安全测试工具资源

Posted 2021-04-29 开源测试联盟

这么多工具怎么学习/看？建议一个类型挑选一个认证看即可；

工具资源

一般测试

• OWASP ZAP

• Zed攻击代理（ZAP）是易于使用的集成渗透测试工具，用于发现Web应用程序中的漏洞。它被设计为具有广泛的安全经验的人使用，因此，它是渗透测试新手的开发人员和功能测试人员的理想选择。

• ZAP提供了自动扫描程序以及一系列工具，可让您手动查找安全漏洞。

• 打p代理

• Burp代理是用于Web应用程序安全性测试的拦截代理服务器，它允许侦听和修改双向传递的所有HTTP（S）流量，它可以与自定义SSL证书和不支持代理的客户端一起使用。

• Webstretch代理

• Webstretch代理使用户可以通过代理查看和更改与网站的通信的所有方面。它也可以在开发期间用于调试。

• Firefox HTTP标头实时

• 在浏览时查看页面的HTTP标头。

• Firefox篡改数据

• 使用篡改数据查看和修改HTTP / HTTPS标头和发布参数

• Firefox Web开发人员工具

• Web开发人员扩展将各种Web开发人员工具添加到浏览器。

• DOM检查器

• DOM Inspector是用于检查，浏览和编辑文档对象模型（DOM）的开发人员工具。

• 格林德尔扫描

• Grendel-Scan是对Web应用程序的自动安全扫描，还支持手动渗透测试。

• SWFIntruder（发音为Swiff Intruder）是第一个专门为在运行时分析和测试Flash应用程序的安全性而开发的工具。

• w3af

• w3af是一个Web应用程序攻击和审核框架。该项目的目标是发现和利用Web应用程序漏洞。

• skipfish

• Skipfish是一个活动的Web应用程序安全侦察工具。

• Web Developer工具栏

• Web开发人员扩展使用各种Web开发人员工具向浏览器添加了工具栏按钮。这是Firefox的Web开发人员扩展的官方端口。

• HTTP请求制作器

• Request Maker是用于渗透测试的工具。有了它，您可以轻松捕获网页发出的请求，篡改URL，标题和POST数据，当然也可以发出新请求

• Cookie编辑器

• 编辑此Cookie是cookie管理器。您可以添加，删除，编辑，搜索，保护和阻止Cookie

• Cookie交换

• Swap My Cookies是会话管理器，它管理cookie，使您可以使用多个帐户登录任何网站。

• Session Manager

• 使用会话管理器，您可以快速保存当前的浏览器状态，并在必要时重新加载它。您可以管理多个会话，重命名会话或将其从会话库中删除。每个会话都会记住浏览器在创建时的状态，即打开的选项卡和窗口。

• 维加子图

• Vega是一个免费的开源扫描仪和测试平台，用于测试Web应用程序的安全性。Vega可以帮助您查找和验证SQL注入，跨站点脚本（XSS），无意中泄露的敏感信息以及其他漏洞。它是用Java，基于GUI编写的，并且可以在Linux，OS X和Windows上运行。

测试特定漏洞

测试javascript安全性，DOM XSS

• BlueClosure BC检测

测试SQL注入

• Sqlninja：SQL Server注入和接管工具

• Bernardo Damele AG：sqlmap，自动SQL注入工具

• Absinthe1.1（以前为SQLSqueal）

• SQLInjector-使用推理技术提取数据并确定后端数据库服务器

• Bsqlbf-v2：Perl脚本允许从Blind SQL Injections中提取数据

• Pangolin：自动SQL注入渗透测试工具

• Multiple DBMS Sql注入工具-SQL Power注入器

测试Oracle

• Toad for Oracle (强烈推荐本地安装)

测试SSL

• O型

• sslyze

• TestSSLServer

• SSL扫描

• SSLScan视窗

• SSLLabs

测试蛮力密码

• THC Hydra

• John the Ripper

• Medusa

• Ncat

• HashCat

• fgdump

• Password Dictionary

测试缓冲区溢出

• OllyDbg

• “A windows based debugger used for analyzing buffer overflow vulnerabilities”

• Spike

• A fuzzer framework that can be used to explore vulnerabilities and perform length testing

• Brute Force Binary Tester (BFB)

• A proactive binary checker

• Metasploit

• 快速的漏洞利用开发和测试框架

模糊器

• Wfuzz

谷歌搜索

• Bishop Fox的Google Hacking Diggity项目

• Google Hacking数据库

Slow HTTP

• Slowloris

• slowhttptest

商业黑匣子测试工具

• NGS Typhon

• IBM AppScan

• Burp lntruder

• Acunetix Web漏洞扫描程序

• MaxPatrol安全扫描仪

• Parasoft SOAtest（更多QA型工具）

• N-Stalker Web应用程序安全扫描程序

• SoapUI（Web服务安全性测试）

• Netsparker

• SAINT

• QualysGuard WAS

• IndusGuard web

Linux发行版

• PenTestBox

• Samurai

• Santoku

• ParrotSecurity

• Kali

• Matriux

• BlackArch

• PenToo

源代码分析器

开源/免费软件

• Spotbugs

• Find Security Bugs

• FlawFinder

• phpcs-security-audit

• PMD

• Microsoft’s FxCop

• Oedipus

• Splint

• SonarQube

• W3af

商业广告

• Checkmarx CxSuite

• GrammaTech

• ITS4

• ParaSoft

• Virtual Forge CodeProfiler for ABAP

• Veracode

• Peach Fuzzer

• Burp Suite

验收测试工具

验收测试工具用于验证Web应用程序的功能。有些遵循脚本化方法，通常使用单元测试框架来构建测试套件和测试用例。除功能测试外，大多数（如果不是全部）都可以进行特定于安全性的测试。

• BDD安全

开源工具

• htmlUnit

• 一个基于Java和JUnit的框架，使用Apache HttpClient作为传输。

• 非常健壮和可配置，并且用作许多其他测试工具的引擎。

• jWebUnit

• 一个基于Java的元框架，使用htmlunit或Selenium作为测试引擎。

• HttpUnit

• 第一个Web测试框架之一遭受了使用本机JDK提供的HTTP传输的困扰，这对于安全性测试可能会有所限制。

• Solex

• 一个Eclipse插件，提供一个图形工具来记录HTTP会话并根据结果进行断言。

• selenium

• 基于JavaScript的测试框架，跨平台，并提供用于创建测试的GUI。

• 成熟且流行的工具，但使用JavaScript可能会妨碍某些安全测试。

其他工具

二元分析

• BugScam IDC软件包

• Veracode

站点镜像

• wget

• Windows的Wget

• curl

• Xenu的链接侦探