网络安全科普 | 这10个安全测试工具，优秀且免费

Posted 2021-04-29 河北镌远网络科技有限公司

有不少开发人员觉得安全测试是最难以实现自动化的部分，其实这主要是由于没有找到合适的工具来进行测试。今天给大家介绍10个易用、开源且免费的安全测试工具，希望能够对你有帮助。

01

Nishang

如果喜欢用PowerShell，那么可以试试Nishang。Nishang是有效负载与脚本的结合，可以用PowerShell来进行渗透式、攻击性安全、以及红队测试。测试人员可以在当前渗透测试的各个阶段使用到该工具。

02

Taipan

Taipan是自动化的Web应用类漏洞扫描程序，能自动化进行Web漏洞的识别。它是开放式项目，有能兼容与支持其他组件的测试引擎。它的界面和Web仪表板很像，可以在其中扫描并管理各类漏洞，下载扫描器代理程序、以及在主机上运行并输出PDF格式的报告等。

03

Needle

Needle是ios版的测试框架，它是模块化的，能够简化针对iOS应用安全评估的整体过程，同时可提供各种安全测试活动的关键要点。除了安全测试人员会使用它，开发人员也会用它来加固自己的代码。

04

Excercise in a Box

Excercise in a Box是在线工具，可以用它来测试自己的网络是否容易遭受到攻击。它可以提供各种场景，反复演练自身面对安全攻击事件的响应能力，包含了需要执行的各种计划、设置、交付、以及事后整改活动等资源。

05

Pocsuite

Pocsuite是一个概念验证和远程漏洞测试的开发框架。它具有强大的概念验证引擎，以及各种丰富且强大的功能，很适合安全研究人员和渗透测试人员使用。

06

移动安全框架(Mobile Security Framework)

它是一种多功能的自动化移动应用类渗透测试框架，能执行动态分析，静态分析，Web APT测试、以及恶意软件等方面的分析。在实际测试中，它可以被用于针对iOS、android和Windows等平台移动应用内部的二进制源代码，乃至于程序截图，采取快速、有效的安全性分析;还可以在运行时(runtime)级别，对Android应用程序进行动态应用测试;且还拥有安全扫描程序CapFuzz，能支持Web API的模糊处理。

07

 InSpec

InSpec是软件测试和审核框架，能够针对程序中的人类可读语言和机器语言，分析和阐释代码级别的安全性、合规性、以及策略需求。在Frida网站上，它可以让使用者将不同脚本放入其黑盒进程中，“钩取”各种功能与crypto API，并监视与跟踪那些私有代码。

08

DevSlop

如果想全面加固DevOps管道安全性，那么DevSlop是不错选择。作为OWASP的一个子项目，DevSlop能够通过不同的模块开展各项深入研究。其中包括应用程序的易受攻击点，各种管道，以及提供DevSlop Show的功能等。

09

Faraday

Faraday是一个多用户渗透测试方式的补足工具，被用于针对那些在安全审核过程中所产生的数据，进行专业的索引、分发和分析。使用Faraday，测试人员能以多用户的方式，充分利用社区里现有的工具。而且它还提供了一系列特殊功能，以协助用户改善其现有的工作流程。值得一提的是，Faraday使用简单，终端与系统上的常用终端区别不大。

10

Tamper

Tamper Chrome是浏览器的扩展程序，支持即时更改HTTP请求，并协助进行各项网络安全的相关测试。它允许用户深入地检查浏览器所发送的请求及其响应，目前适用于包括Chrome OS在内的所有操作系统。

◆

◆

◆

关于我们：

河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的，提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案，业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块，各版块相互独立又相辅相成，完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。

关注镌远科技，关注网络安全！

河北分公司：河北镌远网络科技有限公司

总公司：北京冠程科技有限公司

实训基地：河北省石家庄市电子信息学校冠程科技研究与实训中心