1、Nmap

Nmap是一款非常流行的自動化安全測試工具。它可以在各種主流操作系統(tǒng)上運行，并快速掃描大型網絡。它通常會檢測以下信息：網絡上有哪些主機可用，主機在運行什么服務，主機在運行哪些操作系統(tǒng)版本，使用哪種類型的數據包過濾器和防火墻，以及發(fā)動攻擊之前需要的其他有用情報。

2、OpenVAS

OpenVAS是一個較全面的開源滲透測試軟件。在世界各地的滲透測試專家的幫助下，它得到了不斷的支持和更新，從而使其保持最新狀態(tài)。OpenVAS的其他特性還包括提供未經身份驗證的測試、目標掃描和web漏洞掃描。

3、ZAP

Zed Attack Proxy (ZAP)是一款用戶友好的滲透測試工具，能找出網絡應用中的漏洞。它不僅提供自動化掃描器，也為想要手動查找漏洞的用戶提供了一套工具。ZAP通常預裝在Kali Linux上，它能夠將自身置于測試人員的瀏覽器和Web應用程序之間，攔截請求以充當"代理"。

4、OSV-Scanner

OSV-Scanner是一款由谷歌公司開發(fā)的開源漏洞掃描工具，提供專門的軟件組成分析(SCA)。可用于掃描靜態(tài)軟件，以確保開源軟件的編程代碼安全漏洞，并保護開源軟件清單(SBOM)。

5、CloudSploit

CloudSploit是一款開源的云基礎設施掃描引擎，目前被Aqua公司收購并繼續(xù)對其進行維護，以使用戶能夠下載、修改并享受這個專業(yè)工具的好處。CloudSploit可以根據用戶需求進行掃描，也可以配置為持續(xù)運行，并向安全和DevOps團隊發(fā)送漏洞警報。

6、sqlmap

sqlmap是一款專注但功能強大的免費數據庫漏洞掃描工具。盡管其適用范圍有限，但在一些需要進行嚴格合規(guī)和安全測試的數字化業(yè)務場景中，數據庫漏洞測試往往是至關重要的組成部分。