沐沐这几年主要参与的是政务相关的产品测试，交付到项目现场的系统需要满足三级等保要求，因此对于系统的安全性要求较高。这里先简单的说明下等保测评，我国将信息系统的安全保护分为五个等级，等保测评主要内容有五个方面，即物理安全、网络安全、主机安全、应用安全、数据安全。沐沐参与测试的产品需要满足三级等保要求，作为测试人员，我们主要关注的就是应用的安全性。安全测试实际上是测试种类中门槛较高的一类，因此我们在安全测试过程中也主要是使用安全工具进行扫描。下文将简单的介绍一下沐沐日常工作中常用的几款Web端安全扫描工具。

一、AppScan

AppScan是IBM公司的出品的一款功能非常强大的Web 应用安全测试工具。该工具可以自动化的扫描出Web端常见的一些安全漏洞，例如SQL注入、垮站点请求伪造、不安全的信息头、内部IP泄露等漏洞。扫描完成后，可以导出详细的安全报告，可以便于排查安全漏洞的原因。我们还可以使用该款工具进行接口越权测试。总而言之，该款功能功能真的非常强大、安装难度一般、学习成本也不高；对于有Web端安全测试需求的同学们，真的是首选。

二、Burp suite

Burp Suite是用于Web应用安全测试的工具的集成平台，包含了很多的工具。例如Proxy模块是一个拦截http/https的代理服务器；Spider模块是一个应用智能感应的网络爬虫；Scanner模块则是一个高级的Web安全漏洞扫描工具；Intruder模块可以对Web程序进行自动化的攻击，也可以用来爆破登录。总而言之，这款工具是真的非常强大，沐沐也是初学者，强烈推荐大家入门学习。

三、AWVS

AWVS(Acunetix Web Vulnerability Scanner)是一款自动化的Web应用程序安全测试工具。相较于AppScan，AWVS的扫描速度非常快，主要扫描XSS漏洞、SQL注入、CRLF注入、xpath注入等。新版本的AWVS可以直接在web端浏览访问，操作也比较简单，可以了解下。

四、Webinspect

Webinspect也是一款自动化动态应用安全测试工具，可模拟真实的黑客技术和攻击。但是这款工具对于系统的资源占用较大，安装比较挑剔，部分操作系统根本无法安装成功。之所以最后一个介绍这款工具，确实是因为安装有门槛，漏洞修复也不好排查原因，所以推荐指数低一点。

以上四款工具就是沐沐日常工作中常用的Web端安全扫描工具，当然安全扫描工具只是方便我们快速的扫描出漏洞，真正要成为一个专业的安全测试人员，还是需要不断的学习和储备安全知识。

The more we share，The more we have.

希望这篇文章对大家有用...