弱點掃描工具有哪些?5款免費、付費弱點掃描工具優缺點分析!
弱點掃描工具有哪些?現在資訊發達,資安成為企業不可忽視的問題,這時就需要依靠弱點掃描工具來偵測與修補資安漏洞!本文將分析弱點掃描工具的優缺點、費用及功能,以提升企業網站資安防護力。
弱點掃描是什麼?
弱點掃描,為使用弱掃軟體針對已知漏洞進行探測,並提供修補方式以利企業安排修補,相較於人工檢測,此項服務優點為執行時間較短,以企業角度來看,可快速針對大量的主機及網站,定期執行掃描並安排修補或做弱點管理,使主機及網站維持在一定的安全水平。
目前為止,市面上已有很多免費、開源或商用的弱掃軟體,台灣企業需注意的是,欲使用之軟體是否符合企業規範,大部分會要求需為商用軟體,並提供License佐證,若需通過外部稽核,多數要求需由第三方廠商執行。
而弱點掃描,又細分為「網站」弱點掃描、「系統」弱點掃描,此篇文章我們將介紹這兩種不同類型的服務。
5個免費&付費弱點掃描工具之比較
「網站」弱點掃描服務:
使用合法的弱點掃描軟體,對網站進行已知技術型漏洞、網站設定缺失等相關檢測,例如常見的OWASP Top10風險檢測、網站所需設定的安全標頭檢查等,資安團隊會針對掃描結果,進行軟體誤判排除,並針對發現的漏洞提供明確的修補方式及建議。以下介紹以台灣常用之弱掃軟體為主:
軟體名稱 | Acunetix | HCL AppScan Standard | Fortify WebInspect | ZAP | Netsparker |
支援系統 | Windows Linux (未來支援Mac OS) | Windows | Windows (需安裝SQL Server) | Windows Linux Mac OS | Windows (需安裝IIS) |
硬體需求 | 最低標準 64位元 2GB RAM | 最低標準 2 Core 4GB RAM 30GB Disk 100Mbps網速 | 最低標準 2.5 GHz 4 Core 16GB RAM 40GB Disk | 官方無特別敘述 | 最低標準 2 GHz 8GB RAM 20GB Disk |
報告產出 | 可產出原廠報告 | 可產出原廠報告 | 可產出原廠報告 | 可產出原廠報告 | 可產出原廠報告 |
免/付費 | 付費 | 付費 | 付費 | 免費 | 付費 |
「主機」弱點掃描服務:
使用合法的弱點掃描軟體,針對主機進行開放埠號探測,並對該主機之系統、所運行的服務進行漏洞檢測,檢查所使用之系統官方是否已不支援、主機是否存在已發現的CVE、所使用的程式語言、網站框架之版本是否已過舊等。以下介紹以台灣常用之弱掃軟體為主:
軟體名稱 | Tenable Nessus Professional | Rapid7 Nexpose | Greenbone OpenVAS |
---|---|---|---|
支援系統 | Windows Linux Mac OS | Windows Linux | Linux |
硬體需求 | 最低標準 2 GHz 4 Core 8GB RAM 30GB Disk | 最低標準 2 Core 8GB RAM 100GB Disk | 最低標準 2 Core 5GB RAM |
報告產出 | 可產出原廠報告 | 可產出原廠報告 | 可產出原廠報告 |
弱點管理平台 | 有 產品名稱:Tenable Vulnerability Management | 有 產品名稱:Rapid7 InsightVM | 有 產品名稱:Greenbone Vulnerability Management |
免/付費 | 付費 | 付費 | 免費 (Open Source) |
更多弱掃軟體及相關資訊:
https://owasp.org/www-community/Vulnerability_Scanning_Tools
延伸閱讀:
資安弱點掃描v.s滲透測試,差異在哪?3分鐘看優缺點與流程!
源碼檢測是什麼?動態&靜態的弱點掃描測試有什麼不同?