良心推荐8个安全测试工具，快来取走

542 0 0

作者:程序员--小憨

安全测试是很重要的东西!!可以提高信息系统中的数据安全性，未经批准的用户就无法访问。成功的安全测试可以保护Web应用程序免受严重的恶意软件和其他恶意威胁的侵害，这些侵害会导致Web应用程序崩溃或产生意外行为。全球范围内的组织和专业人员都使用安全测试来确保系统的安全性。目前有很多免费、付费或开源工具可用来检查应用程序中的漏洞和缺陷。以下，是今日推荐的8个安全测试工具。

1. 劫掠者

便携式Grabber主要是为了扫描小型Web应用程序，包括论坛和个人网站。轻量级的安全测试工具没有GUI界面，并且使用Python编写。它可以发现的漏洞有：备份文件验证、跨站脚本、文件包含、简单的AJAX验证、SQL注入。它不仅简单编写还可以自动生成统计分析文件并且支持JS代码分析。

2. Iron Wasp

Iron Wasp是一个开源的拥有强大功能的扫描工具，可以发现25种以上的Web应用程序漏洞!不仅如此还可以检测误报。Iron Wasp可以帮助的有身份验证失败、跨站脚本、CSRF、隐藏参数、特权提升。它基于GUI，可以用HTML和RTF格式生成报告。

3. Nogotofail

Nogotofail是网络流量安全测试工具，一款轻量级的应用程序，非常轻巧易于使用，易于部署，能够检测TLS / SSL漏洞和配置错误，支持设置为路由器、代理或虚拟专用网服务器。Nogotofail可以暴露的漏洞有MiTM攻击、SSL证书验证问题、SSL和TLS注入，快来试试吧。

这也是一个值得推荐的开源安全测试工具。除了公开漏洞外，还可以衡量Web应用程序的源代码质量。不管你使用什么编写，SonarQube可以分析20多种编程语言。另外它的持续集成工具可以轻松地集成到Jenkins之类的产品中。发现问题后以绿色或红色突出显示，清晰明了。绿色不是没问题而是代表低风险的漏洞和问题，红色则表示严重的漏洞和问题。对于相对较新的测试人员，有一个交互式GUI;而高级用户可以通过命令提示符进行访问。

5. SQLMap

SQLMap完全免费，可以自动化查找SQL注入漏洞的过程，也可以用于网站的安全测试。它附带一个功能强大的测试引擎，支持多种数据库，能够支持6种类型的SQL注入技术：基于布尔的盲注、基于错误、带外、堆叠查询、基于时间的盲注、UNION查询。

6. Wireshark

Wireshark也是免费开源的网络数据包分析软件。它可以截取网络数据包，会为你尽可能显示出最详细的数据。还可以可提供实时网络分析，让用户看到重建的TCP会话流。很多安全从业者对它都很熟悉，因为Wireshark的使用频率高，是个很好用的工具喔。

7. Kismet

Kismet是一个流量监测工具，基于控制台的802.11第2层无线网络检测器、嗅探器和入侵检测系统。主要通过被动嗅探识别网络，还可以发现正在使用中的隐藏网络。通过嗅探TCP、UDP、ARP和DHCP数据包自动检测网络IP块，以Wireshark / tcpdump兼容格式记录流量，甚至可以在下载的地图上绘制检测到的网络和预估范围。