11款常用的安全測試工具

• 2019 年 10 月 4 日
• 筆記

1. AppScan

一款安全漏洞掃描工具，支持Web和移動，現在安全測試做漏洞掃描非常適用，它相當於是"探索"和"測試"的過程，最終生成很直觀的測試報告，有助於研發人員分析和修復通常安全測試工具用這個，掃描一些安全漏洞，用起來比較方便，網上資料比較多，適合很多測試同學用，資料廣闊，大家可以嘗試下。

官網：https://www.ibm.com/developerworks/downloads/r/appscan/

參考：https://www.cnblogs.com/benpao1314/p/8065720.html

2. Burp Suite

一款信息安全從業人員必備的集 成型的滲透測試工具，它採用自動測試和半自動測試的方式，包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模塊；Proxy功能可以攔截HTTP/S的代理服務器（手機和web）；Spide功能-智能感應的網絡爬蟲；Intruder功能可以對web應用程序進行自動化攻擊等，非常適合做安全測試。通 過攔截HTTP/HTTPS的web數據包，充當瀏覽器和相關應用程序的中間人，進行攔截、修改、重放數據包進行測試，是web安全人員的一把必備的瑞士軍刀。

官網：https://portswigger.net/burp/

參考：https://www.cnblogs.com/nieliangcai/p/6692296.html

3. Acunetix

一款網絡漏洞掃描軟件，它可以檢測網絡的安全漏洞。

官網：https://www.acunetix.com/

4. Nmap

一個網絡連接端掃描軟件，用來掃描網上電腦開放的網絡連接端。確定哪些服務運行在哪些連接端，並且推斷計算機運行哪個操作系統（這是亦稱 fingerprinting）。

官網：https://nmap.org/

參考：https://blog.csdn.net/m0_37268841/article/details/80404613

5. sqlmap

一個開源的滲透測試工具，可以用來進行自動化檢測，利用SQL注入漏洞，獲取數據庫服務器的權限。它具有功能強大的檢測引擎,針對各種不同類型數據庫的滲透測試的功能選項，包括獲取數據庫中存儲的數據，訪問操作系統文件甚至可以通過外帶數據連接的方式執行操作系統命令。

官方網站：http://sqlmap.org/，

下載地址：https://github.com/sqlmapproject/sqlmap/zipball/master

演示視頻：https://asciinema.org/a/46601

教程：http://www.youtube.com/user/inquisb/videos

參考：https://www.freebuf.com/sectool/164608.html

6. OpenVAS

一個開放式漏洞評估系統，也可以說它是一個包含着相關工具的網絡掃描器。其核心部件是一個服務器，包括一套網絡漏洞測試程序，可以檢測遠程系統和應用程序中的安全問題。OpenVas服務端只允許安裝在Linux系統上，接下來我們來介紹一下使用二進制搭建OpenVas的方法以及基礎的使用。

官網：http://www.openvas.org/

參考：https://www.freebuf.com/column/158357.html

7. msfvenom

參考：https://www.offensive-security.com/metasploit-unleashed/msfvenom/

8. fortify

靜態代碼檢查工具

官網：http://www.fortify.net/README.html

參考：https://www.cnblogs.com/eyesmoon/p/7421477.html

參考：https://www.freebuf.com/sectool/95683.html

9. Drozer

MWR Labs開發的一款Android安全測試框架。是目前最好的Android安全測試工具之一。官網：https://labs.mwrinfosecurity.com/publications/

參考：https://www.cnblogs.com/lsdb/p/9441813.html

10. nessus

一款號稱是世界上最流行的漏洞掃描程序，全世界有超過75000個組織在使用它。該工具提供完整的電腦漏洞掃描服務，並隨時更新其漏洞數據庫。Nessus不同於傳統的漏洞掃描軟件，Nessus可同時在本機或遠端上遙控，進行系統的漏洞分析掃描。Nessus也是滲透測試重要工具之一。所以，本章將介紹安裝、配置並啟動Nessus。

官網：https://www.tenable.com/downloads/nessus

參考：https://www.cnblogs.com/cheyunhua/p/8084459.html

11. zap

OWASP Zed攻擊代理（ZAP）是世界上最受歡迎的免費安全審計工具之一，由數百名國際志願者*積極維護。它可以幫助您在開發和測試應用程序時自動查找Web應用程序中的安全漏洞。

官網：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

參考：https://www.fujieace.com/kali-linux/owasp-zed-zap.html

————————————————

版權聲明：本文為CSDN博主「Lucas__liu」的原創文章，遵循 CC 4.0 BY-SA 版權協議，轉載請附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/lb245557472/article/details/88572607