安全测试自动化工具

有多种工具可用于执行应用程序的安全性测试。很少有工具可以执行端到端安全测试,而有些工具专门用于发现系统中的特定类型的缺陷。

开源工具

一些开源安全测试工具如下 -

编号 工具名称 描述/简介 网站/网址
1 Zed Attack Proxy 提供自动扫描仪和其他工具,以发现安全漏洞。 https://www.owasp.org
2 OWASP WebScarab 使用Java开发,用于分析Http和Https请求。 https://www.owasp.org/index.php
3 OWASP Mantra 支持多语言安全测试框架 网址:点击
4 Burp Proxy 用于拦截和修改流量的工具,适用于使用自定义SSL证书。 https://www.portswigger.net/Burp/
5 Firefox Tamper Data 使用tamperdata查看和修改HTTP/HTTPS标头并发布参数 https://addons.mozilla.org/en-US
6 Firefox Web Developer Tools Web Developer扩展将各种Web开发人员工具添加到浏览器中。 https://addons.mozilla.org/en-US/firefox
7 Cookie Editor 允许用户添加,删除,编辑,搜索,保护和阻止cookie https://chrome.google.com/webstore

特定工具集

以下工具可以帮助我们发现系统中特定类型的漏洞 -

编号 工具名称 描述/简介 网站/网址
1 DOMinator Pro 测试DOM XSS https://dominator.mindedsecurity.com/
3 OWASP SQLiX SQL注入 https://www.owasp.org/index.php
4 Sqlninja SQL注入 http://sqlninja.sourceforge.net/
5 SQLInjector SQL注入 https://sourceforge.net/projects/safe3si/
6 sqlpowerinjector SQL注入 http://www.sqlpowerinjector.com/
7 SSL Digger 测试SSL https://www.mcafee.com/us/downloads/free-tools
8 THC-Hydra 暴力密码 https://www.thc.org/thc-hydra/
9 Brutus 暴力密码 http://www.hoobie.net/brutus/
10 Ncat 暴力密码 https://nmap.org/ncat/
11 OllyDbg 测试缓冲区溢出 http://www.ollydbg.de/
12 Spike 测试缓冲区溢出 https://www.immunitysec.com/downloads/SPIKE2.9.tgz
13 Metasploit 测试缓冲区溢出 https://www.metasploit.com/

商用黑匣子测试工具

以下是一些商业黑盒测试工具,可帮助我们发现应用程序中的安全问题。

编号 测试工具 网站
1 NGSSQuirreL https://www.nccgroup.com/en/our-services
2 IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/
3 Acunetix Web Vulnerability Scanner https://www.acunetix.com/
4 NTOSpider https://www.ntobjectives.com/products/ntospider.php
5 SOAP UI https://www.soapui.org/Security/getting-started.html
6 Netsparker https://www.mavitunasecurity.com/netsparker/
7 HP WebInspect http://www.hpenterprisesecurity.com/products

免费的源代码分析器

编号 工具 网站
1 OWASP Orizon https://www.owasp.org/index.php
2 OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform
3 SearchDiggity https://www.bishopfox.com/resources/tools
4 FXCOP https://www.owasp.org/index.php/FxCop
5 Splint http://splint.org/
6 Boon https://www.cs.berkeley.edu/~daw/boon/
7 W3af http://w3af.org/
8 FlawFinder https://www.dwheeler.com/flawfinder/
9 FindBugs http://findbugs.sourceforge.net/

商业源代码分析器

这些分析器检查,检测和报告源代码中容易出现漏洞的弱点 -

编号 工具 网站
1 Parasoft C/C++ test https://www.parasoft.com/cpptest/
2 HP Fortify http://www.hpenterprisesecurity.com/products
3 Appscan http://www-01.ibm.com/software/rational/products
4 Veracode https://www.veracode.com
5 Armorize CodeSecure http://www.armorize.com/codesecure/
6 GrammaTech https://www.grammatech.com/

上一篇:恶意文件执行攻击

下一篇:没有了

关注微信小程序
程序员编程王-随时随地学编程

扫描二维码
程序员编程王

扫一扫关注最新编程教程