Ci sono un certo numero di scanner là fuori che non sono gratuiti. Come Nexpose o Nessus che possono fare molto di più che scansionare un server web. Ma forniscono anche questa funzionalità.
La parte interessante è che questi scanner possono anche accedere al server ed eseguire le revisioni della configurazione secondo un determinato standard. Ad esempio, DISA STIG è un'ottima base per testare e vedere se hai implementato correttamente il tuo webserver in modo sicuro.
A parte questo, puoi anche testare l'applicazione stessa, con scanner automatici come Burp o Appscan.
Un'altra opzione potrebbe essere quella di utilizzare ASV . Solitamente vengono utilizzati solo per la conformità PCI-DSS, ma è anche possibile utilizzarli, anche se non è necessario essere conformi a PCI-DSS. Le loro scansioni e report di base sono un'ottima valutazione di base per vedere qual è il livello di sicurezza, poiché i requisiti PCI-DSS non sono affatto chiari.