漏洞扫描器可以快速帮助我们发现漏洞，如SQL注入漏洞、CSRF、缓冲区溢出等。下面就介绍几种常用的漏洞扫描工具。

Fortify

代码审计工具Fortify SCA (Fortify Static Code Analyzer)，一款软件代码安全测试工具，提供静态源码扫描能力，包含了五大引擎分析系统：语义、结构、数据流、控制流、配置流。分析的过程中与特有的软件安全漏洞规则集进行全面的匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并生成报告。

Fortify软件是收费的，如果个人使用可以看看有无破解版，软件使用的规则安装在Core\config\rules。

软件使用步骤如下图：

Burp Suite

Burp Suite 是用于攻击web 应用程序的集成平台，包含了许多工具。

安装和简单使用可以参考：https://www.cnblogs.com/zewutest/p/13895187.html

AWVS

自动化的web应用程序安全测试工具，可以扫描任何通过web浏览器访问的和遵循HTTP/HTTPS规则的web站点和应用。

AppScan

AppScan是IBM的一款web应用安全测试工具,能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

DependencyCheck

Dependency-Check是OWASP（Open Web Application Security Project）的一个实用开源程序，用于识别项目依赖项并检查是否存在任何已知的，公开披露的漏洞。目前，已支持Java、.NET、Ruby、PHP、Node.js、Python等语言编写的程序，并为C/C++构建系统（autoconf和cmake）提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。

工具链接：https://github.com/jeremylong/DependencyCheck

使用命令：

./cli/target/release/bin/dependency-check.sh -h

./cli/target/release/bin/dependency-check.sh  --project example --out . --scan ./src/test/resources

SonarQube

一款静态代码质量分析工具，支持Java、Python、PHP、JavaScript、CSS等25种以上的语言，而且能够集成在IDE、Jenkins、Git等服务中，方便随时查看代码质量分析报告。

下载地址：https://www.sonarqube.org/downloads/，安装、配置及使用网上有很多教程和方案，可自行Google或百度。

总结

这些工具有的自己使用过，有的只是总结一下，仅供参考。后续如果遇到新的漏洞分析和扫描工具，再继续补充，欢迎读者给予补充和建议。

————————————————

版权声明：本文为CSDN博主「幸福女孩小鲤鱼_lizzy」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。

原文链接：https://blog.csdn.net/mrgglxy/article/details/118895555