不幸的是，没有自动扫描器来检测现代 Web 应用程序中所有类型的漏洞（我经常听到不到 50%）。

仅依靠自动化解决方案充满了缺点。自动扫描器可以暴露简单的东西，但您需要人类智能来探索和揭示其他漏洞。

话虽如此，您可以参考这个问题（和答案）来查看流行的自动化 Web 应用程序漏洞评估工具列表。

查看Web 应用程序安全联盟 (WASC) 的 Web 应用程序安全扫描程序列表。请注意，我是 Watcher 的作者之一，Watcher是此列表中的免费开源被动漏洞扫描程序。此列表还包括软件即服务扫描解决方案。

也许谈论真实世界的模拟会有所帮助。

假设您的客户有一家实体店。你如何验证它是安全的？

首先，您必须了解威胁模型。是柠檬水摊、便利店还是珠宝店？它们都需要非常不同的安全级别。

然后，您必须实现该类型属性所需的控件。对于柠檬水摊来说，一个简单的带锁的钓鱼箱收银机可能就足够了。

最后，您必须定期监控控件是否正常工作。银行保险箱在预期的时间内被评为破解。没有完美的安全性，某种监控几乎总是物理安全的一部分。在安全性较低的环境中，这通常只发生在员工至少定期在场的情况下。

同样，无论供应商或顾问如何告诉您，在应用程序安全方面都没有万能的答案。也许会问一个更具体的问题，包括以下细节：这些网站是否处理付款？有监管要求吗？如果您正在处理信用卡数据，答案可能是肯定的。有登录吗？哪些个人身份数据受到保护？等等...

有点偏离 IT 安全的话题……从责任的角度来看，“认证”是一件非常危险的事情。我建议仔细阅读任何“认证”服务的小字——如果他们提供的东西会需要时站起来（即，如果网站被黑客入侵，您可以声称或推卸责任）我会非常惊讶。

对于供应商来说，更容易提供的是声明安全性在某个时间点有多合适，因此通常会发生这种情况。

在以前的组织中，如果我要提供认证之类的东西，我预计会收取 5-10 倍的费用，因为我的风险和责任问题很严重。

认证对您和您的客户有多大价值？您/他们能否接受一份与同行相比就网站安全性提供建议的报告？