这10个工具,安全且免费
许多开发人员认为安全测试是自动化最困难的部分,主要是因为没有找到合适的测试工具。我想在今天向您介绍10个易于使用、开放源码和免费的安全测试工具。我希望它能对您有所帮助。
1、Nishang
如果您喜欢使用PowerShell,可以尝试Nisang。Nisang是一种可以用PowerShell测试的有效载荷和脚本的组合,用于渗透、攻击安全性和红队测试。测试人员可以在当前渗透测试的所有阶段使用该工具。
2、Taipan
大班是一个自动的Web应用漏洞扫描器,它可以自动识别Web漏洞。它是一个开放的项目,带有与其他组件兼容和支持的测试引擎。它的界面非常类似于Web仪表板,它可以扫描和管理漏洞,下载扫描仪代理,并在主机上运行和输出PDF格式的报告。
3、Needle
Needle是iOS版本的测试框架,它是模块化的,可以简化iOS应用程序安全评估的整个过程,同时提供各种安全测试活动的关键点。除了安全测试人员使用它,开发人员还将使用它来增强他们的代码。
4、Excercise in a Box
ExcerciseinaBox是一个在线工具,可以用来测试您的网络是否容易受到攻击。它可以提供各种场景,反复演练自己应对安全攻击的能力,包括各种计划、设置、交付,以及事后纠正活动和要执行的其他资源。
5、Pocsuite
PocSuet是一个用于概念验证和远程漏洞测试的开发框架。它具有强大的概念验证引擎,以及各种丰富而强大的功能,非常适合安全研究人员和渗透测试人员使用。
6.移动安全框架(移动安全框架)
它是一个多功能的自动化移动应用程序渗透测试框架,可以执行动态分析、静态分析、WebAPT测试和恶意软件分析。在实际测试中,它可以用于移动iOS、Android和Windows平台中的二进制源代码,甚至是程序截图,以便进行快速有效的安全分析;它还可以在运行时(运行时)级别对Android应用程序进行动态应用程序测试;还有一个安全扫描程序CapFuzz,可以支持WebAPI的模糊处理。
7、InSpec
Inspec是一个软件测试和审核框架,它分析和解释程序中对人类可读语言和机器语言的代码级安全性、遵从性和策略要求。在Frida站点上,它允许用户将不同的脚本放入他们的黑匣子进程中,使用CryptoAPI的"钩子"特性,并监视和跟踪这些私有代码。
8、DevSlop
如果你想充分加强DevOps管道的安全性,那么DevSlop是一个不错的选择。作为OWASP的一个子项目,DevSlop可以通过不同的模块进行深入的研究。这些模块包括应用程序的脆弱性、各种管道以及提供DevSlopShow的能力。
9、Faraday
Faraday是多用户渗透测试的补充工具,用于对安全审计过程中生成的数据进行专业索引、分发和分析。使用Faraday,测试人员可以以多用户的方式充分利用社区现有的工具。它还提供了一系列帮助用户改进现有工作流程的特殊功能。值得一提的是,Faraday简单易用,并且系统上的终端和常用终端之间没有什么差别。
10、Tamper
TamperChrome是浏览器的扩展,它支持HTTP请求的即时更改,并帮助测试各种网络安全。它允许用户深入检查浏览器发送的请求及其响应,目前适用于所有操作系统,包括ChromeOS。