专栏首页测试邦11款常用的安全测试工具

11款常用的安全测试工具

1. AppScan

一款安全漏洞扫描工具,支持Web和移动,现在安全测试做漏洞扫描非常适用,它相当于是"探索"和"测试"的过程,最终生成很直观的测试报告,有助于研发人员分析和修复通常安全测试工具用这个,扫描一些安全漏洞,用起来比较方便,网上资料比较多,适合很多测试同学用,资料广阔,大家可以尝试下。

官网:https://www.ibm.com/developerworks/downloads/r/appscan/

参考:https://www.cnblogs.com/benpao1314/p/8065720.html

2. Burp Suite

一款信息安全从业人员必备的集 成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块;Proxy功能可以拦截HTTP/S的代理服务器(手机和web);Spide功能-智能感应的网络爬虫;Intruder功能可以对web应用程序进行自动化攻击等,非常适合做安全测试。通 过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。

官网:https://portswigger.net/burp/

参考:https://www.cnblogs.com/nieliangcai/p/6692296.html

3. Acunetix

一款网络漏洞扫描软件,它可以检测网络的安全漏洞。

官网:https://www.acunetix.com/

4. Nmap

一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。

官网:https://nmap.org/

参考:https://blog.csdn.net/m0_37268841/article/details/80404613

5. sqlmap

一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

官方网站:http://sqlmap.org/,

下载地址:https://github.com/sqlmapproject/sqlmap/zipball/master

演示视频:https://asciinema.org/a/46601

教程:http://www.youtube.com/user/inquisb/videos

参考:https://www.freebuf.com/sectool/164608.html

6. OpenVAS

一个开放式漏洞评估系统,也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器,包括一套网络漏洞测试程序,可以检测远程系统和应用程序中的安全问题。OpenVas服务端只允许安装在Linux系统上,接下来我们来介绍一下使用二进制搭建OpenVas的方法以及基础的使用。

官网:http://www.openvas.org/

参考:https://www.freebuf.com/column/158357.html

7. msfvenom

参考:https://www.offensive-security.com/metasploit-unleashed/msfvenom/

8. fortify

静态代码检查工具

官网:http://www.fortify.net/README.html

参考:https://www.cnblogs.com/eyesmoon/p/7421477.html

参考:https://www.freebuf.com/sectool/95683.html

9. Drozer

MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。官网:https://labs.mwrinfosecurity.com/publications/

参考:https://www.cnblogs.com/lsdb/p/9441813.html

10. nessus

一款号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一。所以,本章将介绍安装、配置并启动Nessus。

官网:https://www.tenable.com/downloads/nessus

参考:https://www.cnblogs.com/cheyunhua/p/8084459.html

11. zap

OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。

官网:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

参考:https://www.fujieace.com/kali-linux/owasp-zed-zap.html

————————————————

版权声明:本文为CSDN博主「Lucas__liu」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/lb245557472/article/details/88572607

本文分享自微信公众号 - 测试邦(testerbang)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Soloπ| 支付宝开源Android专项测试工具尝鲜

    SoloPi是阿里在移动端上一个无线化、非侵入式、免 Root 的 Android 自动化工具,公测版拥有录制回放、性能测试、一机多控三项主要功能,能为测试开发...

    测试邦
  • 06-性能测试之JMeter参数化

    参数化是自动化测试脚本的一种常用技巧。简单来说,参数化的一般用法就是将脚本中的某些输入使用参数来代替,在脚本运行时指定参数的取值范围和规则,这样,脚本在运行的时...

    测试邦
  • 安全测试|移动端安全测试drozer

    手机应用的快速增长,手机应用安全成为一个热门的话题,android的安全问题有一大部分的原因是因为android的组件暴露、权限使用不当导致的。

    测试邦
  • 个人常用设计类网站汇总分享

    由于自己偶尔会写一些微信公众号的文章,同时在学习ps的过程中也遇到一些不错的网站。这里总结下来,希望对大家有帮助。推荐的只是网站,有大量优秀的客户端设计工具,后...

    卡二条的技术圈子
  • 初学者如何快速入门人工智能?

    ? 此文是想要进入人工智能这个领域、但不知道从哪里开始的初学者最佳的学习资源列表。原文是 Ray Alez 编写的“Artificial Intelligen...

    灯塔大数据
  • 「秘」那些管UI小姐姐要来的网站

    不要慌哈,网络安全的内容比较多,一篇文章写不完,后续会分成几篇文章,带大家手动实现一波,加深理解。

    童欧巴
  • 业界 | 从12大领域盘点133家人工智能企业,精准提升产品与服务

    选自Venture Beat 机器之心编译 参与:蒋思源 本文提供了 133 家人工智能企业,其中既有科技巨头又有新兴初创公司。本文希望能按类别给读者提供一个全...

    机器之心
  • 推荐 130 个令你眼前一亮的网站,总有一个用得着

    谷粉学术:https://gfsoso.99lb.net/scholar.html

    Java编程指南
  • 国内最好的破解软件下载站整理

    Oxida
  • 相见恨晚的超实用网站,一次性分享出来

    IT茂茂

扫码关注云+社区

领取腾讯云代金券