漏洞掃描程序
Nexpose –Rapid7出售的Metasploit集成的商業漏洞和風險管理評估引擎。Nessus – Tenable出售的商業漏洞管理,配置和合規性評估平臺。OpenVAS –流行的Nessus漏洞評估系統的免費軟體。Vuls –用Go編寫的GNU / Linux和FreeBSD的無代理漏洞掃描程序。本文為百度作者文章,未經許可不得轉載,感謝:公眾號(soword科技言)所有免費資料均由自學IT愛好者提供。靜態分析儀
Brakeman – Ruby on Rails應用程式的靜態分析安全漏洞掃描程序。cppcheck –可擴展的C / C ++靜態分析器,專注於發現錯誤。FindBugs –免費軟體靜態分析器,用於查找Java代碼中的錯誤。sobelow – Phoenix框架的注重安全性的靜態分析。bandit –面向安全性的python代碼靜態分析器。網絡掃描儀
Nikto –快速的黑匣子Web伺服器和Web應用程式漏洞掃描程序。Arachni –用於評估Web應用程式安全性的可編寫腳本的框架。w3af –用於Web應用程式攻擊和審核框架的黑客工具。Wapiti –帶有內置模糊器的黑盒Web應用程式漏洞掃描程序。SecApps –瀏覽器內Web應用程式安全測試套件。WebReaver –專為macOS設計的商業圖形Web應用程式漏洞掃描程序。WPScan –黑盒子WordPress漏洞掃描程序的黑客工具。cms-explorer –顯示由內容管理系統支持的各種網站正在運行的特定模塊,插件,組件和主題。joomscan –最佳的Joomla漏洞掃描程序黑客工具。ACSTIS – AngularJS的自動客戶端模板注入(沙盒轉義/旁路)檢測。網絡工具
zmap –開源網絡掃描儀,使研究人員可以輕鬆地進行Internet範圍內的網絡研究。nmap –用於網絡探索和安全審核的免費安全掃描程序。pig – GNU / Linux數據包製作的黑客工具之一。scanless – 埠掃描的實用程序,以免洩露您自己的IP。tcpdump / libpcap –在命令行下運行的通用數據包分析器。Wireshark –廣泛使用的圖形化,跨平臺網絡協議分析器。netsniff-ng –用於網絡嗅探的瑞士軍刀。Intercepter-NG –多功能網絡工具包。SPARTA –圖形界面,提供對現有網絡基礎結構掃描和枚舉工具的可腳本化,可配置訪問。dnschef –用於滲透測試者的高度可配置的DNS代理。DNSDumpster –在線DNS偵查和搜索服務的黑客工具之一。CloudFail –通過搜索舊的資料庫記錄並檢測配置錯誤的DNS,來隱藏隱藏在Cloudflare後面的伺服器IP位址。dnsenum – Perl腳本,該腳本枚舉域中的DNS信息,嘗試進行區域傳輸,執行蠻力字典式攻擊,然後對結果進行反向查找。dnsmap –被動DNS網絡映射器的黑客工具之一。dnsrecon – DNS枚舉腳本的黑客工具之一。dnstracer –確定給定DNS伺服器從何處獲取其信息並遵循DNS伺服器鏈。Passivedns-client –用於查詢多個被動DNS提供程序的庫和查詢工具。passivedns -網絡嗅探器會記錄所有的DNS伺服器回復於被動DNS設置使用。批量掃描 – TCP埠掃描程序的最佳黑客工具,異步發送SYN數據包,在5分鐘內掃描整個Internet。Zarp –網絡攻擊工具,主要圍繞區域網的開發。mitmproxy –面向滲透測試人員和軟體開發人員的交互式TLS攔截HTTP代理。Morpheus –自動化的ettercap TCP / IP黑客工具。mallory –通過SSH的HTTP / HTTPS代理。SSH MITM –攔截與代理的SSH連接;所有純文本密碼和會話均記錄到磁碟。Netzob –逆向工程,流量生成和通信協議的模糊化。DET –概念證明,可同時使用單個或多個通道執行數據滲透。pwnat –在防火牆和NAT中打孔。dsniff –用於網絡審核和滲透測試的工具集合。tgcd –簡單的Unix網絡實用程序,用於將基於TCP / IP的網絡服務的可訪問性擴展到防火牆之外。smbmap –方便的SMB枚舉工具。scapy –基於Python的交互式數據包處理程序和庫。Dshell –網絡取證分析框架。Debookee –適用於macOS的簡單而強大的網絡流量分析器。Dripcap –咖啡因包分析儀。Printer Exploitation Toolkit(PRET) –用於印表機安全性測試的工具,能夠進行IP和USB連接,模糊測試以及PostScript,PJL和PCL印表機語言功能的利用。Praeda –自動化的多功能印表機數據收集器,用於在安全評估期間收集可用數據。routersploit –類似於Metasploit的開源開發框架,但專門用於嵌入式設備。evilgrade –模塊化框架,通過注入虛假更新來利用不良的升級實現。XRay –網絡(子)域發現和偵查自動化工具。Ettercap –適用於中間機攻擊的全面,成熟的套件。BetterCAP –模塊化,可移植且易於擴展的MITM框架。CrackMapExec –用於測試網絡的瑞士軍刀。impacket –用於處理網絡協議的Python類的集合。網絡開發
OWASP Zed攻擊代理(ZAP) –功能豐富,可編寫腳本的HTTP攔截代理和模糊測試器,用於滲透測試Web應用程式。Fiddler –帶有用戶友好的配套工具的免費跨平臺Web調試代理。Burp Suite –一種與Hacking Tools集成的平臺,用於執行Web應用程式的安全性測試。autochrome –易於安裝測試瀏覽器,具有來自NCCGroup的具有本機Burp支持的Web應用程式測試所需的所有適當設置。WordPress漏洞利用框架 –用於開發和使用模塊的Ruby框架,有助於對WordPress驅動的網站和系統進行滲透測試。WPSploit –使用Metasploit開發WordPress驅動的網站。SQLmap –自動SQL注入和資料庫接管工具。tplmap –自動伺服器端模板注入和Web伺服器接管黑客工具。weevely3 –武器化的Web Shell。Wappalyzer – Wappalyzer發現了網站上使用的技術。WhatWeb –網站指紋識別器。BlindElephant – Web應用程式指紋識別器。wafw00f –識別Web應用程式防火牆(WAF)產品並對其進行指紋識別。fimap –查找,準備,審核,利用甚至Google自動查找LFI / RFI錯誤。Kadabra –自動LFI開發者和掃描器。Kadimus – LFI掃描和利用工具。liffy – LFI開發工具。Commix –自動化的多合一作業系統命令注入和利用工具。DVCS Ripper – Rip Web可訪問(分布式)版本控制系統:SVN / GIT / HG / BZR。sslstrip2 –擊敗HSTS的SSLStrip版本。NoSQLmap –自動NoSQL注入和資料庫接管工具。VHostScan –執行反向查找的虛擬主機掃描程序,可以與數據透視工具一起使用,檢測所有情況,別名和動態默認頁面。FuzzDB –用於黑盒應用程式故障注入和資源發現的攻擊模式和原語字典。EyeWitness –用於獲取網站屏幕快照,提供一些伺服器頭信息以及在可能的情況下標識默認憑據的工具。webscreenshot –一個簡單的腳本,用於獲取網站列表的屏幕截圖。漏洞資料庫工具
Bugtraq(BID) –軟體安全性錯誤識別資料庫,由Symantec,Inc.從提交給SecurityFocus郵件滲透測試工具列表的提交源和其他來源編譯而成。
Exploit-DB –由軟體提供的非盈利項目託管漏洞,由Offensive Security作為公共服務提供。
HPI-VDB –由交叉引用的軟體漏洞的聚集者,提供免費的API訪問,由波茨坦的Hasso-Plattner研究所提供。