現在,安全鑽研者對網站或是運用程式進行滲入測試而不用任何自動化工具似乎已愈來愈難。因而選取一個正確的工具則變得尤為主要,正確的選取甚至佔去了滲入測試勝利半壁河山。
假設你在網路上搜尋滲入測試工具,你會找到一大堆,其中不乏付費的、免費的、商業的以及開源的。然而,熱點的測試工具都有哪些呢?這裡咱們將為大家梳理出2015年度十大最佳滲入測試工具。
之所以強調是本年度的,這點尤為主要,因為鑽研者使用的工具年復一年的都在發生著變化。
Metasploit——絕無僅有,不可取代
Metasploit自2004年發佈以來,以迅雷不及掩耳之風席捲網路安全界。這是一個用於開發、測試以及漏洞EXP代碼的先進開源平台。其可擴 展模型內含生成payloads、解碼器、無功課生成器以及EXP,這使Metasploit框架成為尖端滲入鑽研的一個主要途徑。它同時附帶了數以百計 的EXP,你能夠從模組清單中看到它們。這樣一來編寫EXP將變得更為輕鬆,同時它還能將那些網際網路黑暗角落中可疑的非法shellcode一掃而光。還 有Metasploitable,一個免費的虛擬系統,專為測試Metasploit以及其他EXP工具而開發的特意不安全Linux虛擬系統。
w3af——帶你破解網站
w3af是一個非常受歡迎、強大並且靈敏的框架,用於尋找並應用web運用程式漏洞。它的應用以及拓展都十分簡便,並且擁有幾十個web評估以及應用外掛程式。從某些方面來看,它就像一個聚焦於web的Metasploit。
Core Impact——想玩滲入,請付錢吧!
Core Impact可並不廉價(籌備花費至少3萬美金),然而它被廣泛認可是最強大的可用漏洞應用工具。它運行著一個巨大並且按期更新的專業EXP資料庫,同時 可以完成一些小奇招,例如EXP一台機器然後通過那台機器樹立一個加密通道,再挖掘其他盒子。當然,其他一些不錯的選取,像是Metasploit以及 Canvas。
SQLMap——學習SQL注入
SQLMap是一個開源滲入測試工具,能夠自動檢驗、應用SQL注入漏洞,以及接管資料庫伺服器。它有一個強大的檢驗引擎,提供滲入測試人員不少細分的特性。一系列功能開關,從資料庫指紋識別,即從資料庫讀取資料到識別動作系統,通過外帶傳輸連線在動作系統遠端執行指令。
Canvas——吾愛0day應用
Canvas是一個來自Dave Aitel ImmunitySec公司的商業漏洞應用工具。它內含超過370個EXP,並且比咱們以前介紹的Core Impact或是Metasploit商業版本更為廉價。它還附帶了完整代碼,以及一些0day漏洞。
Social Engineer Toolkit——呵呵噠,愚蠢的人類
Social Engineer Toolkit(SET)工具在一個介面囊括了許多有用的社會專案學襲擊。SET的主要目的是自動化並改良社會專案學襲擊。它能夠自動生成暗藏了EXP的 網頁或者電子信件音訊,同時還能使用Metasploit的payload,例如網頁一旦被開啟舊檔便會連線shell。
sqlninja——檢驗SQL注入&征服一個網站
sqlininja使用Microsoft SQL Server作為一個後端資料庫挖掘web運用漏洞。它聚焦於取得遠端主電腦上正在運行的shell。起初,Sqlninja並不尋找SQL注入,而是在一個SQL注入被發現之後自動進行漏洞應用。
Netsparker——是個不錯的工具
Netsparker是一個web運用安全漏洞掃瞄工具,可同時支撐漏洞檢驗與應用,能夠高效高準確率的檢驗SQL注入漏洞以及XSS漏洞。一旦在勝利進行漏洞應用或是其他測試之後再次呈文確認的漏洞,它便會顯示為假陽性。
BeEF——朋友,不要忘了它
BeEF是一個web框架襲擊測試平台。這個工具可實時展示採集的殭屍閱讀器以及閱讀器漏洞。它為目的個體或是群組織的殭屍閱讀器提供了指令以及控制介面。
dradis——黑客通信工具
Dradis是一個開放原始碼的框架,可讓滲入測試介入者在其中進行高效的訊息分享。它自身包孕了一個獨立的Web運用程式,它提供了一個集中的資料庫來記錄甚麼迄今已完成的工作以及依然需要做的工作。它的用於讀取以及採集輸出的外掛程式
Dradis遠遠不只是一個單純的記筆記的運用程式。它支撐SSL通信,可以匯入的Nmap以及Nessus結果檔案、附加檔案、生成報表,並且可以延伸,通過延伸就能與(如漏洞資料庫)外部系統結合。
小結
不曉得你最喜歡的工具是否也在清單之中,使用工具來實現你的規劃,然而請不要用它們來搞損壞,讓咱們做一些有意義的事情,莫非不好麼?新朋友請關注「E安全」微信搜公家號EAQapp
現在,安全鑽研者對網站或是運用程式進行滲入測試而不用任何自動化工具似乎已愈來愈難。因而選取一個正確的工具則變得尤為主要,正確的選取甚至佔去了滲入測試勝利半壁河山。
假設你在網路上搜尋滲入測試工具,你會找到一大堆,其中不乏付費的、免費的、商業的以及開源的。然而,熱點的測試工具都有哪些呢?這裡咱們將為大家梳理出2015年度十大最佳滲入測試工具。
之所以強調是本年度的,這點尤為主要,因為鑽研者使用的工具年復一年的都在發生著變化。
Metasploit——絕無僅有,不可取代
Metasploit自2004年發佈以來,以迅雷不及掩耳之風席捲網路安全界。這是一個用於開發、測試以及漏洞EXP代碼的先進開源平台。其可擴 展模型內含生成payloads、解碼器、無功課生成器以及EXP,這使Metasploit框架成為尖端滲入鑽研的一個主要途徑。它同時附帶了數以百計 的EXP,你能夠從模組清單中看到它們。這樣一來編寫EXP將變得更為輕鬆,同時它還能將那些網際網路黑暗角落中可疑的非法shellcode一掃而光。還 有Metasploitable,一個免費的虛擬系統,專為測試Metasploit以及其他EXP工具而開發的特意不安全Linux虛擬系統。
w3af——帶你破解網站
w3af是一個非常受歡迎、強大並且靈敏的框架,用於尋找並應用web運用程式漏洞。它的應用以及拓展都十分簡便,並且擁有幾十個web評估以及應用外掛程式。從某些方面來看,它就像一個聚焦於web的Metasploit。
Core Impact——想玩滲入,請付錢吧!
Core Impact可並不廉價(籌備花費至少3萬美金),然而它被廣泛認可是最強大的可用漏洞應用工具。它運行著一個巨大並且按期更新的專業EXP資料庫,同時 可以完成一些小奇招,例如EXP一台機器然後通過那台機器樹立一個加密通道,再挖掘其他盒子。當然,其他一些不錯的選取,像是Metasploit以及 Canvas。
SQLMap——學習SQL注入
SQLMap是一個開源滲入測試工具,能夠自動檢驗、應用SQL注入漏洞,以及接管資料庫伺服器。它有一個強大的檢驗引擎,提供滲入測試人員不少細分的特性。一系列功能開關,從資料庫指紋識別,即從資料庫讀取資料到識別動作系統,通過外帶傳輸連線在動作系統遠端執行指令。
Canvas——吾愛0day應用
Canvas是一個來自Dave Aitel ImmunitySec公司的商業漏洞應用工具。它內含超過370個EXP,並且比咱們以前介紹的Core Impact或是Metasploit商業版本更為廉價。它還附帶了完整代碼,以及一些0day漏洞。
Social Engineer Toolkit——呵呵噠,愚蠢的人類
Social Engineer Toolkit(SET)工具在一個介面囊括了許多有用的社會專案學襲擊。SET的主要目的是自動化並改良社會專案學襲擊。它能夠自動生成暗藏了EXP的 網頁或者電子信件音訊,同時還能使用Metasploit的payload,例如網頁一旦被開啟舊檔便會連線shell。
sqlninja——檢驗SQL注入&征服一個網站
sqlininja使用Microsoft SQL Server作為一個後端資料庫挖掘web運用漏洞。它聚焦於取得遠端主電腦上正在運行的shell。起初,Sqlninja並不尋找SQL注入,而是在一個SQL注入被發現之後自動進行漏洞應用。
Netsparker——是個不錯的工具
Netsparker是一個web運用安全漏洞掃瞄工具,可同時支撐漏洞檢驗與應用,能夠高效高準確率的檢驗SQL注入漏洞以及XSS漏洞。一旦在勝利進行漏洞應用或是其他測試之後再次呈文確認的漏洞,它便會顯示為假陽性。
BeEF——朋友,不要忘了它
BeEF是一個web框架襲擊測試平台。這個工具可實時展示採集的殭屍閱讀器以及閱讀器漏洞。它為目的個體或是群組織的殭屍閱讀器提供了指令以及控制介面。
dradis——黑客通信工具
Dradis是一個開放原始碼的框架,可讓滲入測試介入者在其中進行高效的訊息分享。它自身包孕了一個獨立的Web運用程式,它提供了一個集中的資料庫來記錄甚麼迄今已完成的工作以及依然需要做的工作。它的用於讀取以及採集輸出的外掛程式
Dradis遠遠不只是一個單純的記筆記的運用程式。它支撐SSL通信,可以匯入的Nmap以及Nessus結果檔案、附加檔案、生成報表,並且可以延伸,通過延伸就能與(如漏洞資料庫)外部系統結合。
小結兩岸商貿,在家工作,網路創業,創業賺錢思惟,微商平台,賺新台幣
不曉得你最喜歡的工具是否也在清單之中,使用工具來實現你的規劃,然而請不要用它們來搞損壞,讓咱們做一些有意義的事情,莫非不好麼?新朋友請關注「E安全」微信搜公家號EAQapp
留言列表
