用于测试Web漏洞的工具

        我听说nessus很好，虽然不确定他们是否有自由执照。 如果您有公司的支持，则可以购买Qualys扫描仪。 如果您要走免费路线，Nikto很好，nmap扫描也不会受到任何伤害。只要确保您拥有最新的软件和补丁，并且知道XSS / Injection攻击的工作方式即可。     ,        您在寻找应用程序安全性（http）还是网络安全性？ nessus和Qualys过去一直专注于网络安全性，并且在Web应用程序安全性测试中表现不佳。除非您启用一些脚本，否则nmap几乎不会进行测试，然后它会进行基本枚举。您应该学习如何使用Burp或ZAP进行手动测试，但是Nikto，W3af，grendlescan或任何其他免费的扫描仪将帮助您找到外伤。您确实需要了解外伤。我会使用Burp Suite（可能的话是Pro）或ZAP（我听说过很好）来进行评估。 Dirbuster和Google是很好的枚举工具。     ,        您必须尝试使用​​Scan Titan，它是免费的，并且还测试了所有已知的安全漏洞，我对此进行了测试，并给出了良好的结果。