弱點掃描工具有哪些?5款免費、付費弱點掃描工具優缺點分析!

2023/08/30

弱點掃描工具有哪些?現在資訊發達,資安成為企業不可忽視的問題,這時就需要依靠弱點掃描工具來偵測與修補資安漏洞!本文將分析弱點掃描工具的優缺點、費用及功能,以提升企業網站資安防護力。

弱點掃描是什麼?

弱點掃描,為使用弱掃軟體針對已知漏洞進行探測,並提供修補方式以利企業安排修補,相較於人工檢測,此項服務優點為執行時間較短,以企業角度來看,可快速針對大量的主機及網站,定期執行掃描並安排修補或做弱點管理,使主機及網站維持在一定的安全水平。

目前為止,市面上已有很多免費、開源或商用的弱掃軟體,台灣企業需注意的是,欲使用之軟體是否符合企業規範,大部分會要求需為商用軟體,並提供License佐證,若需通過外部稽核,多數要求需由第三方廠商執行。

而弱點掃描,又細分為「網站」弱點掃描、「系統」弱點掃描,此篇文章我們將介紹這兩種不同類型的服務。

5個免費&付費弱點掃描工具之比較

「網站」弱點掃描服務:

使用合法的弱點掃描軟體,對網站進行已知技術型漏洞、網站設定缺失等相關檢測,例如常見的OWASP Top10風險檢測、網站所需設定的安全標頭檢查等,資安團隊會針對掃描結果,進行軟體誤判排除,並針對發現的漏洞提供明確的修補方式及建議。以下介紹以台灣常用之弱掃軟體為主:




軟體名稱AcunetixHCL AppScan StandardFortify WebInspectZAPNetsparker
支援系統Windows
Linux
(未來支援Mac OS)
WindowsWindows
(需安裝SQL Server)
Windows
Linux
Mac OS
Windows
(需安裝IIS)
硬體需求最低標準
64位元
2GB RAM
最低標準
2 Core
4GB RAM
30GB Disk
100Mbps網速
最低標準
2.5 GHz 4 Core
16GB RAM
40GB Disk
官方無特別敘述最低標準
2 GHz
8GB RAM
20GB Disk
報告產出可產出原廠報告可產出原廠報告可產出原廠報告可產出原廠報告可產出原廠報告
免/付費付費付費付費免費付費




「主機」弱點掃描服務:
使用合法的弱點掃描軟體,針對主機進行開放埠號探測,並對該主機之系統、所運行的服務進行漏洞檢測,檢查所使用之系統官方是否已不支援、主機是否存在已發現的CVE、所使用的程式語言、網站框架之版本是否已過舊等。以下介紹以台灣常用之弱掃軟體為主:




軟體名稱Tenable Nessus
Professional
Rapid7 NexposeGreenbone OpenVAS
支援系統Windows
Linux
Mac OS
Windows
Linux
Linux
硬體需求最低標準
2 GHz 4 Core
8GB RAM
30GB Disk
最低標準
2 Core
8GB RAM
100GB Disk
最低標準
2 Core
5GB RAM
報告產出可產出原廠報告可產出原廠報告可產出原廠報告
弱點管理平台
產品名稱:Tenable Vulnerability Management

產品名稱:Rapid7 InsightVM

產品名稱:Greenbone Vulnerability Management
免/付費付費付費免費 (Open Source)




更多弱掃軟體及相關資訊:
https://owasp.org/www-community/Vulnerability_Scanning_Tools


延伸閱讀:
資安弱點掃描v.s滲透測試,差異在哪?3分鐘看優缺點與流程!
源碼檢測是什麼?動態&靜態的弱點掃描測試有什麼不同?

其他訊息