修复，考虑到部署成本，花了点时间整理了如下在线网站安全扫描工具，下文将列出一些最好的工具来扫描您的网站的安全漏洞，恶意软件，和在线威胁。：

SUCURI  

   

SUCURI是最受欢迎的免费网站恶意软件和安全扫描仪之一。您可以快速进行恶意软件、黑名单状态、注入垃圾邮件和破坏的测试。

SUCURI还帮助清理和保护您的网站免受在线威胁，并在任何网站平台上工作，包括WordPress，Joomla，Drupal，phpBB等。

Criminal IP  

Criminal IP‘s Domain Search 是一个实时的URL扫描器，它通过提取各种数据，如网络日志、所使用的技术、连接的子域、证书信息和页面重定向，来确定一个网站是如何安全的。这个域搜索是理想的开发人员和网络安全团队，他们需要通过所有这些关键元素看到漏洞状态和安全威胁。

此外，这个基于人工智能的智能工具提供了关于HTML结构、JavaScript变量以及URL成为钓鱼网站的概率的信息，表明可能存在恶意软件或勒索软件的存在。

犯罪知识产权提供了许多免费的功能，你还可以订阅为各种用途量身定制的计划。

HostedScan Security  

HostedScan Security是一个在线服务，自动为任何企业的漏洞扫描。它提供了一套全面的扫描仪来扫描网络、服务器和网站，以确定安全风险。通过仪表板、报告和警报来管理您的风险。包括：

·网络漏洞扫描器，以测试cve和脆弱的，过时的软件

·使用Web应用程序扫描程序来检查SQL注入、易受攻击的javascript库、跨站点脚本等等

·全TCP和UDP端口扫描仪，用于检测防火墙和网络错误配置

·TLS/SSL扫描仪，以验证证书和测试SSL漏洞，如心脏出血和机器人

Intruder  

Intruder是一个强大的基于云的漏洞扫描器，可以发现整个web应用程序基础设施中的弱点。它是企业准备好的，并提供了一个政府和银行级别的安全扫描引擎，没有复杂性。

其强大的安全检查包括识别：

·缺少补丁程序

·配置错误

·Web应用程序问题，如SQL注入和跨站点脚本

·CMS问题

入侵者根据上下文对结果进行优先排序，并主动扫描系统以寻找最新漏洞，从而节省您的时间。它还集成了主要的云服务提供商（AWS、GCP、Azure）和Slack & Jira。

Attaxion     

AttaxionAttaxion是一个外部攻击表面管理平台，它可以发现和分类面向公共的资产（即域、IP、SSL证书、开放端口等）。并彻底评估他们的安全健康状况。该平台具有用户友好的界面和持续的扫描功能，可以帮助用户识别和优先考虑相关的网站问题、漏洞和错误配置。

该平台提供了资产到资产的映射，包括发现和依赖图、上下文资产信息（即第一次看到、最后看到、IP地理定位等），详细的漏洞洞察（即，漏洞类型、严重程度、CVE和CWE分类等），以及可操作的补救指导。

Qualys  

SSL Server Test by Qualys ，Qualys的SSL服务器测试对于扫描您的网站上的SSL/TLS错误配置和漏洞至关重要。它提供了对https:// URL的深入分析，包括到期日、总体评级、密码、SSL/TLS版本、握手模拟、协议细节、BEAST等等    

作为最佳实践，您应该在进行任何与SSL/tls相关的更改之后运行Qualys测试。

Quttera  

Quttera 检查网站上是否有恶意软件和漏洞，它扫描你的网站上的恶意文件，可疑文件，潜在的可疑文件，恶意程序，安全浏览（谷歌，Yandex），和恶意软件域列表

UpGuard    

UpGuard Web ScanUpGuard Web扫描是一种外部风险评估工具，它使用公开的信息来进行分级。

测试结果被分为以下几组。

·网站风险

·电子邮件风险

·网络安全

·网络钓鱼和恶意软件

·品牌保护

SiteGuarding  

SiteGuarding帮助你扫描你的域名的恶意软件，网站黑名单，注入垃圾邮件，恶意攻击等，兼容于 WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin,等，也可以从你的网站上删除恶意软件    

Observatory  

Mozilla 最近推出的observatory可以有效帮助站长去检查多种安全元素。

Web Cookies Scanner  

Web Cookies Scanner是一个免费的一体化安全工具，适合扫描Web应用程序。它可以搜索HTTPCookie、Flash小程序、HTML5本地存储、会期存储、超级cookie和Evercookie上的漏洞和隐私问题。该工具还提供了一个免费的URL恶意软件扫描器和一个HTTP、HTML和SSL/TLS漏洞扫描器。

要使用此工具，您需要输入您的网站的完整域名，并单击“检查！”一段时间后，您将得到一份完整的漏洞报告，显示所发现的所有问题的细节和总体隐私影响评分。

您可以不受限制地免费使用按需服务，也可以订阅具有不同计划的全自动RESTful API的免费试用，每月提供100次到无限制的API扫描。

Detectify  

Detectify由道德黑客的全力支持，检测域和web应用程序安全服务提供自动安全和资产监控，以检测超过1500个漏洞。    

其漏洞扫描能力包括OWASP Top 10、CORS、Amazon S3 Bucket和DNS错误配置。资产监控服务持续监控子域，搜索敌意收购，并在检测到异常时发出警报。

检测提供了三种定价计划：启动器，专业人员，和企业人员。所有这些都从14天的免费试用开始，你不用信用卡就可以使用。

Probely  

Probely提供了一个虚拟安全专家，您可以将其添加到开发团队、安全团队、DevOps或SaaS业务中。这个安全专家将扫描您的web应用程序，并发现它的所有漏洞。你可以把概率看作是一个家庭医生，他会给你定期的诊断，并告诉你如何解决任何问题。    

它是一个主要为开发人员构建的工具，让他们在进行安全测试时更加独立。它的API-First开发方法确保了任何特性都将首先在该服务的API版本上可用。它有很多定价计划，包括一个具有光扫描能力的免费计划。

Pentest-Tools  

Pentest-Tools包括信息收集、web应用程序测试、CMS测试、基础设施测试和SSL测试的解决方案。特别是，网站扫描器被设计用于发现常见的web应用程序漏洞和服务器配置问题。

   

该工具的轻版本，它可以执行被动的网络安全扫描。它可以检测到许多漏洞，包括不安全的cookie设置、不安全的HTTP报头和过时的服务器软件。你可以执行多达2个免费的，完整的扫描，你的网站，以得到一个全面的评估。这些结果将告诉您有关一些漏洞，如本地文件包含、SQL注入、OS命令注入和XSS等。

ImmuniWeb  

ImmuniWeb，最流行的网站安全扫描工具之一，可以根据以下标准检查您的网站。

·PCI DSS和GDPR合规性

·HTTP标头，包括CSP

·CMS针对WordPress和Drupal站点的特定测试

·前端存储库的漏洞

原文始发于微信公众号（KK安全说）：最好的在线安全扫描器