Большинство веб-приложений живут с дырками прямо с продакшн-релиза. SQL-инъекция? Cross-Site Scripting? Классика. Чтобы не держать голову в песке, есть системы для автоматического поиска уязвимостей. Они не панацея, но хотя бы покажут, где ты облажался.

1. Acunetix

Коммерческий монстр. Любит SQLi и XSS, умеет гонять весь сайт вглубь и вдоль. Минус очевидный — стоит денег.

2. Burp Suite

Главный друг пентестеров. Бесплатная версия — так себе, но Pro умеет автоматическое сканирование, плюс можно руками ковырять запросы. Особенно годится, если проверяешь API.

3. OpenVAS

Опенсорс, бесплатный, тяжеловатый в настройке, но живой. Работает не только с сайтами, но и по сети в целом. Для домашних экспериментов или параноиков — норм.

4. Nessus

Классика жанра. Коммерческий, быстрый и с гигантской базой сигнатур. Многие компании юзают именно его.

5. Qualys

Ещё один корпоративный зверь. Облачный сервис с акцентом на «compliance» и красивые отчёты для начальства. Работает хорошо, но это уже из серии «для больших дядь».

Итог

  • Если нужен инструмент «для себя» — бери Burp Suite или OpenVAS.
  • Если в компании есть бюджет — Nessus или Acunetix.
  • А если нужно блеснуть перед аудиторами — Qualys.

Главное помнить: автоматический сканер найдёт 30–50% дыр, остальное — руками. Но даже эти 30% могут спасти тебе задницу.