首先申明这是一篇抛砖引玉的文章，不是深入地介绍和分析DPI技术文章。里面会有一些DPI技术
的介绍，主要内容都是来自这篇文章https://www.dpacket.org/articles/digging-deeper-deep-packet-inspection-dpi
DPI技术我只是正在关注，没有实际动手操作过，所以没有太多发言权。
DPI(Deep Packet Inspection)总的来说就是一个协议识别技术，是要增加网络的visibility。一般用的的技术有以下几类：
1）Signature
这是最基本的技术。如何定义一个协议的signature？开始大家都是用port来定义（这是指udp或者tcp的port，ip层可以用协议号来标识）。一些常见的port，比如21,80之类的，是由协议规定的。如果大家都守规矩，用port来标识还是比较准确的。
如果协议是跑在http之上，用80端口就无法标识。这就需要定义更复杂的signature，比如：

在payload这个层面，需要对包reassemble之后（这是tcp reassemble，当然之前需要做ip reassemble）才能match，问题是需要reassemble多少包？match可以用正则表达式，也可以用DFA engine。match可以是协议无关的，但是reassemble却不能，不同的协议，需要reassemble的包多少不同。如果不需要reassemble，直接把packet输入到状态机，那么这些包是发走，还是缓存起来。这里就是DPI和IDP的区别，DPI的用途是识别协议，而IDP是用于防护，所以DPI应该不需要缓存packet，而IDP需要。Signature定义是个技术活。Signature的大小直接影响到match的效率，而signature的准确性也影响识别的准确性。识别不可能是100%准确，对于那些没有被识别的，或者是被错误识别的stream如何处理，也是一个需要慎重考虑的问题。

2）Behavior

不太明白协议的behavior是什么意思，不过这里有一个图：

就是说，不同协议的packet行为是不同的。比如p2p多用小包，而http多用大包。这个需要对不同协议有一个统计的特征，然后用这个特征去匹配每个stream。这个看起来和语音识别所用的技术差不多。但是协议的bahavior是不是像语音那么稳定，如果协议bahavior变了，又如何识别。这个统计的特征也需要变吗？是自动学习，还是手动干预？没想明白怎么做。

对于加密的stream，signature的用途就小很多，但是任何加密的stream，都需要一个密钥协商的过程。从密钥协商的过程来进行识别也是一个可行的方法。Bahavior的方法应该不管是不是加密，所以用途会更广泛一点。

在应用DPI技术之前，有几个前提：

1）stream。用五元组{proto, saddr, daddr, sport, dport}标识的stream是基础，这就是常说的session或者flow based, signature没有跨session的，目前没有，当然将来可以做。

2）有些协议有多个session，比如ftp。识别ftp control很容易，但是识别ftp data就比较困难。但是由于ftp data是从ftp control派生来到，所以能过把ftp control识别的结果带到ftp data上，然后在ftp data应用基于DPI的一个控制，比如QoS之类的，就比较容易。很多其他的协议也有类似的情况（基本上需要ALG的协议都是这样）。

DPI技术可以有很多应用，比如access control, QoS，log等等。这也算是网络安全领域一个热点技术，这个技术和病毒识别的思路是差不多的，只不过出现地比较晚一点。

【注】本文节选自为即将发布的绿盟技术内刊，我被邀写一写新的动向，于是捉刀砍向最近关注的ICT供应链完整性，或大家更喜欢“安全”。这个话题在这篇初次提到，又在这篇再次涉及到，这次的内容稍微丰富了一些，希望能够给大家在工作研究之余，多一些参考。

1、什么是供应链安全？
供应链安全并不是一个新词汇，在业界媒体和学术期刊中已有相当的覆盖。随着经济全球化的逐渐深入，供应链的长度和复杂度、地理分布都大幅增长。在货物生产过程和运输过程中造成的盗窃、丢失、伪造、损坏、以及恐怖袭击等带来的损失对商业和经济的影响越来越大[CTPAT]。在此背景下，政府权威机构和业界发起了一系列的安全增强活动。例如，由美国国土安全部海关与边界保护局（CBP）推动，与进口商、物流业及制造厂商合作的“海关 – 商贸反恐布联盟”C-TPAT（Customs-Trade Partnership Against Terrorism）成为新时代供应链安全管理的一个具有代表性的项目。该项目是在“9‧11”事件发生后所倡议成立的一个自愿性计划，于2002年4月16日正式施行。 CBP希望通过此项目能与相关业界合作建立供应链安全管理系统，以确保供应链从起点到终点的运输安全，安全讯息及货物状况的流通，从而阻止恐怖分子的渗入[DHS]。
2、ICT的供应链有什么不同？
相对于IT和电信来说，信息通信技术（ICT）是个相对较新的词，虽然关于其定义，也有一些争论，读者可以参见维基百科，也可自行使用百度或Google搜索相关结果。
在转型的时代主题下，电信运营商也开始频频使用ICT 来概括电信业务的新边界。新的用法语义上全然不同，最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释：“ICT- Information Communication Technology， The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合，ICT促成了超越空间的快速信息交换。从字面意义上看，反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物。 阅读全文»

信任 – 的确是网络安全的一个核心概念。关于这个概念有很多讨论，可是很少看到有准确的定义或者较为深入的探讨。ISECOM的Pete Herzog做了一个漂亮的工作。他给“信任”定义了十大属性，尝试使用数学、数字的方式来定义、测量信任。这个工作酷不酷？

Pete之前有个很著名的项目 – OSSTMM（Open Source Security Testing Methodology Manual）- 一个很棒的项目。Pete现在的头衔是ISECOM（Institute of Security and Open Methodologies）的合伙创始人和MD。下面是ISECOM的概要说明： 阅读全文»

今年是绿盟科技成立十周年，也是中国跌宕起伏的网络安全业界发展最为关键的十年。以下文字节选自笔者撰写的“中国网络安全发展十年”中第三部分-发展。

中国的安全业界走过了她重要的十年，防火墙、入侵检测、安全专业服务、安全管理中心SOC、AAA/AAAA、应用安全、Web安全、数据安全、云安全… 回首这一个个脚印，我们希望理清道路的脉络，发现其内在的“导航仪”，希望能看清未来的的方向。
本节希望通过下面四个话题的讨论和读者一起产生一些“脑力激荡”和启发。

• 威胁的蔓延

从本质上说，安全威胁是安全业界得以产生、得以生存的原动力，是网络攻防矛盾中最变化多端的一方。从每年各个权威结构发布的威胁报告上，可以不断的阅读发现到人类的创造力和新思维。
安全业界发展的十年中，处于对立面的威胁方也完成了从孩童期到成熟期的发育，从单纯的好奇、挑战、成名等发展到基于投入回报ROI的、有组织的、具有很强针对性的入侵攻击。
在经济利益驱使下，为了获得更大的商业利益，网络安全威胁呈现了下面的一些特点： 阅读全文»

这两天读到著名安全专家Dan Geer的文章 – “Nothing Ventured, Nothing Gained”, 里面有几点很有趣的地方，忍不住和大家分享一下。

1 Dan创造了一个“新颖”的价格指数 – 安全价格指数C-SPI。大家在媒体上已经对消费价格指数CPI和工业价格指数PPI很熟悉了，也知道它们正在天天悄悄上涨，侵蚀大家辛苦赚来的辛苦钱。 这个安全价格指数是什么呢？参看右图。大家都知道有个叫做灰色市场或地下市场的地方，在那里有很多新奇的商品，有信息数据服务，比方说电子邮件地址了、电 话号码、信用卡号、银行账号什么的；有信息发送业务，例如发送垃圾邮件、垃圾短信什么的；有情报业务，例如0-day漏洞什么的；也有较为凶悍的，让 Yahoo, Baidu什么的服务中断多长时间什么的… 在Symantec、McAfee、IBM/ISS等的全球威胁报告中也经常发现关于该市场的报告。可是Dan的这个C-SPI让人感受到专家和学问的力 量。 看看右图，这个指数在悄悄的上升中。价格上升有多方面的原因，除去像中国房市价格这种“观赏勾结浪倍维艰”非市场因素之外，笼统的说，就是供需关系：

• # 很多个人或组织大量涌入该市场，寻求数据情报服务等，导致供不应求，价格上涨
• # 数据情报服务提供者们手中的“产品”生产不够快，成本上升了，或者由于防守一方进步了，或供应链上的从业者减少，或…，或… 阅读全文»

【陈怀临注：NetScreen的血脉里，做网络安全的目前有两家能活下来了，而且在互相竞争。Hillstone和Palo Alto Networks。Hillstone是邓锋一手扶持的在幽州的伪政府：-）。PAN其实是在北美的，拥有NetScreen以前人马最多的一票。但从投资的角度，PAN与邓总或者北极光关系不是特别大。希望两个公司都上市，发财。毕竟朋友发财了，自己也多条路。。。。。。借钱或者找工作也方便些。BTW，此文为转载文章。来源是计算机世界报。】

中国从来不缺优秀的技术人才，也不缺少信息安全企业，但却没有几家企业会站在国际化角度去看待信息安全。深度理解应用安全的Hillstone山石网科，这几年来从容而稳步的成长，已经刺激了所有本土“老牌”信息安全企业的神经。

业内很少有人不知道NetScreen，与NetScreen有着相同DNA的Hillstone山石网科，知道的人却少之又少。直到北极光创投将信心与钞票递给Hillstone山石网科，才吸引了大把的观众目光。

开放文化与成长基因

刘保华：北极光创投作为Hillstone山石网科的主要投资人，看中的是Hillstone山石网科的团队活力和管理能力，其董事长邓锋对 Hillstone山石网科的成长相对于他投资的其他企业又是最为关心的。Hillstone山石网科成立之初，邓锋说过，“如果把目光放得远一些，不在一两年内要求回报，将时间放长到五年甚至更长时间，那么这个机会是存在的。”那么，从目前来看北极光对Hillstone山石网科的业绩有什么要求？在 Hillstone山石网科未来的发展战略上，作为CEO，你认为如何超越NetScreen当时的辉煌？

童建：Hillstone山石网科的管理团队中绝大部分成员都来自NetScreen，除了同处于网络安全领域之外，同一个团队所带来的管理理念和技术背景都相差无几。相对于NetScreen来说，Hillstone山石网科就像是站在巨人肩膀上，除了市场定位，在技术上也更加优于 NetScreen。我们一直希望成为一个国内的安全专家，很多厂商把做防火墙作为根据地，并不是因为对防火墙很熟悉，而是因为防火墙的市场份额是最大的。

此外，看到国内厂商在产品性能上有很多不能满足市场需求的地方，这也为Hillstone山石网科留下了机会，特别是考虑到很多国内用户的特殊需求，比如局域网的攻击、内网安全防御等。

除了这些，我们将硅谷的公司文化带到了中国。员工与管理层的沟通非常通畅，员工对于公司的任何意见都可以随时表达，公司对员工也是非常信任，给员工充分的授权。开放是很重要的，大家关系平等、相互尊重才能够真正实现互相沟通并将问题解决，这种平等的概念不仅在硅谷适用，在中国也一样适用。另外，公司对于员工的信赖也相当重要。在Hillstone山石网科，从来不是领导告诉员工怎么做项目，而是将项目全权交给员工处理，激发他们的创造力去解决问题。

刘保华：中国的信息安全企业发展是随着产业发展而发展的，在整个信息产业布局乃至国家战略格局中都具有举足轻重的地位和作用，因为其关系到国家政治安全、经济安全和国防安全。但是国内的信息安全产业规模并不算大，多数企业仍然处于单点创新阶段，而且“努力”地向同质化方向发展，技术创新不足，利润率也不高。国内信息安全企业如何突破成长的瓶颈，摆脱目前的困境？

童建：我感觉一个企业或是行业要发展，首先要提升整体的竞争实力，体现在对市场的反应速度、公司文化建设和产品研发实力方面，这是一个综合体。中国市场是我们最近几年最关注的，但我们也着眼于全球市场。走向国际市场的前提是需要有强大的后台支撑，尤其体现在研发速度和对新技术的掌握方面。

不少企业的产品很好，但是在国际上做行销就不行了。比如美国客户的要求和中国客户的要求就不一样，仅仅考虑到客户的个性化需求还不够，还要获得客户支持，因为很多问题产生的根源就在于售后服务做得不好。

信息安全厂商完全可以依靠中国人才库和市场需求在国内度过哺育期，做好人才储备、知识产权积累，对信息安全应用市场有深入理解，就会把路走开。

阅读全文»

第一届Worldwide Cybersecurity Summit在达拉斯召开，演讲人名单上不乏重量级人物，美国白宫信息安全特别协调员Howard Schmidt、Dell公司的创始人董事长CEO Dell、大名鼎鼎的信息安全思想家Bruce Schneier、德勤的CEO James、Verisign创始人Addison Fischer、微软可信计算业务单元的副总裁Scott（这位老兄演讲很棒，RSA2010上的Keynote也不错）等，另外，还有来自多个国家的高级政府官员，例如日本NISC（国家信息安全中心）的副主任Yasuo和Nozomi，加州的CIO Teri Takai、加拿大国家空间安全总局局长Robert Dick、法国网络信息安全局局长Patrick Pailloux、爱沙尼亚司法部长Rein Lang、亚美尼亚前总理Armen等等吧。没有演讲，有幸认识的政府官员还有明尼苏达州的CIO Gopal Khanna、新加坡军方C4 Operation Group长官Col Dan、等。参会名单上还有长长的高官和名人，不再赘述。

Dell在2009年9月份以39亿美元高价收购Perot Systems，IT服务实力大增。在2010年2月份布鲁塞尔进行的第七届世界安全大会WSC上，其服务业务总裁Peter Altabef就做了题为“Balancing Cyber Threats and Cyber Benefits”的Keynote。这次在Dallas的网络空间安全大会，Dell更是成为最高级赞助商，创始人/董事长/CEO Michael Dell亲自出场，热情演出。虽然Dell自己讲这次高规格资助主要原因是会议在德州，Dell是德州的企业云云。但是，在Dell的战术板上，EWI和网络空间安全大会或许就是打响其服务品牌登陆作战的突破口。 阅读全文»

　　在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。当然，毫无疑问的，几乎都是商业软件，并且为了描述更准确，游侠尽量摘取其官方网站的说明：
　　同时说明下：本排序不代表游侠（www.youxia.org）眼中的厂商或工具实力排名。
　　———- start —–www.youxia.org—–

　　1.IBM Rational AppScan

　　IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具，曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）及缓冲溢出（buffer overflow）等方面安全漏洞的扫描。
　　游侠标注：AppScan不但可以对WEB进行安全评估，更重要的是导出的报表相当实用，也是国外产品中唯一可以导出中文报告的产品，并且可以生成各种法规遵从报告，如ISO 27001、OWASP 2007等。

　　2.HP WebInspect

　　目前，许多复杂的 Web 应用程序全都基于新兴的 Web 2.0 技术，HP WebInspect 可以对这些应用程序执行 Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。
　　它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术，例如同步扫描和审核 （simultaneous crawl and audit, SCA） 及并发应用程序扫描，您可以快速而准确地自动执行 Web 应用程序安全测试和 Web 服务安全测试。
　　主要功能：
　　·利用创新的评估技术检查 Web 服务及 Web 应用程序的安全
　　·自动执行 Web 应用程序安全测试和评估
　　·在整个生命周期中执行应用程序安全测试和协作
　　·通过最先进的用户界面轻松运行交互式扫描
　　·满足法律和规章符合性要求
　　·利用高级工具 （HP Security Toolkit） 执行渗透测试
　　·配置以支持任何 Web 应用程序环境
　　游侠标注：毫无疑问的，WebInspect的扫描速度相当让人满意。

　　3.Acunetix Web Vulnerability Scanner




















　　Acunetix Web Vulnerability Scanner是一款自动的Web应用安全性测试工具，它能够通过发现Web应用的Hacking弱点来监测你的网站。自动扫描能够更快速有效的对你的网站和Web应用进行深度测试。
　　大约有70%的网站存在安全隐患，这些漏洞可能会导致信用卡信息或客户列表等敏感的公司数据被盗。
　　对web应用hacking来说，防火墙，SSL和锁定的服务器几乎是无用的。
　　从80/443端口发起的针对web application的攻击，能够直接穿过防火墙，越过操作系统和网络级的安全措施，到达您的应用的心脏和企业数据。模块类的web应用通常都没用作足够的测试，有隐藏的弱点，及易受到攻击。
　　Acunetix具有领先的web应用安全扫描技术：我们的工程师从1997年开始就专注于网站分析和弱点侦测。Acunetix Web Vulnerability Scanner包括许多开创性的功能：
　　·自动的Javascript分析器可以测试Ajax和Web2.0的应用，
　　·行业内最先进，最深入的SQL注入和跨站点脚本测试，
　　·Visual macro recorder使Web form和密码保护区域测试更容易，
　　·扩展的报表工具包括VISA PCI compliance报表，
　　·多线程和快速扫描工具能够轻松检验成千上万的页面，
　　·智能的Crawler能够探测Web服务器的种类和应用的编程语言，
　　·Acunetix 可以探测和分析网站上的Flash内容，SOAP和AJAX。

　　4.绿盟极光远程安全评估系统-Web应用扫描



















　　绿盟远程安全评估系统Web应用扫描增强模块，是绿盟科技研究团队多年深入研究当前各种流行的Web攻击手段的技术结晶，是专门面向 Web 应用安全管理员进行专业安全评估及检测的自动化工具。可以进行Web应用、Web 服务及支撑系统等多层次全方位的安全漏洞扫描、审计和辅助逻辑分析，全面发现各类安全隐患，提出针对性的修复建议，以及形成多种符合法规、行业标准的报告。

　　5.安恒信息MatriXay明鉴WEB应用弱点扫描器

　　明鉴WEB应用弱点扫描器（简称：MatriXay 3.6）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布，2.0版本于2007年12月 发布，并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。因此，被评价为“最佳的WEB安全评估工具”。
　　作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心运营商安全Web和数据库安全检查工具，MatriXay 3.6 （2009版）可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等）。
　　同时，安恒信息拥有国内领先的WEB在线扫描平台，详情参照：
　　[网路游侠：网上应用安全扫描平台试用]

　　6.安域领创WebRavor


























　　新一代应用安全扫描工具WebRavor，全面超越现有的此类工具，是目前世界上最好的商业级安全产品，被客户评价为“技术和艺术的完美结晶”，并且已经取得多项专利保护（200920105886.0/200910078545.3）。
　　安域领创的安全服务团队具有丰富的实施和规划经验，从2001年开始就参与规划和实施多种类型的安全咨询和服务项目，遍及政府、金融、电信、移动、联通等国内各大行业客户。
　　WebRavor是在深入研究分析WEB应用系统中典型安全漏洞及流行攻击技术的基础上，由国内顶尖团队开发的一款WEB应用安全评估产品。研发及测试时间历经4年，经过10万多个真实系统的测试，是目前业界最强悍的专注于WEB应用安全弱点的评估工具。
　　WebRavor在2006年8月的世界安全大会BlackHat和Def—Con上发布后，被评价为“最佳的WEB安全评估工具”。
　　游侠标注：WebRavor的作者是中国第一代黑客的代表人物，写“流光”的作者“小榕”。请参考游侠写的：
　　[网路游侠：WEB安全审计与渗透利器——WebRavor评估版试用]

　　7.诺赛科技Jsky/Pangolin

　　JSky Web应用安全漏洞扫描系统是一款简明易用的自动化Web漏洞扫描与漏洞利用平台。帮你发现并解决现有Web系统中存在的安全隐患；杜绝黑客攻击；保护企业核心资产。
　　诺赛科技为您提供专业且全面的安全解决方案。JSky作为自动化的Web应用漏洞扫描软件模拟“攻击者”给你全方位的视角和完善的建议。让你对入侵者的操作一目了然，从而制定有针对性的防护方案。
　　JSky不只是告诉您这里有漏洞，同时也能通过实际操作告诉您这种漏洞会导致什么样的后果：企业会否由于该漏洞发生数据泄漏？数据丢失？网站挂马？无论您后台数据库是MSSQL、MYSQL、Oracle抑或是大型的Sybase、Informix、DB2系统，我们都能通过简单的操作进行深入的渗透测试。包括读系统敏感文件、写文件、读取数据库信息、执行系统命令、权限提升、上传木马后门等等一系列的操作。
　　向导式的操作，能让您瞬间成为Web应用安全专家。
　　游侠标注：诺赛科技有大牛zwell的支撑，同时有Pangolin穿山甲SQL注入评估软件、iiScan在线WEB安全评估平台，也是非常有实力的公司。其iiScan在线WEB安全评估平台请见：　　
　　[张百川：WEB应用安全评估平台iiScan测试]

　　8.知道创宇“知道网站安全体检中心”

　　知道创宇成立于2007年，是中国唯一微软全球安全服务提供商。知道创宇专注于WEB安全，致力于提供产品、技术、服务来改善日益恶化的中国互联网安全环境。
　　知道网站安全体检中心（在线WEB安全评估系统）：
　　·网站内容监控：出现敏感关键字立刻通知您！
　　·免费挂马监控：第一时间向您发出挂马警告！
　　·网站安全检测：SQL注入、XSS跨站漏洞检测！
　　·谷歌屏蔽通知：发现网站被谷歌屏蔽向您发出报警！
　　·ICP 备案检测：对网站备案的完整性进行检验！
　　关于该扫描平台，请参照游侠写的测试文章：
　　[张百川：“知道”网站安全体检初体验]



　　9.智恒联盟WebPecker网站整体威胁检测系统

　　“网站啄木鸟”是北京智恒联盟科技有限公司技术研究团队多年深入研究当前各类流行Web攻击手段（如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等）的经验结晶。该系统是目前国内最早的一款商业化Web安全检查系统，通过本地检测技术与远程检测技术相结合，对网站进行全面的、深入的、彻底的风险评估，综合性的规则库（本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等）以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术，使得相比国内外同类产品智能化程度高，速度快，误报率极低。
　　经过数百个用户的实践证明，“网站啄木鸟”是Web安全性价比最高的产品，相比国外的Web安全扫描产品来说，速度快，具备紧密跟踪国内最新网页木马的快速响应及更新能力；相比国内的Web安全扫描产品来说，功能多，结果准，该系统是我国等级保护测评以及网站安全保密检查必备软件系统。

　　10. Syhunt Sandcat
　　Sandcat是一款远程网络应用程序安全评估扫描器。它允许你以黑客的视角扫描最常见的网络应用程序缺陷。Sandcat在远程分析WEB应用程序存在的问题，包括但不仅限于：如：SQL注入、XSS等。
　　SandCat有Free版和Pro版，前者可以免费下载。
　　———- end —–www.youxia.org—–

　　除了上述产品，其实国内、国外还有很多不错的产品或服务，如：Safe3 Web Vul Scanner、启明星辰安星远程网站安全检查服务、Google发布的开源WEB扫描器Skipfish、Watcher、N-Stealth等，大家也可以了解下。更多的WEB安全评估工具介绍请参照下文：
　　[网路游侠：WEB应用安全扫描产品概述]