应用程序漏洞扫描工具

此类扫描程序包括：动态应用程序安全测试(Dynamic Application Security Tests，DAST)、交互式应用程序安全测试(Interactive Application Security Tests，IAST)、静态应用程序安全测试(Static Application Security Tests，SAST)、以及运行时应用程序自我保护(Runtime Application Self-Protection，RASP)等类型的工具。

1.数据库扫描工具

大多数Web应用都会依赖数据库来存储关键信息。而针对数据库的扫描工具，能够识别诸如：SQL注入攻击等，典型的数据库管理系统(DBMS)中的漏洞。

2.流行自动化漏洞扫描工具列表

Crashtest Security Suite

这是一款端到端的、能够与Web应用、Javascript、API测试平台，无缝融合的DevSecOps类工具链。在保证更安全的发布和部署的同时，实现了较低的误报率(包括false positive和false negative)。同时，它能够提供各种用户友好的格式输出、准确的报告、以及切实可行的修复建议。

Netsparker

该平台通过包含可用于漏洞评估的多种集成与安全方案，实现了自主、快速地检测和描述漏洞，并及时提供包含修复意见的报告。

Acunetix

该Web应用安全扫描工具同时提供付费和开源两个版，可以扫描高达6500种漏洞。Acunetix能够通过对大规模的网络和应用执行自动化扫描，为运维团队提供深入的洞见。

Metasploit

开源的Metasploit框架，通过进行渗透测试和入侵检测，以发现整个基础架构中的系统级漏洞，进而提高企业的安全态势。同时，Metasploit也可以通过定制，来满足各种Web应用的特定安全需求。

Nmap

作为另一种开源式漏洞扫描工具，Nmap可被用于发现操作系统和网络主机中的各种漏洞。

IBM Security QRadar

这是一个功能丰富的安全情报平台，可以让运维团队快速地识别、分析和修复各种潜在的威胁。该平台的人工智能技术，可被用来检测可能出现的新型威胁和模型事件，并及时提供修复建议。

Nessus Professional

Nessus是全面的漏洞评估和配置管理平台。通过扫描各类漏洞，它能够主动地保护目标网络，免受各类攻击。

Burp Suite

Burp Suite是由PortSwigger开发的一款Web应用安全测试方案，可以协助企业通过自动化扫描的方式，对抗各种零日威胁(zero-day threats)。同时，该套件也可以通过渗透测试功能，来识别各种SQLi攻击对于Web服务器的影响。