安全测试自动化工具
有多种工具可用于执行应用程序的安全性测试。很少有工具可以执行端到端安全测试,而有些工具专门用于发现系统中的特定类型的缺陷。
开源工具
一些开源安全测试工具如下 -
编号 | 工具名称 | 描述/简介 | 网站/网址 |
---|---|---|---|
1 | Zed Attack Proxy | 提供自动扫描仪和其他工具,以发现安全漏洞。 | https://www.owasp.org |
2 | OWASP WebScarab | 使用Java开发,用于分析Http和Https请求。 | https://www.owasp.org/index.php |
3 | OWASP Mantra | 支持多语言安全测试框架 | 网址:点击 |
4 | Burp Proxy | 用于拦截和修改流量的工具,适用于使用自定义SSL证书。 | https://www.portswigger.net/Burp/ |
5 | Firefox Tamper Data | 使用tamperdata 查看和修改HTTP/HTTPS标头并发布参数 |
https://addons.mozilla.org/en-US |
6 | Firefox Web Developer Tools | Web Developer扩展将各种Web开发人员工具添加到浏览器中。 | https://addons.mozilla.org/en-US/firefox |
7 | Cookie Editor | 允许用户添加,删除,编辑,搜索,保护和阻止cookie | https://chrome.google.com/webstore |
特定工具集
以下工具可以帮助我们发现系统中特定类型的漏洞 -
编号 | 工具名称 | 描述/简介 | 网站/网址 |
---|---|---|---|
1 | DOMinator Pro | 测试DOM XSS | https://dominator.mindedsecurity.com/ |
3 | OWASP SQLiX | SQL注入 | https://www.owasp.org/index.php |
4 | Sqlninja | SQL注入 | http://sqlninja.sourceforge.net/ |
5 | SQLInjector | SQL注入 | https://sourceforge.net/projects/safe3si/ |
6 | sqlpowerinjector | SQL注入 | http://www.sqlpowerinjector.com/ |
7 | SSL Digger | 测试SSL | https://www.mcafee.com/us/downloads/free-tools |
8 | THC-Hydra | 暴力密码 | https://www.thc.org/thc-hydra/ |
9 | Brutus | 暴力密码 | http://www.hoobie.net/brutus/ |
10 | Ncat | 暴力密码 | https://nmap.org/ncat/ |
11 | OllyDbg | 测试缓冲区溢出 | http://www.ollydbg.de/ |
12 | Spike | 测试缓冲区溢出 | https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
13 | Metasploit | 测试缓冲区溢出 | https://www.metasploit.com/ |
商用黑匣子测试工具
以下是一些商业黑盒测试工具,可帮助我们发现应用程序中的安全问题。
编号 | 测试工具 | 网站 |
---|---|---|
1 | NGSSQuirreL | https://www.nccgroup.com/en/our-services |
2 | IBM AppScan | https://www-01.ibm.com/software/awdtools/appscan/ |
3 | Acunetix Web Vulnerability Scanner | https://www.acunetix.com/ |
4 | NTOSpider | https://www.ntobjectives.com/products/ntospider.php |
5 | SOAP UI | https://www.soapui.org/Security/getting-started.html |
6 | Netsparker | https://www.mavitunasecurity.com/netsparker/ |
7 | HP WebInspect | http://www.hpenterprisesecurity.com/products |
免费的源代码分析器
编号 | 工具 | 网站 |
---|---|---|
1 | OWASP Orizon | https://www.owasp.org/index.php |
2 | OWASP O2 | https://www.owasp.org/index.php/OWASP_O2_Platform |
3 | SearchDiggity | https://www.bishopfox.com/resources/tools |
4 | FXCOP | https://www.owasp.org/index.php/FxCop |
5 | Splint | http://splint.org/ |
6 | Boon | https://www.cs.berkeley.edu/~daw/boon/ |
7 | W3af | http://w3af.org/ |
8 | FlawFinder | https://www.dwheeler.com/flawfinder/ |
9 | FindBugs | http://findbugs.sourceforge.net/ |
商业源代码分析器
这些分析器检查,检测和报告源代码中容易出现漏洞的弱点 -
编号 | 工具 | 网站 |
---|---|---|
1 | Parasoft C/C++ test | https://www.parasoft.com/cpptest/ |
2 | HP Fortify | http://www.hpenterprisesecurity.com/products |
3 | Appscan | http://www-01.ibm.com/software/rational/products |
4 | Veracode | https://www.veracode.com |
5 | Armorize CodeSecure | http://www.armorize.com/codesecure/ |
6 | GrammaTech | https://www.grammatech.com/ |
上一篇:恶意文件执行攻击
下一篇:没有了