Arachni

关于黑盒，个人认为还是首先考虑是私用还是商用。 私用的话去找一些开源的工具就好，像OWASP ZAP、Arachni、Wfuzz、Nikto这几个都是免费开源的。 商用的话就比较特殊，需要考量的因素比较多（当然也比较贵），除了规则库、准确率、误报率、效率、稳定性以外，合规也是非常重要的因素（当了多年甲方运维狗已经被合规搞怕了/哈哈）。 商用给你推荐的话，当然是 曾以 Watchfire AppScan 的名称享誉业界的AppScan,当年IBM收购了这条产品线以后更名为IBM Rational AppScan，可想而知，能被IBM看上的都不是省油的灯。之后，IBM的Web系统在上线之前，必须要通过公司的安全扫描，执行这个扫描任务的就是著名的Appscan。 这个软件能构造各种各样的输入， 模拟各种黑客的攻击，发现Web系统的各种漏洞： SQL注入，XSS，CSRF，Session Fixation等等， 非常强大，是Web系统安全探测好助手，后来还出了一个SaaS版。 直到2018年12月IBM的几大软件被HCL所收购，这让我挺震惊的，因为这些软件我很熟悉，有些还是经常使用的，其中一个就是 Appscan，2020年初HCL还更新了AppScan，功能更强大了。 换了东家之后，价格倒是提升了不少，但是市场占有率还是稳居第一，性能方面更没得说