有不少開發人員覺得安全測試是最難以實現自動化的部分,其實這主要是由於沒有找到合適的工具來進行測試。今天給大家介紹10個易用、開源且免費的安全測試工具,希望能夠對你有幫助。
1、Nishang
如果喜歡用PowerShell,那麼可以試試Nishang。Nishang是有效負載與腳本的結合,可以用PowerShell來進行滲透式、攻擊性安全、以及紅隊測試。測試人員可以在當前滲透測試的各個階段使用到該工具。
2、Taipan
Taipan是自動化的Web應用類漏洞掃描程序,能自動化進行Web漏洞的識別。它是開放式項目,有能兼容與支持其他組件的測試引擎。它的界面和Web儀錶板很像,可以在其中掃描並管理各類漏洞,下載掃描器代理程序、以及在主機上運行並輸出PDF格式的報告等。
3、Needle
Needle是iOS版的測試框架,它是模塊化的,能夠簡化針對iOS應用安全評估的整體過程,同時可提供各種安全測試活動的關鍵要點。除了安全測試人員會使用它,開發人員也會用它來加固自己的代碼。
4、Excercise in a Box
Excercise in a Box是在線工具,可以用它來測試自己的網絡是否容易遭受到攻擊。它可以提供各種場景,反覆演練自身面對安全攻擊事件的響應能力,包含了需要執行的各種計劃、設置、交付、以及事後整改活動等資源。
5、Pocsuite
Pocsuite是一個概念驗證和遠程漏洞測試的開發框架。它具有強大的概念驗證引擎,以及各種豐富且強大的功能,很適合安全研究人員和滲透測試人員使用。
6、移動安全框架(Mobile Security Framework)
它是一種多功能的自動化移動應用類滲透測試框架,能執行動態分析,靜態分析,Web APT測試、以及惡意軟體等方面的分析。在實際測試中,它可以被用於針對iOS、Android和Windows等平臺移動應用內部的二進位原始碼,乃至於程序截圖,採取快速、有效的安全性分析;還可以在運行時(runtime)級別,對Android應用程式進行動態應用測試;且還擁有安全掃描程序CapFuzz,能支持Web API的模糊處理。
7、InSpec
InSpec是軟體測試和審核框架,能夠針對程序中的人類可讀語言和機器語言,分析和闡釋代碼級別的安全性、合規性、以及策略需求。在Frida網站上,它可以讓使用者將不同腳本放入其黑盒進程中,「鉤取」各種功能與crypto API,並監視與跟蹤那些私有代碼。
8、DevSlop
如果想全面加固DevOps管道安全性,那麼DevSlop是不錯選擇。作為OWASP的一個子項目,DevSlop能夠通過不同的模塊開展各項深入研究。其中包括應用程式的易受攻擊點,各種管道,以及提供DevSlop Show的功能等。
9、Faraday
Faraday是一個多用戶滲透測試方式的補足工具,被用於針對那些在安全審核過程中所產生的數據,進行專業的索引、分發和分析。使用Faraday,測試人員能以多用戶的方式,充分利用社區裡現有的工具。而且它還提供了一系列特殊功能,以協助用戶改善其現有的工作流程。值得一提的是,Faraday使用簡單,終端與系統上的常用終端區別不大。
10、Tamper
Tamper Chrome是瀏覽器的擴展程序,支持即時更改HTTP請求,並協助進行各項網絡安全的相關測試。它允許用戶深入地檢查瀏覽器所發送的請求及其響應,目前適用於包括Chrome OS在內的所有作業系統。
這10個安全測試工具你收藏了嗎?如果還有什麼想要了解的,或者你有其他好用的安全測試工具,可以在下方評論留言和大家一起探討~