有哪些 Web 滲透相關工具

WebSmart：一款獨立開發的Web應用安全測試工具，能夠掃描和檢測所有常見的 Web應用安全漏洞，例如 SQL注入（SQL-injection）、跨站點腳本攻擊（cross-site scripting）、敏感目錄、敏感文件等，程序采用模塊化程序設計，便于擴展功能。

IBM Rational Appscan：一款領先的Web應用安全測試工具，曾以Watchfire AppScan的名稱享譽業界。Rational AppScan可進行自動化 Web應用安全漏洞評估工作，掃描和檢測所有常見的Web應用安全漏洞，例如 SQL注入（SQL-injection）、跨站點腳本攻擊（cross-site scripting）、緩沖區溢出（buffer overflow）、最新的Flash/Flex應用，以及Web 2.0應用暴露等方面。

Acunetix Web Vulnerability Scanner（AWVS）：一款知名的網絡漏洞掃描工具。70%的網站都有Web應用方面的漏洞，這些漏洞將導致敏感信息泄漏、數據被篡改等。AWVS則以模擬黑客攻擊的方法來檢測用戶的Web應用安全，主動找出Web應用的漏洞。

安恒MatriXay Webscan明鑒Web應用弱點掃描器（簡稱：MatriXay 5.0）：是安恒安全專家團隊在深入分析研究B/S架構應用系統中典型安全漏洞和流行攻擊技術基礎上研制而成，不僅具有精確的“取證式”掃描功能，還提供了強大的安全審計、滲透測試功能，誤報率和漏報率等各項關鍵指標均達到國際領先水平。

Immunity CANVAS CANVAS：是美國ImmunitySec公司出品的安全漏洞檢測工具，包含了480多個以上的漏洞利用，是一款針對對象廣泛的自動化漏洞利用工具，對于滲透測試人員來說，CANVAS是比較專業的安全漏洞利用框架，也常被用于對IDS和IPS的檢測能力的測試。

SQLMap：是一個自動化的SQL注入工具，其主要功能是掃描，發現并利用給定的URL的SQL注入漏洞，目前支持的數據庫是 MS-SQL、MySQL、Oracle和 PostgreSQL。SQLMap采用四種獨特的SQL注入技術，分別是盲推理SQL注入、UNION查詢SQL注入、堆查詢和基于時間的 SQL盲注入。其廣泛的功能和選項包括數據庫指紋、枚舉、數據庫提取、訪問目標文件系統，并在獲取完全操作權限時實行任意命令。

nc：在網絡工具中有“瑞士軍刀”的美譽，它短小精悍、功能強大，可以發送數據包到服務器。

FireFox插件Hackbar：Hackbar包含一些常用的工具，比如：SQL injection、XSS、加密等。

Fiddler：Fiddler是一個http協議調試代理工具，它能夠記錄并檢查你的計算機和互聯網之間的所有http通信，設置斷點，查看所有的“進出”Fiddler的數據（指Cookie、html等文件，都可以修改的意思）。Fiddler 要比其他的網絡調試器更加簡單，因為它不僅僅暴露了HTTP通信還提供了一個用戶友好的格式。

回答所涉及的環境：聯想天逸510S、Windows 10。