W3af是一个Web应用程序攻击和检查框架。该项目已超过130个插件，其中检查SQL注入，跨站点脚本（XSS），本地和远程文件等。该项目的目标是要建立一个框架，以寻找和开发Web应用安全漏洞，很容易使用和扩展。

Nessus 号称是”世界上最流行的漏洞扫描程序,全世界超过75,000个组织在使用它”.尽管这个扫描程序可以免费下载得到,但是要从Tenable

Nessus是一套免費及功能強大的弱點掃描系統，而搭配Inprotect可以達到以下功能

Web 安全检测主要分为两大类，分别是白盒检测和黑盒检测。白盒工具通过分析应用程序源代码以发现问题，而黑盒工具则通过分析应用程序运行的结果来报告问题。

Google 推出一套免費的 Web 安全評估工具，叫做 RatProxy，這套工具可以檢測、分析您的網站是否有安全性漏洞或網頁是否有被入侵，目前可支援

AutoNessus 是一个用来自动定期的使用 Nessus 进行安全扫描的工具。并将当前的扫描的结果与上一次的扫描结果进行比较现在在一个Web界面上。

Yasca是一个用来寻找安全漏洞，在程序的源代码中检测代码质量、性能以及一致性的软件。它集成了其他开源项目，其中包括FindBugs ， PMD的，

Wapiti是Web应用程序漏洞错误检查工具。它具有“暗箱操作”扫描，即它不关心Web应用程序的源代码，但它会扫描网页的部署，寻找使其能够注入数据的脚本和格式。它用于检测网页，看脚本是否脆弱的。

OpenVAS是开放式漏洞评估系统，也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器，包括一套网络漏洞测试程序，可以检测远程系统和应用程序中的安全问题。

JSky Web安全漏洞扫描器是一款简明易用的Web 漏洞扫描与漏洞利用软件。他能帮你发现并解决现有Web系统中存在的安全隐患。杜绝黑客攻击，保护企业核心资产。

微软公开了一个开源程序，它的设计目的是简化识别软件安全漏洞的繁琐过程。

PHPSecurityScanner这个工具能够扫描PHP代码中是否有存在漏洞。采用MySQL数据库存储搜索模型和搜索结果。该工具能够扫描文件系统中的任何目录。

SSLsplit 是一个针对SSL/TLS加密的网络连接进行攻击，为网络取证和渗透测试的工具。它会终止SSL /

Zed Attack Proxy (Zaproxy) 是一个渗透测试工具，用来使Web应用更安全。虽然 ZAP 可以自动检测一些安全问题，它主要用于手动帮助您寻找安全漏洞。

IBM AppScan该产品是一个领先的 Web 应用安全测试工具，曾以 Watchfire AppScan 的名称享誉业界。Rational

Nikto是一款开放源代码的、功能强大的WEB扫描评估软件，能对web服务器多种安全项目进行测试的扫描软件，能在230多种服务器上扫描出

Cross-Site Scripting Framework (XSSF)是一款安全工具，使用它可以非常容易的利用跨站脚本(XSS)漏洞。XSSF项目的主要目的是展示XSS的实际危害。

pywebfuzz是一个python模块，可以通过蛮力的方法帮助发现Web应用程序中可能存在的漏洞。该模块提供了一些通用的测试用例、生成器和其它的实用工具，这将有助于对Web应用程序的fuzzing测试。另外，pywebfuzz提供API

XSSS是由Sven开发的跨站脚本漏洞扫描工具。 XSSS的主要特点： Crawl website Detect forms and URLs with parameters Fill in forms, alter parameters to include control characters Scan web server response f

ms-patch-tools是一款安全漏洞研究辅助工具，这个项目包含了一些用于从微软安全公告中提取有用信息的工具，目前包含两个工具：