1. Burp Suite (免费)
　　Burp Suite 其实是一个平台，包含不同类型的工具，相互间有许多接口，连接便利，能加快渗透应用程序的进程。不同的工具共享相同的框架，用于显示和处理 HTTP 消息、身份验证、耐久性、日志记录、警报、代理和可扩展性。

　　Burp Suite 需要付费，但也有免费试用版可以使用，适用于 Linux、MAC OS X 和 Windows 操作系统。

　　2. Nikto (免费)

　　Nikto 是一个开放源代码的 Web 服务器扫描程序，可以在 Web 服务器上执行超过 6700 个潜在危险文件和程序的测试。也可在超过 2700 台服务器上检查 1250 多个旧服务器的版本和特定的版本问题。此外，Nikto 还可检查服务器配置项目(如多个索引文件、HTTP 服务器选项等)，还能尝试识别已安装的软件和 Web 服务器。其插件和扫描项目经常可以自动更新。

　　其具体功能包括 SSL 支持;完整的 HTTP 代理支持;检查过时的服务器组件;以XML、HTML、CSV 或 NBE 等各种格式保存报告;通过使用模板引擎轻松自定义报告;通过输入文件在服务器或多服务器上扫描多个端口;识别通过头文件、文件和图标识别安装的软件;使用 NTLM 和 Basic 进行主机验证;检查常见的“parking”站点;在特定时间自动暂停等等。

　　虽然 Nikto 并不可隐藏踪迹，却可以在尽可能快的时间内测试网络服务器，还能支持 LibWhisker 的反 IDS方法。

　　其实，并非所有的检查都是为了查找安全问题。但是安全工程师和网站管理员有时不知道他们的服务器上存在“仅检查信息”类型的检查。而通过使用 Nikto，这些“信息类型”的检查会在打印出的信息中标记出来，还能扫描到另一些针对日志文件中未知项目的检查。

　　Nikto 可免费使用。由于 Nikto 基于 perl，因此只在大多数安装了 Perl 翻译器的系统上运行。

　　3. Acunetix Web Vulnerability Scanner(简称AWVS)

　　是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞，如交叉站点脚本,sql 注入等。在被黑客攻击前扫描购物车，表格、安全区域和其他Web应用程序。75% 的互联网攻击目标是基于Web的应用程序。因为他们时常接触机密数据并且被放置在防火墙之前。

　　WVS如何工作

　　WVS拥有大量的自动化特性和手动工具，总体而言，它以下面的方式工作：

　　1.它将会扫描整个网站，它通过跟踪站点上的所有链接和robots.txt(如果有的话)而实现扫描。然后WVS就会映射出站点的结构并显示每个文件的细节信息。

　　2.在上述的发现阶段或扫描过程之后，WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击，这实质上是模拟一个黑客的攻击过程。WVS分析每一个页面中可以输入数据的地方，进而尝试所有的输入组合。这是一个自动扫描阶段。

　　3.在它发现漏洞之后，WVS就会在“Alerts Node(警告节点)”中报告这些漏洞。每一个警告都包含着漏洞信息和如何修复漏洞的建议。

　　4.在一次扫描完成之后，它会将结果保存为文件以备日后分析以及与以前的扫描相比较。使用报告工具，就可以创建一个专业的报告来总结这次扫描。