5款实用的漏洞扫描工具:
专注于为中小企业提供做网站、成都做网站服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业陕西免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了数千家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。
1、SQLmap
Sqlmap属于渗透测试工具,但具有自动检测和评估漏洞的功能。该工具不只是简单地发现安全漏洞及利用漏洞的情况,它还针对发现结果创建了详细的报告。Sqlmap利用Python进行开发,支持任何安装了Python解释器的操作系统。它能自动识别密码哈希,并使用六种不同方式来利用SQL注入漏洞。此外,Sqlmap的数据库非常全面,支持oracle、PostgreSQL、MySQL、SqlServer和Access。
2、Nmap
Nmap是一款开源网络扫描工具,应用场景吵渣包括端口扫描、服务指纹识别以及操作系统版本识别。Nmap通常被视为网络映射及端口扫描工具,但因为其带有Nmap脚本引擎,也有助于对错误配置问题和安全漏洞进行检测。另外,Nmap具备命令行界面以及图形用户界面。
3、Nexpose
Nexpose社区是一个通用的开源漏洞评估工具,其漏洞引擎由Rapid7开发,扫描漏洞近68000个,进行了超过16.3万次网络检查。针对Windows及Linux系统的社区版免费,但仅限32个IP地址,升纤悄以及一个用户。虽然没有Web应用程序扫描,但Nexpose覆盖自动漏洞更新以及微软补丁星期二漏洞更新。
4、Retina CS
Retina CS也是一个通用的开源漏洞评估工具。它是基于Web的控制台,可以免费简化并集中管理漏洞,可打补丁资产达到256项。Retina
CS能对服务器、工作站、移动设备、数据库、应用程序和Web应用程序自动进行漏洞评估。这竖御款开源应用程序为VMware环境提供了全方位支持,包括在线与离线虚拟镜像扫描、虚拟应用程序扫描,以及与Vcenter集成。
5、Burp Suite
Burp
Suite免费版是开源的Web应用程序漏洞扫描器,该版本属于软件工具包,涵盖了对Web应用程序手动安全测试所需的所有东西。它可以使用拦截代理,针对浏览器和目标应用程序之间的流量进行检查与修改;还能利用可感知应用程序的Spider抓取应用程序的内容及功能;此外,使用中继器工具能够处理并重新发送单个请求,也可访问针对分析及解码应用程序数据的一系列实用程序。
众所周知,服务器是整个网络系统和计算平台的核心,许多重要的数据都保存在服务器上,很多网络服务都在服务器上运行,因此服务器性能的好坏决定了整个应用系统的性能。
现在市面上不同品牌、不同种类的服务器有很多种,用户在选购时,怎样从纷繁的型号中选择出所需要的,适合于自己应用的服务器产品,仅仅从配置上判别是不够的,能够通过实际测试来筛选。而各种的评测软件有很多种,你应该选择哪个软件测试?下面就介绍一些较典型的测试工具:
(一)服务器整机系统性能测试工具
一台服务器系统的性能可以按照处理器、内存、存储、网络几部分来划分,而针对不同的应用,可能会对某些部分的性能要求高一些。
Iometer():存储子系统读写性能测试
Iometer是Windows系统下对存储子系统的读写性能进行测试的软件。可以显示磁盘系统的IO能力、磁盘系统的吞吐量、CPU使用率、错误信息等。用户可以通过设置不同的测试的参数,有存取类型(如sequential ,random)、读写块大小(如64K、256K),队列深度等,来模拟实际应用的读写环境进行测试。
Iometer*作简单,可以录制测试脚本,可以准确有效的反映存储系统的读写性能,为各大服务器和存储厂商所广泛采用。
Sisoft Sandra():WINDOWS下基准评测
SiSoft发行的Sandra系列测试软件是Windows系统下的基准评测软件。此软件有超过三十种以上的测试项目,能够查看系统所有配件的信息,而且能够对部分配件(如CPU、内存、硬盘等)进行打分(benchmark),并且可以与其它型号硬件的得分进行对比。另外,该软件还有系统稳定性综合测试铅隐、性能调整向导等附加功能。
Sisoft Sandra软件在最近发布的Intel bensley平台上测试的内存带宽性能并不理想,不知道采用该软件测试的FBD内存性能是否还有参考价值,或许软件应该针对FBD内存带宽的测试项目做一个升级。
Iozone():linux下I/O性能测试
现在有很多的服务器系统都是采用linux*作系统,在linux平台下测试I/O性能可以采用iozone。
iozone是一个文件系统的benchmark工具,可以测试不同的*作系统中文件系统的读写性能。可以测试Read, write, re-read, re-write, read backwards, read strided, fread, fwrite, random read, pread ,mmap, aio_read, aio_write 等等不同的模式下的硬盘的性能。测试所有这些方面,生成excel文件,另外, iozone还附带了用gnuplot画图的脚本。
该软件用在大规模机群系统上测试NFS的性能,更加具有说服力。
Netperf():网络性能测试
Netperf可以测试服务器网络性能,主要针对基于TCP或UDP的传输。Netperf根据应用的不同,可以进行不同模式的网络性能测试,即批量数据传输(bulk data transfer)模式和请求/应答(request/reponse)模式。Netperf测试结果所反映的是一个系统能够以多快的速度向另外一个系统发送数据,以及另外一个系统能够以多块的速度接收数据。
Netperf工具以client/server方式工作。server端是netserver,用来侦听来自client端的连接,client端是 netperf,用来向server发起网络测试。在client与server之间,首先建立一个控制连接,传递有关测试配置的信息,以及测试的结果;在控制连接建立并传递了测试配置信息以后,client与server之间会再建立一个测试连接,用来来弯激拆回传递着特殊的流量模式,以测试网络的性能。
对于服务器系统来说,网络性能显得尤其重要,有些服务器上为了节省成本,采用了桌面级的网络芯片,性能怎样,用这个软件一测便知了。
以上介绍的这几款测试工具都是可以免费从网上下埋枣载的非商业软件,但是其测试结果和认可程度均是为大多数使用者所认同的。你可以根据自己的应用需求选择不同的软件进行测试。
(二)针对应用的测试工具
随着web应用的增多,服务器应用解决方案中以Web为核心的应用也越来越多,很多公司各种应用的架构都以web应用为主。一般的web测试和以往的应用程序的测试的侧重点不完全相同,在基本功能已经通过测试后,就要进行重要的系统性能测试了。系统的性能是一个很大的概念,覆盖面非常广泛,对一个软件系统而言包括执行效率、资源占用率、稳定性、安全性、兼容性、可靠性等等,以下重点从负载压力方面来介绍服务器系统性能的测试。系统的负载和压力需要采用负载测试工具进行,虚拟一定数量的用户来测试系统的表现,看是否满足预期的设计指标要求。负载测试的目标是测试当负载逐渐增加时,系统组成部分的相应输出项,例如通过量、响应时间、CPU负载、内存使用等如何决定系统的性能,例如稳定性和响应等。
负载测试一般使用工具完成,有LoadRunner,Webload,QALoad等,主要的内容都是编写出测试脚本,脚本中一般包括用户常用的功能,然后运行,得出报告。
使用压力测试工具对web服务器进行压力测试。测试可以帮助找到一些大型的问题,如死机、崩损、内存泄漏等,因为有些存在内存泄漏问题的程序,在运行一两次时可能不会出现问题,但是如果运行了成千上万次,内存泄漏得越来越多,就会导致系统崩滑。
Loadrunner:预测系统行为和性能的负载测试工具
目前,业界中有不少能够做性能和压力测试的工具,Mercury(美科利)Interactive公司的LoadRunner是其中的佼佼者,也已经成为了行业的规范,目前最新的版本8.1。
LoadRunner 是一种预测系统行为和性能的负载测试工具,通过模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题,LoadRunner 能够对整个企业架构进行测试,LoadRunner 适用于各种体系架构,能支持广范的协议和技术(如Web、Ftp、Database等),能预测系统行为并优化系统性能。它通过模拟实际用户的*作行为和实行实时性能监测,来帮助您更快的查找和发现问题。Loadrunner是一个强大有力的压力测试工具,它的脚本可以录制生成,自动关联。测试场景面向指标,实现了多方监控。而且测试结果采用图表显示,可以自由拆分组合。
通过Loadrunner的测试结果图表对比,你可以寻找出系统瓶颈的原因,一般来说可以按照服务器硬件、网络、应用程序、*作系统、中间件的顺序进行分析。
Loadrunner是一款收费软件,根据测试项目和虚拟用户数目的不同而花费不同的费用。不过你可以下载到免费使用10天的测试版本。
Webload:WEB性能压力测试
webload是RadView公司推出的一个性能测试和分析工具,它让web应用程序开发者自动执行压力测试; webload通过模拟真实用户的*作,生成压力负载来测试web的性能。
用户创建的是基于javascript的测试脚本,称为议程agenda,用它来模拟客户的行为,通过执行该脚本来衡量web应用程序在真实环境下的性能。当前版本是6.0。webload提供巡航控制器cruise control的功能,利用巡航控制器,可以预定义web应用程序应该满足的性能指标,然后测试系统是否满足这些需求指标; cruise control能够自动把负载加到web应用程序,并将在此负荷下能够访问程序的客户数量生成报告。
webload能够在测试会话执行期间对监测的系统性能生成实时的报告,这些测试结果通过一个易读的图形界面显示出来,并可以导出到excel和其他文件里。
这两个软件的功能虽然强大,并且可以自动生成测试报告,但其终究是一个工具,如果你想真正的定位服务器性能的好坏和性能的瓶颈所在,需要使用工具的人对于测试软件的方方面面都要有了解,比如软件体系构架,网络拓扑,服务器硬件等知识。
Acunetix WVS全旁坦称Acunetix Web Vulnerability Scanner,他是一个网站及服务器漏洞扫描软件。拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告,可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。
本次提供的Acunetix WVS 10版本可以扫描的漏洞比较多,功能比较全,重新设计的基于Web的用户界面,让用户使用和管理更加容易,从而更高效地工作并降低成本。
功能特点:
1、自动的客户端脚本分析器,允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。
2、业内最先进且深入的 SQL 注入和跨站脚本测试
3、高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer
4、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
5、支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
6、丰富的报告功能,包括 VISA PCI 依从性报告
7、高速的多线程扫描器轻松检索成千上万个页面
8、智能爬行程序检测 web 服务器类型和应用程序语言
9、Acunetix 检卖核索并分析网站,包括 flash 内容、SOAP 和 AJAX
10、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查中启掘