W3af是一个Web应用程序攻击和检查框架。该项目已超过130个插件，其中检查SQL注入，跨站点脚本（XSS），本地和远程文件等。该项目的目标是要建立一个框架，以寻找和开发Web应用安全漏洞，很容易使用和扩展。

Nessus 号称是”世界上最流行的漏洞扫描程序,全世界超过75,000个组织在使用它”.尽管这个扫描程序可以免费下载得到,但是要从Tenable

Nessus是一套免費及功能強大的弱點掃描系統，而搭配Inprotect可以達到以下功能

Web 安全检测主要分为两大类，分别是白盒检测和黑盒检测。白盒工具通过分析应用程序源代码以发现问题，而黑盒工具则通过分析应用程序运行的结果来报告问题。

Google 推出一套免費的 Web 安全評估工具，叫做 RatProxy，這套工具可以檢測、分析您的網站是否有安全性漏洞或網頁是否有被入侵，目前可支援

AutoNessus 是一个用来自动定期的使用 Nessus 进行安全扫描的工具。并将当前的扫描的结果与上一次的扫描结果进行比较现在在一个Web界面上。

Yasca是一个用来寻找安全漏洞，在程序的源代码中检测代码质量、性能以及一致性的软件。它集成了其他开源项目，其中包括FindBugs ， PMD的，

Wapiti是Web应用程序漏洞错误检查工具。它具有“暗箱操作”扫描，即它不关心Web应用程序的源代码，但它会扫描网页的部署，寻找使其能够注入数据的脚本和格式。它用于检测网页，看脚本是否脆弱的。

OpenVAS是开放式漏洞评估系统，也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器，包括一套网络漏洞测试程序，可以检测远程系统和应用程序中的安全问题。

JSky Web安全漏洞扫描器是一款简明易用的Web 漏洞扫描与漏洞利用软件。他能帮你发现并解决现有Web系统中存在的安全隐患。杜绝黑客攻击，保护企业核心资产。

微软公开了一个开源程序，它的设计目的是简化识别软件安全漏洞的繁琐过程。

PHPSecurityScanner这个工具能够扫描PHP代码中是否有存在漏洞。采用MySQL数据库存储搜索模型和搜索结果。该工具能够扫描文件系统中的任何目录。

SSLsplit 是一个针对SSL/TLS加密的网络连接进行攻击，为网络取证和渗透测试的工具。它会终止SSL /

Zed Attack Proxy (Zaproxy) 是一个渗透测试工具，用来使Web应用更安全。虽然 ZAP 可以自动检测一些安全问题，它主要用于手动帮助您寻找安全漏洞。

IBM AppScan该产品是一个领先的 Web 应用安全测试工具，曾以 Watchfire AppScan 的名称享誉业界。Rational

Nikto是一款开放源代码的、功能强大的WEB扫描评估软件，能对web服务器多种安全项目进行测试的扫描软件，能在230多种服务器上扫描出

Cross-Site Scripting Framework (XSSF)是一款安全工具，使用它可以非常容易的利用跨站脚本(XSS)漏洞。XSSF项目的主要目的是展示XSS的实际危害。

pywebfuzz是一个python模块，可以通过蛮力的方法帮助发现Web应用程序中可能存在的漏洞。该模块提供了一些通用的测试用例、生成器和其它的实用工具，这将有助于对Web应用程序的fuzzing测试。另外，pywebfuzz提供API

XSSS是由Sven开发的跨站脚本漏洞扫描工具。 XSSS的主要特点： Crawl website Detect forms and URLs with parameters Fill in forms, alter parameters to include control characters Scan web server response f

ms-patch-tools是一款安全漏洞研究辅助工具，这个项目包含了一些用于从微软安全公告中提取有用信息的工具，目前包含两个工具：

Vicnum是一款轻量级、灵活的使用PERL和PHP编写的含有web漏洞的web应用程序。Vicnum包含的漏洞包括跨站脚本、SQL注入和会话管理问题等漏洞，有助于IT审计人员提高web安全技能和搞个夺旗比赛什么的…(viapulog)

Netsparker是一款综合型的web应用安全漏洞扫描工具，它分为专业版和免费版，免费版的功能也比较强大。Netsparker与其他综合性的

北卡州立大学计算机科学系的两位研究人员Yajin Zhou和Xuxian Jiang发起了Android Malware Genome

PowerSploit是又一款Post Exploitation相关工具，Post Exploitation是老外渗透测试标准里面的东西，就是获取shell之后干的一些事情。PowerSploit其实就是一些powershell

金山将分批开源出的安全作品 == 功能 = 1. 漏洞的快速扫描 主要是坚持系统是否存在补丁，一旦发现补丁就快速返回； 另外针对x64 位系统只能通过接口来获取补丁的做了速度优化；

Graudit 是一个简单的脚本，用来检测 源代码中可能存在的一些潜在的安全漏洞，通过 Linux 的系统的工具来完成检查。

nsdecoder是一款用于进行网页挂马检测的自动化工具。nsdecoder可对网页进行自动化的解密与分析从而判断是否存在网页木马，在挂马的情况下分析所挂网页木马利用的漏洞，并能给出木马源地址。工具主要功能:

peframe是一款命令行下的恶意PE文件静态分析工具,主要特点: Hash MD5 & SHA1 PE file attributes

PHP Vulnerability Hunter是一款高级自动化的白盒模糊测试工具，它几乎可以检测在advisories页面中列出的web应用程序漏洞，特别是php

OAuzz 是一个用于fuzz基于OAuth的web应用服务的安全工具。OAuzz基于RFC5849和OAuth Request Body Hash 1.0

cvechecker 将检查你的系统和已安装的软件，并报告可能存在的漏洞。通过匹配 CVE 数据库。

Vega是一个开放源代码的web应用程序安全测试平台，Vega能够帮助你验证SQL注入、跨站脚本（XSS）、敏感信息泄露和其它一些安全漏洞。

WebVulScan是一个Web应用程序漏洞扫描器。它是基于PHP编写的。可以用来测试远程或本地的Web应用程序的安全漏洞。扫描完成后，可以通过电子邮件将详细的扫描结果发送给用户，该报告包含了漏洞的地址和建议，以及如何

PHPmvs是一款php写的迷你型的漏洞扫描工具，主要有以下特点： Error-based SQL injection.

Matriux是一款功能齐全的安全工具包（套装）,它包含了一系列强大、开源和免费的工具可以用于多种目的，但也不限于此。例如：渗透测试、ethical

webhoneypot是一款web应用程序蜜罐，它可以捕获到一些自动化的web应用程序漏洞利用。webhoneypot是由php实现的非常简单的半自动化的蜜罐程序。(介绍来自pulog)