漏洞扫描工具可协助检测应用程序、操作系统、硬件和网络系统等存在的安全问题,是IT部门必不可少的工具之一。除了上节介绍的Xray扫描工具以外,还有几款常用的漏洞扫描工具。
(1)Nessus
Nessus是全世界使用人数最多的一款系统漏洞扫描与分析软件,其控制面板如图2-23所示。目前有7万多家机构使用Nessus作为扫描操作系统漏洞、运行程序及软件错误配置问题、恶意软件和广告软件删除等的安全工具。Nessus采用客户/服务器体系结构,客户端提供了运行在Windows下的图形界面,接受用户的命令与服务器通信,传送用户的扫描请求给服务器端,由服务器启动扫描并将扫描结果呈现给用户。Nessus还具备强大的报告输出能力,可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告,并能为每个安全问题提出建议。Nessus是一款商业工具,用户可以到官方网站注册申请7天试用版本。
图2-23 Nessus控制面板
(2)AWVS
AWVS拥有操作便捷的用户图形界面,如图2-24所示。AWVS可对遵循HTTP和HTTPS规则的Web站点和Web应用程序进行探测,具有网络爬虫、端口扫描、子域名挖掘、指纹识别、HTTP嗅探以及Web安全漏洞扫描等功能,可应用于中小型Web站点安全检查。除此之外,AWVS还能够输出非常全面的Web站点安全报告,针对扫描的安全问题给出专业的解决方式。目前,AWVS具有商业版和免费版两种版本,读者可以在AWVS官方网站下载免费试用14天的版本。
(3)Nexpose
Nexpose是由Rapid 7开发的漏洞扫描工具,该工具涵盖了大多数网络检查的开源解决方案,如图2-25所示。它可以被整合到一个Metaspoit框架中,能够在任何新设备访问网络时检测和扫描。Nexpose还可以监控目标站点的漏洞暴露,并提出相应的修复建议。此外,漏洞扫描程序还可以对威胁进行风险评分,范围在1~1000之间,从而为安全专家在漏洞被利用之前修复漏洞提供了便利。Nexpose是一款商业工具,用户可以到官方网站注册可免费试用一年。
图2-24 AWVS控制面板
图2-25 Nexpose控制面板