静态代码扫描可以发现代码中的安全问题,但是当软件系统的各个组件集成到一起之后或者系统部署到测试环境后,仍然可能会产生系统级别的安全漏洞,比如XSS,CSRF,SQL注入攻击等安全问题,所以在这个时候对系统进行动态安全扫描可以在最短的时间内发现安全问题。动态扫描一般分为两种类型:主动扫描和被动扫描。
部分自动服务器安全扫描工具列表:
工具 | 扫描漏洞类型 | 版权 | 主页地址 |
---|---|---|---|
ZAP | 通用Web应用漏洞 | 免费 | https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project |
SQLMap | SQL注入 | 免费 | http://sqlmap.org/ |
Burp Suite | 通用Web应用漏洞 | 收费 | http://www.portswigger.net/ |
N-Stalker | 通用Web应用漏洞 | 收费 | http://www.nstalker.com/ |