前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >渗透测试工具对比表下载_web渗透测试工具大全

渗透测试工具对比表下载_web渗透测试工具大全

作者头像
全栈程序员站长
发布2022-09-22 20:24:28
1.1K0
发布2022-09-22 20:24:28
举报
文章被收录于专栏:全栈程序员必看

大家好,又见面了,我是你们的朋友全栈君。

编号

工具名称

工具介绍

适用范围

优点

缺点

1

Metasploit

Metasploit是一种框架,拥有庞大的编程员爱好者群体,广大编程员添加了自定义模块,测试工具可以测试众多操作系统和应用程序中存在的安全漏洞。人们在GitHub和Bitbucket上发布这些自定义模块。与GitHub一样,Bitbucket也是面向编程项目的在线软件库。Saez说:“Metasploit是最流行的渗透测试工具。” 相关链接:http://www.metasploit.com

Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。

这种可以扩展的模型将负载控制,编码器,无操作生成器和漏洞整合在一起,使 Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。最新版本的 MSF 包含了750多种流行的操作系统及应用软件的漏洞,以及224个 shellcode 。作为安全工具,它在安全检测中用着不容忽视的作用,并为漏洞自动化探测和及时检测系统漏洞提供了有力保障。Metasploit自带上百种漏洞,还可以在online exploit building demo(在线漏洞生成演示)上看到如何生成漏洞。

2

nessus

Nessus安全漏洞扫描器是一款备受欢迎的、基于特征的工具,可用于查找安全漏洞。Saez说:“Nessus只能将扫描结果与收录有已知安全漏洞特征的数据库进行比对。” 相关链接:http://www.tenable.com/products/nessus-vulnerability-scanner

Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。

* 完整支持SSL (Secure Socket Layer)。 * 可自行定义插件(Plug-in) * 采用客户/服务器体系结构,客户端提供了运行在X window 下的图形界面,接受用户的命令与服务器通信,传送用户的扫描请求给服务器端,由服务器启动扫描并将扫描结果呈现给用户; * 其运作效能能随着系统的资源而自行调整

Nessus对个人用户是免费的,只需要在官方网站上填邮箱,立马就能收到注册号了,对应商业用户是收费的。

3

Nmap

Nmap网络扫描器让渗透测试人员能够确定企业在其网络上拥有的计算机、服务器和硬件的类型。这些机器可以通过这些外部探测来查明,这本身就是个安全漏洞。攻击者利用这些信息为攻击奠定基础。 相关链接:https://nmap.org

一是探测一组主机是否在线; 其次是扫描 主机端口,嗅探所提供的网络服务; 还可以推断主机所用的操作系统

利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。

辅助工具

4

Burp Suite

Burp Suite是另一款备受欢迎的Web应用程序渗透测试工具。据Burp Suite Web安全工具厂商PortSwigger声称,它可以标绘并分析Web应用程序,查找并利用安全漏洞。 相关链接:http://portswigger.net/burp/ 1.代理–Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包. 2.Spider(蜘蛛)–Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等,它会自动提交登陆表单(通过用户自定义输入)的情况下.Burp Suite的蜘蛛可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞 。 3.Scanner(扫描器)–它是用来扫描Web应用程序漏洞的.在测试的过程中可能会出现一些误报。重要的是要记住,自动扫描器扫描的结果不可能完全100%准确. 4.Intruder(入侵)–此功能呢可用语多种用途,如利用漏洞,Web应用程序模糊测试,进行暴力猜解等. 5.Repeater(中继器)–此功能用于根据不同的情况修改和发送相同的请求次数并分析. 6.Sequencer–此功能主要用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试. 7.Decoder(解码)–此功能可用于解码数据找回原来的数据形式,或者进行编码和加密数据. 8.Comparer–此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较.

Burp Suite 是用于攻击web 应用程序的集成平台 请求的拦截和修改,扫描web应用程序漏洞,以暴力激活成功教程登陆表单,执行会话令牌等多种的随机性检查

包含了许多工具,并为这些工具设计了许多接口 所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

入门很难,参数复杂,但是一旦掌握它的使用方法,在日常工作中肯定会如如虎添翼;

5

OWASP ZAP

OWASP ZAP(Zed攻击代理)是来自非营利性组织OWASP(开放Web应用程序安全项目)的Web应用程序渗透测试工具。ZAP提供了自动和手动的Web应用程序扫描功能,以便服务于毫无经验和经验丰富的专业渗透测试人员。 ZAP是一款如今放在GitHub上的开源工具。 相关链接:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

用于web应用程序漏洞挖掘的渗透测试工具

提供自动扫描工具还提供了一些用于手动挖掘安全漏洞的工具http://wenku.baidu.com/link?url=o_yEAZR77FdrVSLT9dkl1Ceufm76SAvoGGKJ3BaROVuZN5nksdn-4mZL8Alq92PaPbdyg4R8pM9USOjoLLeKczaqGtBVomb3VB8kQPgR56u

http://bobao.360.cn/learning/detail/498.html

6

SQLmap

SQLmap可自动查找SQL注入攻击漏洞。然后,它会利用那些安全漏洞,全面控制数据库和底层服务器。 相关链接:http://sqlmap.org

开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。

专业检测和利用sql注入漏洞http://blog.csdn.net/zgyulongfei/article/details/41017493/

sqlmap只是用来检测和利用sql注入点的,并不能扫描出网站有哪些漏洞,使用前请先使用扫描工具扫出sql注入点 它由Python语言开发而成,因此运行需要安装python环境。

7

Kali Linux

Kali Linux是一款一体化工具,包含一套专用的预安装测试(以及安全和取证分析)工具。Saez说:“它拥有的工具面向对安全一无所知的人。” 相关链接:https://www.kali.org

用于数字取证和渗透测试

免费,工具全 超过300个渗透测试工具 支持大量无线设备、多语言 完全的可定制

是一个系统

8

Jawfish

Jawfish是一款使用遗传算法的渗透测试工具。Saez说:“遗传算法会根据搜索结果来寻找目标。”基于搜索标准,随着Jawfish逐渐靠近它所寻找的目标,这里是安全漏洞,它就能找到结果。Jawfish不需要特征数据库。 相关链接:https://jawfish.io

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/169918.html原文链接:https://javaforall.cn

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
网站渗透测试
网站渗透测试(Website Penetration Test,WPT)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题,同时提供安全加固意见帮助客户提升系统的安全性。腾讯云网站渗透测试由腾讯安全实验室安全专家进行,我们提供黑盒、白盒、灰盒多种测试方案,更全面更深入的发现客户的潜在风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档