专栏首页智能计算时代「安全工具」57个开源应用程序工具:免费应用程序安全软件指南

「安全工具」57个开源应用程序工具:免费应用程序安全软件指南

您无需花费大量资金在应用程序开发和交付日程中引入高功率安全性。这本开源应用程序工具指南旨在帮助那些希望投资应用程序安全软件的团队了解开源领域的内容,以及如何思考这些选择。随后将发布商业app sec供应商指南。

为什么需要免费的app sec工具指南?一般而言,有关应用程序安全性的信息可能会令人困惑,因为网站通常会在没有明确描述所提供解决方案类别的情况下展示产品的优势。这使得将一种产品与下一种产品进行比较变得困难。开源项目的网站通常提供有关特定工具的非常精细的信息,这要求读者已经了解如何以及为何使用特定工具。

开源app sec工具的价值

大多数开源项目都是针对app sec要求而设计的,其规模小于商业供应商所倾向的目标。尽管如此,我们认为这个高度专注的开源应用程序提供商名单应该为安全爱好者所熟悉,他们寻求针对特定类型的网络威胁的新的创造性方法。

其中一些操作系统项目非常活跃,并且经常使用新功能进行更新;其他人,嗯,不是那么多,但他们值得一试。自网络诞生以来,一些更强大的OS技术已经存在;其他人都很新,在推特和其他地方有越来越多的粉丝。

请注意,此处的一些列表是免费的“社区版”的高级商业产品。另请注意,您无法再通过.org或.net后缀识别开源项目。正如您将看到的,许多人现在使用.com约定以及许多其他URL约定。

Andiparos

着名的Paros Proxy的一个分支,一个开源Web应用程序安全评估工具,为渗透测试人员提供了抓取网站,分析内容,拦截和修改请求的能力

网址:https://code.google.com/archive/p/andiparos

BackTrack

这个发行版称为基于Linux的渗透测试工具,配置有数百种安全测试工具和脚本

网址:http://www.backtrack-linux.org

BeEF

开源的渗透测试

网址:http://beefproject.com

Caja

用于使第三方HTML,CSS和JavaScript安全嵌入网站的编译器。它使用对象功能安全模型来实现各种灵活的安全策略。

网址:http://developers.google.com/caja

ClamAV

用于检测特洛伊木马,病毒,恶意软件和其他恶意威胁的开源防病毒引擎

网址:http://clamav.net

DOM Snitch

实验性Chrome扩展程序,使开发人员和测试人员能够识别客户端代码中常见的不安全做法。开发人员和测试人员可以在浏览器内部进行DOM修改,无需使用调试器逐步执行JavaScript代码或暂停其应用程序的执行

网址:https://code.google.com/archive/p/domsnitchdomsnitch

Ettercap

被称为“针对中间人攻击的综合套件......具有嗅探现场连接,动态内容过滤以及许多其他有趣的技巧。”

网址:http://ettercap.github.io/ettercap

GoLismero

用于安全测试的免费软件框架。

网址:http://www.golismero.com

谷歌黑客数据库(GHDB)

SecTools.org将其描述为“安全研究人员和渗透测试人员的金矿”,该网站是漏洞利用数据库的一部分,这是一个非营利性项目,由进攻性安全部门提供为公共服务。

网址:https://www.exploit-db.com/google-hacking-database

Google应用安全工具

谷歌表示,这些工具“解决了其他开源工具中存在的差距。这些工具可能需要进行一些小的调整或编译才能在您的系统上运行。”有些是单独列在此列表中。

网址:https://www.google.com/about/appsecurity/tools

Grabber

Web应用程序扫描程序,可以检测Web应用程序中的许多安全漏洞。一个开源的Web应用程序渗透测试工具

网址:http://rgaucher.info/beta/grabber

Grendel

扫描Web应用程序安全工具以查找安全漏洞;功能也可用于手动渗透测试

网址:https://sourceforge.net/projects/grendel

Gruyere

被称为“小型,俗气的网络应用程序”;允许用户发布文本片段并存储各种文件。警告:Gruyere有多个安全漏洞,包括跨站点脚本和跨站点请求伪造,信息泄露,拒绝服务和远程代码执行

网址:http://google-gruyere.appspot.com

Kali

Linux渗透测试

网址:http://kali.org

Keyczar

开源加密工具包旨在使开发人员在其应用程序中使用加密更容易,更安全。它支持对称和非对称密钥的身份验证和加密;旨在实现开放,可扩展和跨平台兼容。

网址:https://github.com/google/keyczar

Kismet

无线网络探测器,嗅探器和入侵检测系统。Kismet主要使用Wi-Fi(IEEE 802.11)网络,但可以通过插件扩展以处理其他网络类型。

网址:http://kismetwireless.org

Malwarebytes

适用于Windows的端点安全恶意软件扫描程序。

网址:http://malwarebytes.org

Metasploit

通过Rapid7渗透测试开源的Metasploit

网址:http://metasploit.com

ModSecurity

WAF开源

网址:http://modsecurity.org

Nagios

监控整个IT基础架构,以确保系统,应用程序,服务和业务流程正常运行。

网址:http://nagios.org

Native Client (NaCl)

一种在浏览器中运行本机编译代码的技术。NaCl旨在保持人们对Web应用程序的操作系统可移植性和安全性

网址:http://developer.chrome.com/native-client

Nikto2

Web服务器测试工具,用于查找已知的易受攻击脚本,配置错误和相关的安全问题

网址:http://cirt.net/nikto2

NMAP

使用NSE脚本进行网络发现和安全审核的渗透测试实用程序,可以检测网络服务中的漏洞,错误配置和安全相关信息

网址:http://nmap.org

NoScript

Firefox插件,为Firefox,Seamonkey和其他基于Mozilla的浏览器提供额外保护;允许JavaScript,Java,Flash和其他插件只能由您选择的受信任网站执行

网址:http://noscript.net

OpenSSH

通过SSH隧道隧道安装不安全的协议来保护两点之间的流量

网址:http://www.openssh.com

OpenVAS

开源漏洞扫描套件

网址:http://openvas.org

OSSEC

基于主机的入侵检测系统或HIDS

网址:http://ossec.github.io

OWASP

owasp.org提供了一大类开源sec测试工具

网址:https://www.owasp.org/index.php/Appendix_A:_Testing_Tools

Packet Storm

提供各种用于漏洞和渗透的扫描仪工具

网址:http://packetstormsecurity.org/files/tags/scanner

Paros Proxy

用于安全性和漏洞测试的测试工具。用于对整个站点进行爬行/爬网,然后执行预装漏洞扫描程序测试

网址:http://www.testingsecurity.com/paros_proxy

Powerfuzzer

基于HTTP协议的应用程序模糊器基于许多其他开源模糊器

网址:http://www.powerfuzzer.com

Ratproxy

旨在克服用户在使用其他代理工具进行安全审核时通常面临的问题;能够区分CSS样式表和JavaScript代码

网址:https://code.google.com/archive/p/ratproxy

Secunia PSI

一种免费的计算机安全解决方案,可识别私人PC上的应用程序中的漏洞

Web:http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

Security Onion

用于入侵检测,网络安全监控和日志管理的Linux发行版

网址:http://blog.securityonion.net

Skipfish

活跃的Web应用程序安全侦察工具。它通过执行递归爬网和字典工具为站点准备交互式站点地图。使用自定义HTTP堆栈编写的C语言,性能高,易于使用且可靠

网址:https://code.google.com/archive/p/skipfish

Snort

用于UNIX衍生产品和Windows的开源,免费和轻量级网络入侵检测系统(NIDS)

网址:http://snort.org

SonarQube

SonarQube™软件(以前称为“Sonar”)是一个管理代码质量的开放平台。因此,它涵盖了7轴代码质量。

网址:https://github.com/SonarSource/sonarqube

SQLMAP

渗透测试工具,自动化在网站数据库中查找和利用SQL注入漏洞的过程

网址:http://sqlmap.org

TCPDUMP

在其网站上称为“功能强大的命令行数据包分析器”,许多人仍然使用此工具作为资源密集型Wireshark的替代工具。

网址:http://tcpdump.org

Vega

Web漏洞扫描器和测试平台; SQL注入,跨站点脚本等

网址:https://subgraph.com/vega

W3AF

SQL注入,跨站点脚本检测工具

网址:http://w3af.org

Wapiti

Web漏洞扫描程序,可让您审核Web应用程序的安全性。它通过扫描网页和注入数据来执行黑盒测试

网址:http://wapiti.sourceforge.net

Watcher

一个Fiddler插件,帮助渗透测试人员被动地发现Web应用程序漏洞

网址:http://websecuritytool.codeplex.com

WATOBO

执行高效(半自动)Web应用程序安全审核

网址:http://watobo.sourceforge.net/index.html

WebScarab

基于Java的安全框架,用于使用HTTP或HTTPS协议分析Web应用程序。用Java编写,可移植到许多平台;提供多种操作模式,由多个插件实现。在最常见的用法中,WebScarab作为拦截代理运行

网址:http://www.owasp.org/index.php/Category:WHASP_WebScarab_Project

Websecurify

GNUCITIZEN(参见商业供应商列表)

网址:

Wfuzz

免费提供的用于Web应用程序渗透测试的开源工具。它可用于强制GET和POST参数,以便针对SQL,XSS,LDAP等许多其他注入进行测试

网址:http://code.google.com/p/wfuzz

SensePost

设备,网络和应用程序的漏洞工具。工具包括autoDANE,reGeorg,Jack和SensePost Maltego工具集

网址:http://sensepost.com

Wireshark

Wireshark渗透测试和数据包级监控开源;根据需要查看详细的流量;关注网络流并发现问题

网址:http://wireshark.org

Zed攻击代理

也称为Zap。开源,拦截代理是fork和更新严重过时的Paros Proxy。相当强大的手动测试,并包含一些自动测试功能。

网址:https://www.owasp.org

本文:http://pub.intelligentx.net/57-open-source-app-sec-tools-guide-free-application-security-software

原文:https://techbeacon.com/app-dev-testing/57-open-source-app-sec-tools-guide-free-application-security-software

本文分享自微信公众号 - 智能时刻(intelligentx),作者:南极真君

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-07-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 「技术架构」设置Squid转发代理或者正向代理

    如果您正在阅读这篇文章,您可能会因为缺少与Squid相关的信息而感到沮丧,Squid是一种非常流行的转发代理。这些令人沮丧的事情包括:在小的软件修订之后出现的重...

    首席架构师智库
  • Monero - 区块链上的隐私和匿名

    合适的是,Monero背后的确切的起源故事仍然有些神秘。像数字现金一样,它易于追踪,因为它易于手工操作。 什么是Monero? Monero背后的概念首先由N...

    首席架构师智库
  • IDC预测2017年全球数字转型技术支出将达1.2万亿美元

    国际数据公司(IDC)发布的“全球半年度数字化转型支出指南”的最新消息预测,全球在数字化转型(DX)技术上的支出将在2017年超过1.2万亿美元,比2016年...

    首席架构师智库
  • nodejs初印象

    初学Nodejs,特意在此记录学习过程,算是对这段时间的一个summary吧,相互勉励,共同进步嘛,Now Begin: 1、什么是nodejs nodejs ...

    用户1141560
  • 基于select IO复用的HTTP服务器(十一)

    没想到距离上篇文章才过去仅仅半个多月就发生了这么多的事情,其之沉、其之重、其之殇,如氤氲般笼罩环绕在这片古老的大地上。钟南山眼中的泪水让我没有丝毫的心情再在文章...

    老李秀
  • nodejs的事件处理机制

    类似于javascript客户端代码中存在由元素触发的事件机制,在nodejs中,也有由对象触发的事件处理机制,比如http.Server对象,就可能会触发'接...

    前端_AWhile
  • 零式-预览版上线

    前言:其实早就弄好了,但是之前没检查主循环里面我在if循环里面用的;而不是:导致直接500错误

    libo1106
  • 真正“搞”懂http协议01—背景故事

    zaking
  • scrapy设置代理ip

    版权信息所有者:chenjiabing 如若转载请标明出处:chenjiabing666.github.io6

    爱撒谎的男孩
  • Go语言经典库使用分析(四)| Gorilla Handlers 源代码实现分析

    上一篇 Go语言经典库使用分析(三)| Gorilla Handlers 详细介绍 中介绍了Handlers常用中间件的使用,这一篇介绍下这些中间件实现的原理...

    飞雪无情

扫码关注云+社区

领取腾讯云代金券