【51CTO.com快譯】現如今,隨著DevOps(其中也包括DevSecOps)正逐漸將安全性測試添加到我們的管道之中。有時候,人們會認為與安全相關的測試是最難以實現自動化的部分。此類測試往往缺乏容易上手的簡單工具。其實,這主要是由於測試人員未找到合適的資源。本文將向您介紹十三種頂級易用的、且免費開源的安全測試工具。
1. Excercise in a Box
Excercise in a Box是由英國國家網絡安全中心(National Cyber Security Center)所推出的在線工具。它可以幫助用戶獲悉自己的應用是否容易遭受到網絡攻擊。
同時,該工具可以提供各種場景,以便貴組織在安全的環境中,根據自己所設定的允許的時間,反覆演練自身面對安全攻擊事件的響應能力。可以說,它匯聚了您需要執行的各種計劃、設置、交付、以及事後整改活動等一切資源。
2. Needle
作為iOS版的測試框架,Needle是由美國黑帽公司(Black Hat USA)所推出的。它是一種模塊化的開源框架,其目標是為了簡化針對iOS應用安全評估的整體過程。同時,該工具能夠為您提供各種安全測試活動的關鍵要點。
除了面向專業的安全測試人員,開發人員也可以用它來加固自己編寫出的程序代碼。
3. DevSlop
隨著技術應用的發展,以及用戶對於產品質量與服務性能要求的提升,您可能會接到類似於針對那些採用了微服務、API、以及容器化等應用程式的測試任務。
這些實現技術方面的迭代,迫使安全人員重新審視自己的傳統測試方式。作為OWASP的一個子項目Sloppy DevOps(或稱為DevSlop)能夠通過不同的模塊開展各項深入研究。其中包括了:應用程式的易受攻擊點,各種管道,以及提供DevSlop Show的相關功能。
可以說:如果您正在考慮全面地加固DevOps管道安全性的話,那麼DevSlop就是一款非常不錯的入門級工具與資源。
4. 移動安全框架(Mobile Security Framework)
移動安全框架(https://dzone.com/articles/three-essential-mobile-security-measures)被業界稱為:一種多功能的自動化移動應用類滲透測試框架。它可以執行動態分析,靜態分析,Web APT測試、以及惡意軟體等方面的分析。
在實際測試中,它可以被用於針對iOS、Android和Windows等平臺移動應用內部的二進位原始碼,乃至於程序截圖,採取快速、有效的安全性分析。同時,它還可以在運行時(runtime)級別,對Android應用程式進行動態應用測試。另外,它還擁有針對Web API的特殊安全掃描程序—CapFuzz,並能夠支持Web API的模糊處理。
5. Frida
Frida是面向逆向工程師、開發人員、以及安全研究人員的一種動態工具包。同時,它也是一種實現了應用程式鉤子(hooking)的工具包和框架。
在Frida網站上,它要求用戶將自己的不同腳本放入其黑盒進程中,以便「鉤取」各種功能與crypto API,並監視與跟蹤那些私有的程序代碼。顯然,它並不需要任何應用的原始碼。
6. Nishang
如果您的默認安全腳本語言是PowerShell的話,那麼請選用Nishang框架。作為有效負載與腳本的結合,Nishang允許用戶使用PowerShell來進行滲透式、攻擊性安全、以及紅隊(Red Teaming,譯者註:是在傳統滲透測試的基礎上,更著重於針對企業人員、業務系統、供應鏈、辦公系統、物理安全等方面真實脆弱點的攻擊評估。)測試。用戶可以在當前滲透測試的各個階段使用到該工具。
7. Tamper
作為瀏覽器的擴展程序,Tamper Chrome允許用戶即時地更改HTTP請求,並能夠協助進行各項網絡安全的相關測試。目前,它適用於包括Chrome OS在內的所有作業系統。同時,它還允許用戶深入地檢查瀏覽器所發送的請求及其響應。
8. InSpec
InSpec是一種高級的軟體測試和審核框架。作為基礎架構的開源式框架,該工具能夠針對程序中的人類可讀(human-readable)語言和機器語言,分析和闡釋代碼級別的安全性、合規性、以及策略需求。
9. Faraday
作為集成式滲透測試環境(Integrated Penetration-Test Environment,IPE),Faraday它是一種多用戶滲透測試方式的補足工具。它可以被用於針對那些在安全審核過程中所產生的數據,進行專業的索引、分發和分析。
在實際使用過程中,測試人員能夠以多用戶的方式,充分利用到社區裡現有的各類工具,這也是Faraday的開發目的所在。由於在設計之初就已經考慮到了簡單性,因此用戶在使用過程中,會發現Faraday的終端與系統上的常用終端並無太大的區別。另外,該工具還提供了一系列特殊功能,以協助用戶改善其現有的工作流程。
10. Pocsuite
Pocsuite是一種概念驗證(proof-of-concept)和遠程漏洞測試的開發框架。對於安全研究人員和滲透測試人員來說,該工具具有強大的概念驗證引擎,以及各種細分的功能。
11. Taipan
作為一種自動化的Web應用類漏洞掃描程序,Taipan能夠方便用戶自動化地進行Web漏洞的識別。Taipan是一種開放式的項目,它包含了能夠兼容與支持其他組件的測試引擎。該工具的界面類似於一個Web儀錶板,用戶可以在其中掃描並管理各類漏洞,下載掃描器代理程序、以及在特定的主機上運行並輸出PDF格式的報告。
12. Pacu
Pacu是一種AWS的開發框架。它的主要功能是針對Amazon的Web Services進行各項安全性測試。
13. Secure Guild
眾所周知,測試人員從來不缺少五花八門的工具圖譜,安全測試也同樣如此。如果您是剛剛入門、或初次開展安全類測試的話,那麼請不要放過對於Secure Guild的試用。該資源是一種專門致力於討論安全測試相關問題的在線會議服務。該平臺不但能夠為您答疑解惑,還可以讓您學到各種安全測試的知識與技能。
原文標題:Top Free Security Testing Tools,作者:Taqi Ahmed
【51CTO譯稿,合作站點轉載請註明原文譯者和出處為51CTO.com】
【編輯推薦】
【責任編輯:
趙寧寧TEL:(010)68476606】