企业与个人必备安全测试工具
0x01 Web漏洞扫描
Appsacn
AppScan是IBM的一款web应用安全测试工具,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)等。其漏洞扫描速度一般,准确率最高,漏洞规则库最全面。漏洞验证可查看请求相应代码,拥有较完整的漏洞修复建议。报表功能完整。AWVS
自动化的web应用程序安全测试工具,可以扫描任何通过web浏览器访问的和遵循HTTP/HTTPS规则的web站点和应用。漏洞扫描速度较快,准确率较高,漏洞规则库较为全面。漏洞验证可查看请求响应代码,报表功能完整。有多重漏洞的验证工具。Burp Suite 集成插件
简单介绍几个常用检测插件:
1、shiro漏洞检测https://github.com/pmiaowu/BurpShiroPassiveScan
2、Struts2漏洞检测
https://github.com/prakharathreya/Struts2-RCE
3、Fastjson漏洞检测
https://github.com/p1g3/Fastjson-Scanner
下面是github上的burp漏洞插件检测列表,文末提供下载。
0x02 第三方开源软件漏洞扫描
Application Inspector
微软开源了快速检查第三方开源组件安全问题的命令行工具 Application Inspector,源代码采用MIT 许可证发布在软件巨人旗下的托管平台 GitHub 上。这个静态源代码分析工具用于帮助开发者在整合第三方开源组件时处理潜在的安全问题。https://github.com/microsoft/ApplicationInspector
0x03 主机漏洞扫描
Nexpose
由Rapid7开发,与Metasploit和Metasploit社区相同的开发人员组成。Nexpose 是一款极佳的漏洞扫描工具,跟一般的扫描工具不同,Nexpose自身的功能非常强大。可以更新其漏洞数据库,以保证最新的漏洞被扫描到。可以给出哪那些漏洞可以被Metasploit Exploit,哪些漏洞在Exploit-db里面有exploit的方案。可以生成非常详细的,非常强大的Report,涵盖了很多统计功能和漏洞的详细信息。下载地址:http://www.rapid7.com/vulnerability-scanner.jsp
安装教程:https://blog.csdn.net/edu_aqniu/article/details/77989831OpenVAS
OpenVAS 是 Nessus 项目的一个开源分支,用于对目标系统进行漏洞评估和管理,OpenVAS 的配置使用相较于 Nessus 更加复杂,扫描速度也不如 Nessus ,但是胜在开源免费。相比于 Nessus ,OpenVAS 的漏洞评估更加侧重系统内部的漏洞,尤其是在 Linux 内核级的漏洞检测上尤为明显。官网地址:https://www.openvas.org/
Nessus
一款号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。下载地址:https://www.tenable.com/downloads/nessus?loginAttempted=true安装教程:https://blog.csdn.net/weixin_41924764/article/details/109550459
0x04 数据库漏洞扫描
Scuba用于扫描数据库,查找安全漏洞和配置缺陷(包括修补级别),其针对 Oracle Database、Microsoft SQL Server、SAP Sybase、IBM DB2、Informix 和 MySQL 提供了接近 1200 次评估测试。
安装教程:(安装包文末提供)
https://www.cnblogs.com/fsxsmile/p/14840028.html
0x05 Docker安全扫描
DockerScan
专门对docker镜像安全测试的工具,采用python开发,支持敏感信息的扫描,例如:在环境变量中查找密码、尝试在环境变量中查找任何 URL/IP、尝试推断内部用于运行软件的用户等。https://github.com/cr0hn/dockerscan
0x06 安卓APP漏洞扫描
QARK
该工具用于分析那些用Java语言开发的Android应用中的潜在安全缺陷。QARK 全称 Quick Android Review Kit。这个工具用来寻找与 Android 应用相关的安全漏洞,包括检查源代码和打包的 APKs。https://github.com/linkedin/qark
0x07 代码安全扫描
Fortify
Fortify 全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果包含详细的安全漏洞信息、安全知识说明、修复意见。支持的21种语言。文章最后附下载地址。https://www.shungg.cn/301.html
0x08 应用安全漏洞扫描
Webinspect
主要是对Web应用程序进行网络应用安全测试和评估。它提供了快速扫描功能,并能进行广泛的安全评估,并给出准确的Web应用程序安全扫描结果。https://www.uedbox.com/post/6487/
0x09 项目依赖扫描
DependencyCheck
用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、PHP、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。工具链接:https://github.com/jeremylong/DependencyCheck
使用命令: ./cli/target/release/bin/dependency-check.sh -h ./cli/target/release/bin/dependency-check.sh --project example --out . --scan ./src/test/resources
欢迎关注公众号:白帽学子,回复 0627 ,获取所有测试工具。
企业与个人必备安全测试工具相关推荐
- 专业人士必备的10个渗透测试工具
渗透测试,也被称为穿透测试或道德黑客攻击,就像电影<Sneakers>中那样,黑客顾问在攻击者之前侵入你的公司网络,找出弱点.这是一个模拟的网络攻击,pentester使用恶意黑客可用的工 ...
- 网管必备的十大网络安全测试工具
网管必备的十大网络安全测试工具 http://blog.csdn.net/wangxiaofei2006/article/details/17007235
- Web必备性能压力测试工具WebBench与ApcheBench(ab)详解
在运维工作中,压力测试是一项很重要的工作.比如在一个网站上线之前,能承受多大访问量.在大访问量情况下性能怎样,这些数据指标好坏将会直接影响用户体验.但是,在压力测试中存在一个共性,那就是压力测试的结果 ...
- 免费的系统压力测试方法/工具有哪些?企业如何做好软件压力测试
对于很多企业测试人员来说,在做软件压力测试工作时,压力测试方法/工具不在乎多与少,而在于是否能够满足自己的产品检测需求,能够派上用处的压力测试工具就是好工具.那么好用的压力测试方法/工具有哪些,企业如 ...
- 世纪前线网络质量测试工具 是什么_企业网络安全最佳实践指南(六)
本系列文章共分为8篇,主要分享作者自身在企业网络安全建设和运维保障过程中的经验总结,包括网络安全管理.网络安全架构.网络安全技术以及安全实践等,力求全方位阐述企业在网路安全中的方方面面,为企业网络安全 ...
- 世纪前线网络质量测试工具 是什么_软件测试行业必备的高薪技能是什么?
测试中的非功能测试其实范围比较广,性能.稳定性.鲁棒性.安全性等都可以放进这个范畴.如果真的细究起来,那真的就多了.非功能测试,一般比功能测试门槛高些,多数还是需要掌握一两种留意的测试工具,配合代码能 ...
- 软件压力测试工具有哪些 企业如何做好压力测试工作?
随着人们对软件质量要求越来越重视,在软件项目正式交付之前都需要做软件压力测试,目的就是为了测试系统能够承载多大的压力,能承担多少的并发.如果不做软件压力测试工作,一旦出现大的访问量的时候,系统或者程序 ...
- 分享软件测试人员必备的60个测试工具,赶紧收藏起来
据统计,中国软件外包市场的潜力和机会已远远超过软件王国印度,不过由于软件人才的严重不足致使我国软件发展遭遇"瓶颈".国家为了大力培养软件人才,不断采取积极有效的措施.我国对软件测试 ...
- 世纪前线网络质量测试工具 是什么_HTTP API测试工具大全,后端开发必备神器。...
API测试的主要任务是看被开发的应用程序接口,是否符合期望,能否可靠的服务,能否提供API所预定的功能,然后就是测试性能如何,接口的安全性如何. 接下来我们就来看看,目前最流行的测试应用程序接口的工具 ...
- 软件测试人员必备的60个测试工具清单,建议收藏一波~
据统计,中国软件外包市场的潜力和机会已远远超过软件王国印度,不过由于软件人才的严重不足致使我国软件发展遭遇"瓶颈".国家为了大力培养软件人才,不断采取积极有效的措施.我国对软件测试 ...
最新文章
- VS2008资源问题解决方法
- 线上分享 | 产品架构搭建:从业务到体系
- Android音频开发(4):如何存储和解析wav文件
- POJ-1845 Sumdiv 逆元,特殊情况
- (vue基础试炼_08)Vue模板语法
- 【Android开发—智能家居系列】(二):用手机对WIFI模块进行配置
- 易语言不用uac权限写到c盘,易语言制作UAC管理员模式添加器
- k8s核心技术-Controller(Deployment)控制器对pod的管理实现_升级回滚和弹性伸缩---K8S_Google工作笔记0030
- MyBatis3源码解析(2)数据库连接
- bzoj 3208 花神的秒题计划I
- MongoDB数据库基础教程
- 基于Java实现宠物领养救助交流平台设计和实现
- 决策树模型,XGBoost,LightGBM和CatBoost模型可视化
- python柱状图标注均值标准差_OpenCV Python 图像矩阵的均值和标准差
- 迭代(一):迭代算法的基本思想
- 微信小程序开发一个小型商城(八、个人页面)
- R语言计量(一):一元线性回归与多元线性回归分析
- Scipy.sparse中coo_matrix、csc_matrix、csr_matrix、lil_matrix区别与特点
- C8051F340芯片64位驱动移植
- 在gitlab上使用动态gif作为自己的头像(转)
热门文章
- 异步和同步数据备份的差别_备份和同步数据的最佳文章
- 递归--组合数计算--委员会问题--抽人问题
- r中gglot怎么组合多张图_怎样组合多张ggplot2图片
- 中南大学2021计算机专硕复试分数线,2021年中南大学研究生录取分数线是多少
- 生成SGML格式,用于算BLEU,NIST,TER
- IceSword(冰刃)V1.22 Final 绿色汉化修正版
- java 电子秤串口通信_js串口通信 调用MSCOMM32控件 链接电子秤(完整版实现方案)...
- 老男孩教育python全栈第九期视频
- 陶瓷纤维毯行业调研报告 - 市场现状分析与发展前景预测
- bag java_Bag.java · linbo/Bag_Queue_Stack_Java - Gitee.com