tools for penetration test

渗透测试的几种工具介绍;

Fiddler

代理服务应用

Fiddler 是一个免费的 Web 代理工具,具有浏览器和平台不可知性的特点。它有许多功能用来辅助渗透测试人员。它是一个跨平台工具(几乎所有操作系统),允许用户调试来自任何系统的网络流,甚至包括智能手机和平板。从渗透测试者的角度看,Fiddler 主要用来拦截和解密 HTTPS 流,就像它的名字建议的那样,用户能方便地修改和检查数据包来识别应用漏洞。

Nmap

端口扫描工具

Nmap 是”网络映射器”的缩写, 它是一个免费、开源的网络扫描工具, 使用 IP 包来识别网络。Nmap 提供大量的选项用于扫描单个或一个范围段的 IP 、端口或主机。它也可以被用来扫描子网, 识别主机上运行的服务, 检测远程操作系统版本, 发现安全漏洞等, 是一个功能非常强大的工具。它的输出信息常被用来做为渗透测试前的分析。

Wireshark

Web 漏洞扫描工具

Wireshark 是一个企业级标准网络协议分析工具。它不停地捕获网络数据包并以人类可读的形式展示给终端用户。Wireshark 允许用户通过网卡、WiFi、NpCap卡、蓝牙、令牌环等各种网络接口来捕获数据。它甚至允许用户通过一个 USBPCAP 工具捕获 USB 网络接口的数据。Wireshark 还有一个控制台版本, 叫 ‘tshark’。

Metasploit

漏洞挖掘框架

Metasploit 框架提供了一系列工具用来进行渗透测试。它是一个多用途 hack 框架,广泛地被渗透测试人员用来挖掘各种平台的漏洞、收集漏洞信息、测试补丁等。Metasploit 框架是一个开源项目,有 200,000 多个贡献者,使它成为一个强健的集渗透测试、执行策略、测试补丁、进行研究等于一身的框架,并持续不断地更新漏洞数据库。

Nikto

web 漏洞扫描程序

Nikto 是 pen 测试社区中非常有名的另一个工具。它是依据 GPL 协议提供的开源工具。 Nikto 在其界面中提供多个选项以对主机进行设置。它扫描主机以发现潜在的漏洞,例如服务器配置错误、host 文件和程序安全隐患、可能存在风险的过时程序以及可能会对服务器造成风险的特定版本的问题。 Nikto 可在 OS X 上使用,由 MacNikto 提供。

John the Ripper

密码破解

John the Ripper(通常被称为“John”或 JTR )是一个非常受欢迎的密码破解工具。 JTR 主要用于执行字典攻击以识别网络中的弱密码漏洞。JTR 是一个离线密码破解程序,可以在本地或远程调用。它还支持强力和彩虹密钥攻击。

Burp Suite

网络扫描

Burp Suite 的一个主要用处是拦截浏览器和目标应用之间的所有请求和响应信息, 免费版本可以用来生成对特定请求的概念验证 CSRF (跨站伪造请求)攻击。同时也有应用感知爬虫可以被用来绘制应用层内容(大致是一些应用功能、类型、特征等信息)。付费版本可以解锁更多功能。

OpenVAS

漏洞扫描

OpenVAS 是一款漏洞扫描程序,该工具是 2005 年最后一次免费版本的 Nessus 发行的分支。目前 Nessus 的免费版本仅在非企业环境中运行。为了达到安全审核的目标,Nessus 仍然是一个受欢迎的漏洞扫描程序,但企业版扫描现在需要一年约 2,000 美元的许可证费用。使用 OpenVAS ,用户可以执行许多漏洞扫描,并创建可导出的报告,用于突出显示用于创建安全策略的全面扫描结果。

Aircrack-ng

密码破解

Aircrack-ng 是一个针对 802.11a/b/g 无线网络(其实就是 WiFi 了)的密码破解套件, 支持基本的监控模式(rfmon)。它工作在监控模式时不断地捕获网络数据, 一旦足够的数据被捕获, 便开始运行破解算法计算 WEP 和 WPA 秘钥。Aircrack-ng 其实是一个工具包, 里面包含各种各样的无线网络破解工具, 像 Airodump-ng(就是用它来捕获网络数据的), Airsnort-ng(用来做秘钥破解), Airplay-ng (用来生成假数据包, 做欺骗用的), Airdecap-ng (做解密用的)。

Kismet

网络包嗅探工具

随着无线 LAN 入侵的增长, Kismet 已经变成了一个用来检测 WLAN 网络入侵和嗅探的非常重要的工具, 它支持 802.11 a/b/g 等各种 WLAN 网络制式, 并支持基本的监控模式 (rfmon) 。Kismet 是一个相当轻量级的工具, 它工作在被动模式, 监听无线网络的接入点(AP)和客户端 SSID 。这些 SSID 和 AP 可以被互相映射以找出任何隐藏的网络或非信标网络。Kismet 也可以将数据以 Wireshark 兼容的格式保存下来用来作进一步分析。

原文发布于微信公众号 - 数据库SQL(SQLdba)

原文发表时间:2017-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏我和未来有约会

Kit 3D 更新

Kit3D is a 3D graphics engine written for Microsoft Silverlight. Kit3D was inita...

2506
来自专栏跟着阿笨一起玩NET

c#实现打印功能

2632
来自专栏一个会写诗的程序员的博客

Spring Reactor 项目核心库Reactor Core

Non-Blocking Reactive Streams Foundation for the JVM both implementing a Reactiv...

2132
来自专栏落花落雨不落叶

canvas画简单电路图

59911
来自专栏pangguoming

Spring Boot集成JasperReports生成PDF文档

由于工作需要,要实现后端根据模板动态填充数据生成PDF文档,通过技术选型,使用Ireport5.6来设计模板,结合JasperReports5.6工具库来调用渲...

1.2K7
来自专栏一个爱瞎折腾的程序猿

sqlserver使用存储过程跟踪SQL

USE [master] GO /****** Object: StoredProcedure [dbo].[sp_perfworkload_trace_s...

2000
来自专栏张善友的专栏

Silverlight + Model-View-ViewModel (MVVM)

     早在2005年,John Gossman写了一篇关于Model-View-ViewModel模式的博文,这种模式被他所在的微软的项目组用来创建Expr...

2938
来自专栏闻道于事

js登录滑动验证,不滑动无法登陆

js的判断这里是根据滑块的位置进行判断,应该是用一个flag判断 <%@ page language="java" contentType="text/html...

6698
来自专栏java 成神之路

使用 NIO 实现 echo 服务器

4537
来自专栏C#

DotNet加密方式解析--非对称加密

    新年新气象,也希望新年可以挣大钱。不管今年年底会不会跟去年一样,满怀抱负却又壮志未酬。(不过没事,我已为各位卜上一卦,卦象显示各位都能挣钱...)...

4828

扫码关注云+社区