推荐8个良心安全测试工具，快来取走

安全测试是很重要的东西!!可以提高信息系统中的数据安全性，未经批准的用户就无法访问。成功的安全测试可以保护Web应用程序免受严重的恶意软件和其他恶意威胁的侵害，这些侵害会导致Web应用程序崩溃或产生意外行为。全球范围内的组织和专业人员都使用安全测试来确保系统的安全性。目前有很多免费、付费或开源工具可用来检查应用程序中的漏洞和缺陷。以下，是今日推荐的8个安全测试工具。

1. 劫掠者

便携式Grabber主要是为了扫描小型Web应用程序，包括论坛和个人网站。轻量级的安全测试工具没有GUI界面，并且使用Python编写。它可以发现的漏洞有：备份文件验证、跨站脚本、文件包含、简单的AJAX验证、SQL注入。它不仅简单编写还可以自动生成统计分析文件并且支持JS代码分析。

2. Iron Wasp

Iron Wasp是一个开源的拥有强大功能的扫描工具，可以发现25种以上的Web应用程序漏洞!不仅如此还可以检测误报。Iron Wasp可以帮助的有身份验证失败、跨站脚本、CSRF、隐藏参数、特权提升。它基于GUI，可以用HTML和RTF格式生成报告。

3. Nogotofail

Nogotofail是网络流量安全测试工具，一款轻量级的应用程序，非常轻巧易于使用，易于部署，能够检测TLS / SSL漏洞和配置错误，支持设置为路由器、代理或虚拟专用网服务器。Nogotofail可以暴露的漏洞有MiTM攻击、SSL证书验证问题、SSL和TLS注入，快来试试吧。

4. SonarQube

这也是一个值得推荐的开源安全测试工具。除了公开漏洞外，还可以衡量Web应用程序的源代码质量。不管你使用什么编写，SonarQube可以分析20多种编程语言。另外它的持续集成工具可以轻松地集成到Jenkins之类的产品中。发现问题后以绿色或红色突出显示，清晰明了。绿色不是没问题而是代表低风险的漏洞和问题，红色则表示严重的漏洞和问题。对于相对较新的测试人员，有一个交互式GUI;而高级用户可以通过命令提示符进行访问。

5. SQLMap

SQLMap完全免费，可以自动化查找SQL注入漏洞的过程，也可以用于网站的安全测试。它附带一个功能强大的测试引擎，支持多种数据库，能够支持6种类型的SQL注入技术：基于布尔的盲注、基于错误、带外、堆叠查询、基于时间的盲注、UNION查询。

6. Wireshark

Wireshark也是免费开源的网络数据包分析软件。它可以截取网络数据包，会为你尽可能显示出最详细的数据。还可以可提供实时网络分析，让用户看到重建的TCP会话流。很多安全从业者对它都很熟悉，因为Wireshark的使用频率高，是个很好用的工具喔。

7. Kismet

Kismet是一个流量监测工具，基于控制台的802.11第2层无线网络检测器、嗅探器和入侵检测系统。主要通过被动嗅探识别网络，还可以发现正在使用中的隐藏网络。通过嗅探TCP、UDP、ARP和DHCP数据包自动检测网络IP块，以Wireshark / tcpdump兼容格式记录流量，甚至可以在下载的地图上绘制检测到的网络和预估范围。

8. Nessus

Nessus 可以说是漏洞评估领域的行业标准，能够快速识别和修复问题，有了它安全人员可以省心一半。借助预先构建的策略和模板、群组暂停功能和实时更新等功能，可以轻松、直观地进行漏洞评估。这款工具很活跃，常常会发布新版本。

技术行业，一定要提升技术功底，丰富自动化项目实战经验，这对于你未来几年职业规划，以及测试技术掌握的深度非常有帮助。

金三银四面试季，跳槽季，整理面试题已经成了我多年的习惯！下面有我近几年的收集和整理，整体是围绕着【软件测试】来进行整理的，主体内容包含：python自动化测试专属视频、Python自动化详细资料、全套面试题等知识内容。

对于软件测试的的朋友来说应该是最全面最完整的面试备战仓库，为了更好地整理每个模块，我也参考了很多网上的优质博文和项目，力求不漏掉每一个知识点，很多朋友靠着这些内容进行复习，拿到了BATJ等大厂的offer，这个仓库也已经帮助了很多的软件测试的学习者，希望也能帮助到你！