Web应用程序安全工具

组织

OWASP - http://www.owasp.org/

开放式Web应用程序安全项目(OWASP)是一个501(c)3全球非营利性慈善组织,致力于提高软件的安全性

Web应用防火墙

ModSecurity - http://www.modsecurity.org/

ModSecurity是一个用于实时Web应用程序监控,日志记录和访问控制的工具包

NAXSI - https://github.com/nbs-system/naxsi

NAXSI是NGINX的开源,高性能,低规则维护WAF,NAXSI意味着Nginx Anti Xss和Sql Injection

sql_firewall - https://github.com/uptimejp/sql_firewall

PostgreSQL的SQL防火墙扩展

ironbee - https://github.com/ironbee/ironbee

IronBee是一个开源项目,用于构建通用的Web应用程序安全工具。IronBee是开发用于保护Web应用程序的系统框架 - 用于构建Web应用程序防火墙(WAF)的框架

扫描

sqlmap - http://sqlmap.org/

sqlmap是一个开源的渗透测试工具,可以自动检测和利用SQL注入漏洞并接管数据库服务器

ZAP - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Zed攻击代理(ZAP)是一种易于使用的集成Web应用程序安全工具,用于查找Web应用程序中的漏洞。它旨在供具有广泛安全经验的人使用,因此非常适合不熟悉渗透测试的开发人员和功能测试人员。ZAP提供自动扫描程序以及一组允许您手动查找安全漏洞的工具

OWASP测试清单v4 - https://www.owasp.org/index.php/Testing_Checklist

在Web漏洞评估期间要测试的一些控件列表

w3af - http://w3af.org/

w3af是一个Web应用程序攻击和审计框架。该项目的目标是创建一个框架,通过查找和利用所有Web应用程序漏洞来帮助您保护Web应用程序

Recon-ng - https://bitbucket.org/LaNMaSteR53/recon-ng

Recon-ng是一个用Python编写的功能齐全的Web Reconnaissance框架。Recon-ng的外观和风格类似于Metasploit Framework

PTF - https://github.com/trustedsec/ptf

渗透测试框架(PTF)是一个支持最新工具的模块化方法

INnfection Monkey - https://github.com/guardicore/monkey

用于测绘网络的半自动测试工具

ACSTIS - https://github.com/tijme/angularjs-csti-scanner

ACSTIS可帮助您扫描某些Web应用程序以获取AngularJS客户端注入模板(有时称为CSTI)。它支持扫描单个请求,同时也支持抓取整个Web应用程序以获得AngularJS CSTI漏洞

运行时应用程序自我保护

Sqreen - https://www.sqreen.io/

Sqreen是面向软件团队的运行应用程序时自我保护(RASP)的解决方案。在应用内代理仪器和监控应用程序,报告可疑用户活动,并在活动时阻止攻击——无需修改代码或进行流量重定向

开发

Secure by Design - https://www.manning.com/books/secure-by-design?a_aid=danbjson&a_bid=0b3fac80

确定设计模式和编码风格的书籍,这些设计模式和编码风格大幅度降低漏洞的危险程度

Securing DevOps - https://www.manning.com/books/securing-devops

本书探讨了如何将DevOps和Security的技术应用于一起,以使云服务更安全

Understanding API Security - https://www.manning.com/books/understanding-api-security

一种免费的电子书采样器,通过展示如何将API组合在一起以及如何使用OAuth协议来保护它们,为API安全运作提供了一些深入的参考

OAuth 2 in Action - https://www.manning.com/books/oauth-2-in-action

从客户端,授权服务器和资源服务器的角度教您实际使用和部署OAuth 2的书

可用性

Usable Security Course - https://pt.coursera.org/learn/usable-security

非常适合那些寻求安全性和可用性如何交叉的人

大数据

data_hacking - https://github.com/ClickSecurity/data_hacking

通过IPython,Pandas和Scikit的示例了解如何充分利用安全数据

hadoop-pcap - https://github.com/RIPE-NCC/hadoop-pcap

读取数据包捕获(PCAP)文件的Hadoop库

Workbench - http://workbench.readthedocs.org/

用于安全研究和开发团队的可扩展python框架

OpenSOC - https://github.com/OpenSOC/opensoc

OpenSOC集成了各种开源大数据技术,以便为安全监控和分析提供工具

Apache Metron(incubating)- https://github.com/apache/incubator-metron

Metron集成了各种开源大数据技术,以便为安全监控和分析提供工具

Apache Spot(incubating)- https://github.com/apache/incubator-spot

Apache Spot是一个开源软件,能够对流量和数据包进行分析

Binarypig - https://github.com/endgameinc/binarypig

Hadoop中可扩展的二进制数据提取工具

DevOps

Securing DevOps -

https://manning.com/books/securing-devops?a_aid=securingdevops&a_bid=1353bcd8

一本关于DevOps安全技术的书,它回顾了保护Web应用程序及其基础结构所进行的最新实践

书籍

Web应用程序黑客手册:查找和利用安全漏洞

http://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/8126533404/

黑客Web应用程序:检测和防止Web应用程序安全问题

http://www.amazon.com/Hacking-Web-Apps-Preventing-Application/dp/159749951X/

黑客暴露的Web应用程序

http://www.amazon.com/Hacking-Exposed-Web-Applications-Third/dp/0071740643/

SQL注入攻击和防御

http://www.amazon.com/SQL-Injection-Attacks-Defense-Second/dp/1597499633/

纠结的WEB:保护现代Web应用程序的指南

http://www.amazon.com/Tangled-Web-Securing-Modern-Applications/dp/1593273886/

Web应用程序混淆:' - / WAFs..Evasion..Filters // alert(/ Obfuscation /) - 

http://www.amazon.com/Web-Application-Obfuscation-Evasion-Filters/dp/1597496049/

XSS攻击:跨站点脚本攻击和防御

http://www.amazon.com/XSS-Attacks-Scripting-Exploits-Defense/dp/1597491543/

浏览器黑客手册

http://www.amazon.com/Browser-Hackers-Handbook-Wade-Alcorn/dp/1118662091/

Web黑客攻击的基础知识:攻击Web的工具和技术

http://www.amazon.com/Basics-Web-Hacking-Techniques-Attack/dp/0124166008/

使用Kali Linux进行Web渗透测试

http://www.amazon.com/Web-Penetration-Testing-Kali-Linux/dp/1782163166/

Web应用程序安全,初学者指南

http://www.amazon.com/Web-Application-Security-Beginners-Guide/dp/0071776168/

Crypto 101是一门关于密码学的入门课程

https://www.crypto101.io/

免费的metasploit教程

http://www.offensive-security.com/metasploit-unleashed/

安全工程

http://www.cl.cam.ac.uk/~rja14/book.html

OpenSSL Cookbook

https://www.feistyduck.com/library/openssl-cookbook/

文档

 

Web应用程序安全项目

https://www.owasp.org/

渗透测试执行标准

http://www.pentest-standard.org/

Thorsten Schneider博士的二元审计

http://www.binary-auditing.com/

工具

metasploit - http://www.metasploit.com/

最常用的渗透测试软件

arachni-scanner - http://www.arachni-scanner.com/

Web应用程序安全扫描程序框架

Nikto - https://github.com/sullo/nikto

网络服务器扫描仪

Nessus - http://www.tenable.com/products/nessus-vulnerability-scanner

漏洞扫描程序

Burp Intruder安全工具 - http://www.portswigger.net/burp/intruder.html

一个Web应用程序安全工具,用于自动定制针对Web应用程序的攻击

openvas - http://www.openvas.org/

世界上最先进的开源漏洞扫描程序和管理器

iSECPartners - https://github.com/iSECPartners/Scout2-

适用于AWS环境的安全审核工具

目录爆破 -

https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

是一个多线程Java应用程序,旨在爆破Web 应用程序服务器上的目录和文件名

Zed工具 - https://www.owasp.org/index.php/ZAP

Zed攻击代理是一种易于使用的集成渗透测试工具,用于查找Web应用程序中的漏洞

dsniff工具 - https://github.com/tecknicaltom/dsniff

dsniff是一系列用于网络审计和渗透测试的工具

webshell管理 - https://github.com/WangYihang/Webshell-Sniper

通过终端管理webshell

DNS欺骗 - https://github.com/DanMcInerney/dnsspoof

丢弃来自路由器的DNS响应,并将其替换为伪装的DNS响应

TrustedSec - https://github.com/trustedsec/social-engineer-toolkit

来自TrustedSec的社工工具包(SET)仓库

自动SQL注入 -https://github.com/sqlmapproject/sqlmap

自动SQL注入和数据库接管工具

beef - https://github.com/beefproject/beef

w3af - http://w3af.org/

一个Web应用程序攻击和审计框架

WPSploit - https://github.com/espreto/wpsploit

通过终端反向shell管理器 

https://github.com/WangYihang/Reverse-Shell-Manager

WS-Attacker - https://github.com/RUB-NDS/WS-Attacker

用于Web服务渗透测试的模块化框架

WPScan - https://github.com/wpscanteam/wpscan

黑盒子WordPress漏洞扫描程序

Paros代理 - http://sourceforge.net/projects/paros/

Web Scarab代理 -

https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

Skipfish - https://code.google.com/p/skipfish/

活跃的Web应用程序安全侦察工具

Acunetix Web -

http://www.acunetix.com/vulnerability-scanner/

漏洞扫描程序

IBM Security AppScan - http://www-03.ibm.com/software/products/en/appscan

Netsparker Web - https://www.netsparker.com/web-vulnerability-scanner/

漏洞扫描程序

HP Web Inspect -

http://www8.hp.com/us/en/software-solutions/webinspect-dynamic-analysis-dast/index.html

Wikto - https://github.com/sensepost/wikto

适用于Windows的Nikto功能

Samurai Web - http://samurai.inguardians.com

测试框架

Ratproxy - https://code.google.com/p/ratproxy/

Websecurify - http://www.websecurify.com

Grendel-scan -http://sourceforge.net/projects/grendel/

Heartbleed test - https://filippo.io/Heartbleed/

CVE-2014-0160(Heartbleed)的检查器(站点和工具)

SSL

Qualys -https://www.ssllabs.com/ssltest/index.html

此服务能够对公共Internet上任何SSL Web服务器的配置进行深入分析

raymii.org – https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

nginx上的SSL安全

weakdh - https://weakdh.org/

弱Diffie-Hellman加密算法和Logjam攻击

Let‘s Encrypt - https://letsencrypt.org/

免费的,自动的,开放的证书颁发机构

Heartbleed Test - https://filippo.io/Heartbleed/

CVE-2014-0160(Heartbleed)的检查器(站点和工具)

 

Ruby on Rails安全

Rails Scanner - http://brakemanscanner.org/

用于Ruby on Rails应用程序的静态分析安全漏洞扫描程序和Web应用程序安全工具

https://github.com/rubysec/ruby-advisory-db

有漏洞的Ruby Gems的数据库

https://github.com/rubysec/bundler-audit

Bundler的补丁级验证

https://github.com/hakirisec/hakiri_toolbelt

Hakiri Toolbelt是Hakiri平台的命令行界面

Hakiri - facets - https://hakiri.io/facets

扫描Gemfile.lock以查找漏洞

Rails SQL Injection - http://rails-sqli.org/

此页面列出了ActiveRecord中的许多查询方法和选项,这些方法和选项不会清理原始SQL参数,也不使用不安全的用户输入进行调用

https://github.com/0xsauby/yasuo

一个ruby脚本,用于扫描网络上有漏洞的且可利用的第三方Web应用程序

转载于:https://www.cnblogs.com/Sendige/p/10192949.html

web应用程序安全工具和资源(漏洞银行 收集整理)相关推荐

  1. Web应用程序测试工具Top20

    Web应用程序测试工具可提高可靠性,缩短周转时间并提高ROI. 它们是各种类型的工具,可以协助从需求捕获到测试管理等各种Web测试活动.以下是包含主要功能和下载链接的顶级Web测试工具的精选列表. 下 ...

  2. Web 应用程序的十大安全漏洞

    应用程序的安全性非常重要,解决安全问题的方法有很多,但一个有效的入门方法是解决 OWASP(开放 Web 应用程序安全项目)确定的十大安全问题.在本文中,我们将介绍当前应用程序的十大安全漏洞. OWA ...

  3. 编写高性能Web应用程序的10个技巧

    编写高性能Web应用程序的10个技巧 linux宝库 收集整理 作者:linux宝库 时间:2007-09-30 收藏本站 来自:linux宝库 联系:linuxmine#gmail.com 分类:[ ...

  4. 使用 Zap 和 W3af 进行 Web 应用程序漏洞评估

    OWASP 社区 Open Web Application Security Program (OWASP) 是一个非营利性在线组织,专注于传播有关企业应用程序安全问题的信息和意识,并为企业应用程序安 ...

  5. 十大开源Web应用安全测试工具

    点击蓝字关注我们 Web应用安全测试可对Web应用程序执行功能测试,找到尽可能多的安全问题,大大降低黑客入侵几率. 在研究并推荐一些最佳的开源Web应用安全测试工具之前,让我们首先了解一下安全测试的定 ...

  6. Acunetix 简介 为什么需要保护您的 Web 应用程序

    为什么需要保护您的 Web 应用程序 网站安全是当今保护企业最容易被忽视的方面,应该是任何组织的优先事项.黑客越来越多地将精力集中在基于 Web 的应用程序上--购物车.表单.登录页面.动态内容等. ...

  7. 全面分析Web应用程序安全漏洞——《黑客攻防技术宝典:web实战篇》

    媒体评论 "想成为 Web 安全高手吗?读这本书吧,你一定不会失望!" --Amazon.com "没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验-- ...

  8. Web应用程序信息收集工具wig

    Web应用程序信息收集工具wig 很多网站都使用成熟的Web应用程序构建,如CMS.分析网站所使用的Web应用程序,可以快速发现网站可能存在的漏洞.Kali Linux新增加了一款Web应用程序信息搜 ...

  9. 分享15款为开发人员准备的开发移动应用程序必备的新资源和工具

    身为一名开发者,光有技术是不够的,必备的应用可以为您的开发工作如虎添翼.随着Android与iOS系统的不断更新换代,相关的的应用也层出不穷,随着移动应用程序的普及推动,很多新的方面被迅速发展, 下面 ...

最新文章

  1. 题目 1093:【蓝桥杯】【入门题】字符逆序
  2. 给定一个n,输出从1到n的整数
  3. Android之记录并研究Volley框架中知识点
  4. js 按钮(checkbox)控制多个checkbox的选中或不选中问题
  5. java javafx webview_基于JavaFX WebView 的采集开发,了解一下?
  6. 无限轮播图片的实现原理
  7. ES建立索引步骤, 1,index 2.mapping 3,别名
  8. 7-10 先序序列创建二叉树,输出先序序列、中序序列、后序序列并输出叶子结点数 (10 分)
  9. ICCV 2021 | 超越MobileNetV3!SkipNet:面向轻量级CNN的Bias Loss
  10. 计算机安全模式启动时蓝屏,电脑如何进入安全模式修复蓝屏故障
  11. vue学习笔记-节接口调用-async和await
  12. JVM对象分配和GC分布【JVM】
  13. Android RSASHA加密
  14. 【学习记录】SPSS问卷调查表分析法
  15. 病理IHC专题|免疫检查点抑制剂疗效生物标志物PD-L1
  16. 【离散数学】偏序集Hasse图的画法和重要元素
  17. uniapp修改顶部标题
  18. Anaconda和pip的区别
  19. 安全产品的核心逻辑-杀毒软件
  20. Helios Ethereum Client for Wallets and Dapp

热门文章

  1. ubuntu 12.04设置返回经典GNOME桌面
  2. Windows内存体系(1) -- 虚拟地址空间
  3. 挑战你智商的100个冷笑话(史上最全)
  4. iOS界面优化 ——卡顿检测和优化方案
  5. AlphaGo打星际,人类的胜算几何?
  6. spring - AOP(6)- 记录后台管理员操作日志
  7. 剑指offer----C语言版----第十天
  8. python3.85在Windows10中安装报错Could not create system restore point, error: 0x80070422. Continuing...
  9. EasyCVR偶尔不显示登录用户名是什么原因?
  10. 让PPT效果脱颖而出的几大技巧!