有大量的应用程序可用于 Web 应用程序评估。要考虑的一件事是您正在寻找什么样的工具。其中一些更适合与手动测试一起使用，而另一些则更适合非安全专家 IT 人员作为“黑盒”扫描工具。

除此之外，还有大量脚本和单点工具可用于评估 Web 应用程序安全的特定领域。

我的一些最爱

Burp 套件 - http://www.portswigger.net。免费和商业工具。出色的手动测试辅助功能，并且还具有良好的扫描仪功能。在我认识的专业 Web 应用程序测试人员中，大多数都使用这个。

W3af - http://w3af.org/ - 开源扫描工具，目前似乎正在开发相当多的东西，主要关注自动扫描方面的东西，仍然需要相当多的知识才能有效使用。

在纯扫描方面，有许多商业工具可用。

Netsparker - http://www.mavitunasecurity.com/netsparker/

IBM AppScan - http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-200 ^9570_4000_100__

Cenzic Hailstorm - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider - http://www.ntobjectives.com/ntospider

我最喜欢的工具包来做一个黑匣子网络应用笔。测试目前是：

• BURP Suite “是一个拦截代理服务器，用于 Web 应用程序的安全测试。它作为浏览器和目标应用程序之间的中间人运行”
• Fiddler另一个代理工具“fiddler 允许您检查所有 HTTP(S) 流量、设置断点和“处理”传入或传出数据”
• Fiddler x5s 插件- x5s 旨在帮助渗透测试人员发现跨站点脚本漏洞。
• Fiddler watcher addon - Watcher 是用于 Web 应用程序的运行时被动分析工具。

上述工具需要一些熟悉才能充分发挥作用，最好以半自动化方式使用（例如，选择您要测试的特定 Web 表单，设置“攻击”运行，然后查看结果并查明漏洞或要测试的点更多的）

全自动扫描仪可捕捉低垂的果实并扩大测试范围：

• Netsparker - 自动化商业应用扫描仪
• Skipfish – 自动化应用扫描仪

如果我可以访问许可证，可能是AppScan或WebInpsect （这些工具很昂贵）

很难让这个列表保持最新。在我看来——这是一个糟糕的问题。

正确的问题应该是“哪些技术可用于评估 Web 应用程序的安全性，它们通常是如何实现的，以及您如何跟上技术及其实现的最新改进？”

例如，自从提出这些答案以来，已经有了更好的工具：Hatkit、WATOBO、Arachni 的 Web 界面等。

商业工具的主要问题是它们缺乏创新和改进的能力。在这一点上——几乎所有网络应用安全领域的商业产品都因专利战以及个人和社会资本的损失而受阻。您最后一次看到围绕应用扫描程序、应用防火墙或以安全为重点的静态分析产品/服务的社区是什么时候？是的，正确答案是“从不”。这场战斗是免费（和/或开源）工具，以尝试创新突破 2004 年由这些愚蠢且没有前瞻性的无才华的小丑提出的障碍，这些小丑配备了应用程序扫描仪、应用程序防火墙和安全性——专注于静态分析的公司，现在大多已经不复存在。

从字面上看，正如在 Burp Suite Professional 的 1.4beta 中所看到的，在这个市场上进行创新的唯一人是 PortSwigger。Cigital 进行创新，但他们将自己排除在消费者和研究人员市场之外。

我喜欢SkipFish