有不少开发人员觉得安全测试是最难以实现自动化的部分 , 其实这主要是由于没有找到合适的工具来进行测试 。今天给大家介绍10个易用、开源且免费的安全测试工具 , 希望能够对你有帮助 。
1、Nishang
如果喜欢用PowerShell , 那么可以试试Nishang 。Nishang是有效负载与脚本的结合 , 可以用PowerShell来进行渗透式、攻击性安全、以及红队测试 。测试人员可以在当前渗透测试的各个阶段使用到该工具 。
2、Taipan
【web安全检测工具有哪些 安全检测工具网站介绍】Taipan是自动化的Web应用类漏洞扫描程序 , 能自动化进行Web漏洞的识别 。它是开放式项目 , 有能兼容与支持其他组件的测试引擎 。它的界面和Web仪表板很像 , 可以在其中扫描并管理各类漏洞 , 下载扫描器代理程序、以及在主机上运行并输出PDF格式的报告等 。
3、Needle
Needle是iOS版的测试框架 , 它是模块化的 , 能够简化针对iOS应用安全评估的整体过程 , 同时可提供各种安全测试活动的关键要点 。除了安全测试人员会使用它 , 开发人员也会用它来加固自己的代码 。
4、Excercise in a Box
Excercise in a Box是在线工具 , 可以用它来测试自己的网络是否容易遭受到攻击 。它可以提供各种场景 , 反复演练自身面对安全攻击事件的响应能力 , 包含了需要执行的各种计划、设置、交付、以及事后整改活动等资源 。
5、Pocsuite
Pocsuite是一个概念验证和远程漏洞测试的开发框架 。它具有强大的概念验证引擎 , 以及各种丰富且强大的功能 , 很适合安全研究人员和渗透测试人员使用 。
6、移动安全框架(Mobile Security Framework)
它是一种多功能的自动化移动应用类渗透测试框架 , 能执行动态分析 , 静态分析 , Web APT测试、以及恶意软件等方面的分析 。在实际测试中 , 它可以被用于针对iOS、Android和Windows等平台移动应用内部的二进制源代码 , 乃至于程序截图 , 采取快速、有效的安全性分析;还可以在运行时(runtime)级别 , 对Android应用程序进行动态应用测试;且还拥有安全扫描程序CapFuzz , 能支持Web API的模糊处理 。
7、InSpec
InSpec是软件测试和审核框架 , 能够针对程序中的人类可读语言和机器语言 , 分析和阐释代码级别的安全性、合规性、以及策略需求 。在Frida网站上 , 它可以让使用者将不同脚本放入其黑盒进程中 , “钩取”各种功能与crypto API , 并监视与跟踪那些私有代码 。
8、DevSlop
如果想全面加固DevOps管道安全性 , 那么DevSlop是不错选择 。作为OWASP的一个子项目 , DevSlop能够通过不同的模块开展各项深入研究 。其中包括应用程序的易受攻击点 , 各种管道 , 以及提供DevSlop Show的功能等 。
9、Faraday
Faraday是一个多用户渗透测试方式的补足工具 , 被用于针对那些在安全审核过程中所产生的数据 , 进行专业的索引、分发和分析 。使用Faraday , 测试人员能以多用户的方式 , 充分利用社区里现有的工具 。而且它还提供了一系列特殊功能 , 以协助用户改善其现有的工作流程 。值得一提的是 , Faraday使用简单 , 终端与系统上的常用终端区别不大 。
推荐阅读
- project2010安装使用教程 永久激活工具激活步骤
- 怎么看笔记本温度是否正常 win10温度监控小工具
- 可这学终归是要开始的那开学工作现状如何呢
- 图标工具在哪里 手机作图软件app推荐
- 午睡多长时间是最合适的
- 周大福星期二换购活动哪种方法划算 周大福星期二过去不用工费吗
- 周大福员工自己一般打几折 周大福为什么每个店折扣不一样
- 周大福工费可以打折吗 周大福工费是按克算的吗
- 周大福工费太贵了买了怎么办 周大福工费为什么那么高
- 成都一隔离场所工作人员确诊 上百名志愿者被隔离