用检测网站安全2113漏洞的软5261件来对网站进行4102检测，这样的1653软件有OWASP ZAP、Vega、Burp Suite，OWASP ZAP和Vega是内Linux平台的免费软件，容而Burp Suite是收费软件（Burp Suite有Windows版也有Linux版）。但是这些软件都是自动化检测，所以会有误报漏洞的情况，所以当检测出漏洞后，还需要专业的Web渗透测试人员进行确认并指导如何修补漏洞。

可以用软件查杀

找网站漏洞非得用软件吗请详细说一下谢谢

网站漏洞可以手工找，也可以使用e68a843231313335323631343130323136353331333431363633工具（如，WVS），但有些时候使用工具扫描漏洞的数据会被目标网站的安全设备过滤，这时候可以用手工试试。漏洞：1、文件上传漏洞：web网站通常会有上传文件的功能，如：可以上传图片做头像、可以在个人网站发布zip压缩包、可以在招聘网站上传DOC、DOCX等格式的简历，只要web网站允许上传文件就有可能存在上传漏洞。如果没有对上传文件格式、大小做限制或者限制被绕过，就可以上传热议文件和可执行的脚本文件等。测试:找到上传文件的地方，试着上传一个可执行文件，若可以上传，则说明该网站存在上传漏洞；.2、解析漏洞：web服务器对HTTP请求处理不当，将非可执行的脚本、文件等当做可执行的脚本、文件去执行。解析漏洞常和文件上传漏洞一起用。如，Apache的文件解析漏洞：Apache从右到左读取数据，会跳过无法识别的文件后缀名，如，XXX.php.随便一个后缀名，Apache就会把该文件当作XXX.php去执行。Nginx的解析漏洞(<8.03版本)：访问http://www.xxx.com/xx.jpg%00.php，Nginx会将xx.jpg文件当作xx.php执行。可以将攻击脚本文件的后缀名改为.jpg或其他网站可上传的文件格式，再访问该文件加上%00.php或其他可执行的后缀名，就可以使目标网站执行构造的攻击代码。需要知道目标网站的中间件、中间件的版本等，通过信息收集阶段解决。测试：在url中，在文件夹目录下输入带有.asp等可执行脚本文件后缀为后缀的文件夹，或输入类似xx.asp;.jpg，看其是否执行，执行则存在文件解析漏洞。3、SQL注入漏洞：网站没有对用户提交的参数做过滤或者过滤被限制，执行了用户提交参数里携带的恶意SQL语句。测试：在URL后面输入 and 1=1 或者 and 1=2回车，如果还是能够正常登录此网页，而没有提示“非法字符”或者提示“非法字符”等类似的字样就说明此网站能够SQL注入。4、XSS漏洞：可以注入恶意的HTML/Javascript语句。测试：网页的输入点，输入<script>alert（“xss”)</script>，有弹窗弹出则证明存在xss漏洞等。

恩，国内的软件基本没什么用了，现在主流就是BURP或者Kirl