我想向您指出我们在渗透测试 Web 应用程序中使用的开源工具：

• Arachni，已经在之前的答案中提到过。
• w3af，最著名的免费开源扫描仪之一。这是用 python 编写的，具有一致的 UI（GUI 和 CLI）。该项目由 Metasploit 和 NeXpose 的所有者 Rapid7 赞助
• Skipfish是一个一劳永逸的命令行扫描程序，擅长爬行和强制浏览，生成精美的 HTML 报告
• OWASP Zed Attack Proxy，事实上的开源网络攻击代理。ZAP 有一个 API，并集成了 JBroFuzz 和 DirBuster 等其他参考工具的代码和功能。它更适合半自动化测试

以下开源工具可以帮助利用 SQL 注入 (SQLi) 和跨站点脚本 (XSS) 漏洞：

• SQLmap：这个 CLI python 工具非常适合利用 SQL 注入漏洞，即转储数据库、执行 SQL 命令甚至破坏后端数据库的操作系统。它的目的与 Havij 相似，并且经常被脚本小子在野外用于利用易受攻击的目标
• BeEF：展示 XSS 漏洞风险的完美工具，其新的闪亮 Ruby on Rails Web 界面允许您利用 XSS 漏洞来控制受害者浏览器

网络漏洞扫描市场上有很多商业工具，价格从几百美元到几万美元不等。这些可以为您带来比开源更好的结果，并且可以结合开源扫描和利用工具的功能。然而，你总是需要那把椅子和血液渗透测试仪来尝试打破应用程序的逻辑，这是一个工具，不管它值多少钱，永远做不到的。

Chris Frazier 的回答很好，虽然我个人不会推荐 CEH。也许我很久以前就采用了这种测试方式，但觉得它没有涵盖任何接近渗透测试人员或具有安全意识的开发人员实际需要的东西。

也许我会给你一个稍微不正统的答案，但在我看来，你已经做得非常了不起，而你仍然独自担心的事实恰恰说明了你的安全意识有多少组织。与我遇到的许多其他应用程序相比，这已经使您处于更好的位置，在这些应用程序中，安全性通常是一种疏忽。

话虽如此，您不应该只是放松并认为一切都是安全的（我怀疑您无论如何都会这样做）。您总是可以做一些事情来提高您的安全性。克里斯提到了其中的一些。我还建议查看可以帮助进行静态或动态代码分析的工具。这个领域有几个商业供应商，声誉相当好。可悲的是，开源替代品通常在这个特定领域落后。

如果你真的很想插入一些自动化工具，我建议你看看Arachni。有许多 Web 应用程序扫描器，但这可能是为数不多的从头开始使用 API 构建的扫描器之一。这可能使其成为与您的开发/发布/持续集成过程集成的主要候选者。这并不意味着它一定更好或你应该依赖的唯一工具，但至少它应该很容易（或更容易）集成。

否则，请始终尝试扩展您的知识，阅读更多内容，查看此处提到的问题和工具，并尝试确保您的整个团队都了解这些安全问题。我还建议您在渗透测试人员进来进行扫描时花时间与他们在一起。总有一些你可以通过这种方式学习的新技巧。

不可以。您不应使用 Zeus 或 Havij 等工具或其他黑帽工具来评估您网站的安全性。Zeus 不是为漏洞评估而设计的。它们的设计目的是在您进入后放置后门。总的来说，我的经验是，黑帽没有比白帽渗透测试和漏洞评估服务更好的漏洞评估工具。此外，使用黑帽社区编写的软件是危险的；您可能会发现自己感染了一个自找的特洛伊木马。

相反，如果您想了解您的组织如何能够做得更多，我会开始研究如何将安全性集成到软件开发生命周期中。微软在这方面有一些很好的资源。

我认为您对某些工具有点困惑，例如Zeus是一个木马，不用于一般网站渗透测试。

但无论如何，没有可用于网站评估的神奇工具包。由于 Web 开发的动态特性，它确实需要人工来分析和发现大多数漏洞。仅仅依靠一套工具会让你失败。这些工具通常已经过时并且不够复杂，无法满足您的要求。

当然，我可以下载/创建一个程序来扫描特定的 Web 漏洞并针对 1000 个希望受到攻击的站点运行它，但是对于有针对性的攻击，您需要保留人为因素。

话虽如此，我认为您最好的选择是从安全领域的一些培训课程开始。例如，CEH 认证涵盖了高级别的 Web 应用程序黑客攻击，并且课程中包含一个庞大的漏洞利用工具包。

我仍然说你最好的选择是使用训练有素的渗透测试人员，可以有效地识别和传达漏洞。这样，您的开发人员将从他们的错误中吸取教训，每个人都会获胜。