安全测试 - 自动化工具


有多种工具可用于执行应用程序的安全测试。很少有工具可以执行端到端安全测试,而有些工具则专门用于发现系统中特定类型的缺陷。

开源工具

一些开源安全测试工具如下:

编号 工具名称
1

Zed 攻击代理

提供自动扫描仪和其他工具来发现安全漏洞。

https://www.owasp.org

2

OWASP 网络圣甲虫

用 Java 开发,用于分析 Http 和 Https 请求。

https://www.owasp.org/index.php

3

OWASP 咒语

支持多语言安全测试框架

https://www.owasp.org/index.php/OWASP_Mantra__-_Security_Framework

4

打嗝代理

用于拦截和修改流量的工具,可与自定义 SSL 证书配合使用。

https://www.portswigger.net/Burp/

5

Firefox 篡改数据

使用 tamperdata 查看和修改 HTTP/HTTPS 标头和 post 参数

https://addons.mozilla.org/en-US

6

Firefox 网络开发工具

Web Developer 扩展向浏览器添加了各种 Web 开发人员工具。

https://addons.mozilla.org/en-US/firefox

7

Cookie 编辑器

允许用户添加、删除、编辑、搜索、保护和阻止 cookie

https://chrome.google.com/webstore

特定工具集

以下工具可以帮助我们发现系统中特定类型的漏洞 -

编号 关联
1

DOMinator Pro - DOM XSS 测试

https://dominator. Mindsecurity.com/

2

OWASP SQLiX - SQL 注入

https://www.owasp.org/index.php

3

Sqlninja - SQL 注入

http://sqlninja.sourceforge.net/

4

SQLInjector - SQL 注入

https://sourceforge.net/projects/safe3si/

5

sqlpowerinjector - SQL 注入

http://www.sqlpowerinjector.com/

6

SSL Digger - 测试 SSL

https://www.mcafee.com/us/downloads/free-tools

7

THC-Hydra - 暴力密码

https://www.thc.org/thc-Hydra/

8

Brutus - 暴力密码

http://www.hoobie.net/brutus/

9

Ncat - 暴力破解密码

https://nmap.org/ncat/

10

OllyDbg - 测试缓冲区溢出

http://www.ollydbg.de/

11

Spike - 测试缓冲区溢出

https://www.immunitysec.com/downloads/SPIKE2.9.tgz

12

Metasploit - 测试缓冲区溢出

https://www.metasploit.com/

商业黑盒测试工具

以下是一些商业黑盒测试工具,可以帮助我们发现我们开发的应用程序中的安全问题。

免费源代码分析器

商业源代码分析器

这些分析器检查、检测和报告源代码中容易出现漏洞的弱点 -