2.4.2 其他漏洞扫描工具

漏洞扫描工具可协助检测应用程序、操作系统、硬件和网络系统等存在的安全问题，是IT部门必不可少的工具之一。除了上节介绍的Xray扫描工具以外，还有几款常用的漏洞扫描工具。

（1）Nessus

Nessus是全世界使用人数最多的一款系统漏洞扫描与分析软件，其控制面板如图2-23所示。目前有7万多家机构使用Nessus作为扫描操作系统漏洞、运行程序及软件错误配置问题、恶意软件和广告软件删除等的安全工具。Nessus采用客户/服务器体系结构，客户端提供了运行在Windows下的图形界面，接受用户的命令与服务器通信，传送用户的扫描请求给服务器端，由服务器启动扫描并将扫描结果呈现给用户。Nessus还具备强大的报告输出能力，可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告，并能为每个安全问题提出建议。Nessus是一款商业工具，用户可以到官方网站注册申请7天试用版本。

（2）AWVS

AWVS拥有操作便捷的用户图形界面，如图2-24所示。AWVS可对遵循HTTP和HTTPS规则的Web站点和Web应用程序进行探测，具有网络爬虫、端口扫描、子域名挖掘、指纹识别、HTTP嗅探以及Web安全漏洞扫描等功能，可应用于中小型Web站点安全检查。除此之外，AWVS还能够输出非常全面的Web站点安全报告，针对扫描的安全问题给出专业的解决方式。目前，AWVS具有商业版和免费版两种版本，读者可以在AWVS官方网站下载免费试用14天的版本。

（3）Nexpose

Nexpose是由Rapid 7开发的漏洞扫描工具，该工具涵盖了大多数网络检查的开源解决方案，如图2-25所示。它可以被整合到一个Metaspoit框架中，能够在任何新设备访问网络时检测和扫描。Nexpose还可以监控目标站点的漏洞暴露，并提出相应的修复建议。此外，漏洞扫描程序还可以对威胁进行风险评分，范围在1～1000之间，从而为安全专家在漏洞被利用之前修复漏洞提供了便利。Nexpose是一款商业工具，用户可以到官方网站注册可免费试用一年。