40 najboljših orodij za testiranje penetracije (test s peresom) v letu 2021

Anonim
Orodja za testiranje prodora pomagajo prepoznati varnostne pomanjkljivosti v omrežju, strežniku ali spletni aplikaciji. Ta orodja so zelo uporabna, saj vam omogočajo prepoznavanje "neznanih ranljivosti" v programski opremi in omrežnih aplikacijah, ki lahko povzročijo kršitev varnosti. Orodja za ocenjevanje ranljivosti in testiranje prodora (VAPT) napadajo vaš sistem znotraj omrežja in zunaj njega, kot da bi ga napadel heker. Če je nepooblaščen dostop mogoč, je treba sistem popraviti. Tu je seznam najboljših 40 orodij za testiranje penetracije

1) Netsparker

Netsparker je enostaven za uporabo varnostni pregledovalnik spletnih aplikacij, ki lahko samodejno najde SQL Injection, XSS in druge ranljivosti v vaših spletnih aplikacijah in spletnih storitvah. Na voljo je kot lokalna rešitev in rešitev SAAS. Lastnosti
  • Natančno odkrivanje ranljivosti z edinstveno dokazno tehnologijo skeniranja.
  • Potrebna je minimalna konfiguracija. Optični bralnik samodejno zazna pravila prepisovanja URL-jev, strani z napakami po meri 404.
  • REST API za brezhibno integracijo s SDLC, sistemi za sledenje napak itd.
  • Popolnoma prilagodljiva rešitev. Skenirajte 1.000 spletnih aplikacij v samo 24 urah.

2) Acunetix

Acunetix je popolnoma avtomatizirano orodje za testiranje penetracije. Njegov varnostni skener spletnih aplikacij natančno optično prebere HTML5, JavaScript in enostranske aplikacije. Lahko pregleduje zapletene, overjene spletne strani in izdaja poročila o skladnosti in upravljanju za širok spekter ranljivosti spleta in omrežja, vključno z ranljivostmi zunaj pasu.

Lastnosti:

  • Skenira za vse različice SQL Injection, XSS in dodatnih 4500 ranljivosti
  • Zazna več kot 1200 ranljivosti jedra, teme in vtičnika WordPress
  • Hitro in razširljivo - brez prekinitve preiskuje na stotisoče strani
  • Integrira se s priljubljenimi WAF-ji in sledilci težav za pomoč pri SDLC
  • Na voljo v prostorih in kot rešitev v oblaku.

3) vsiljivec

Intruder je zmogljivo, avtomatizirano orodje za testiranje penetracije, ki odkriva varnostne pomanjkljivosti v vašem IT okolju. Ponuja vodilne varnostne preglede v industriji, neprekinjeno spremljanje in preprosto uporabo platforme, Intruder pa podjetja vseh velikosti varuje pred hekerji.

Lastnosti

  • Najboljše v svojem razredu pokritost z več kot 10.000 varnostnimi pregledi
  • Preveri slabosti konfiguracije, manjkajoče popravke, pomanjkljivosti aplikacij (kot so vbrizgavanje SQL in skriptiranje na več mestih) in še več
  • Samodejna analiza in določanje prednosti rezultatov skeniranja
  • Intuitiven vmesnik, hiter za nastavitev in zagon prvih pregledov
  • Proaktivno varnostno spremljanje najnovejših ranljivosti
  • Priključki AWS, Azure in Google Cloud
  • Integracija API-ja z vašim CI / CD cevovodom

4) Indusface

Indusface WAS ponuja ročno testiranje penetracije in avtomatizirano skeniranje za odkrivanje in poročanje o ranljivostih na podlagi OWASP top 10 in SANS top 25.

Lastnosti

  • Pajek skenira enostranske programe
  • Funkcija zaustavitve in nadaljevanja
  • Poročila o ročnem PT in samodejnem optičnem bralniku, prikazana na isti armaturni plošči
  • Neomejeno dokazovanje zahtev za koncepte ponuja dokaze o prijavljenih ranljivostih in pomaga pri odpravljanju lažnih pozitivnih rezultatov pri avtomatiziranih preiskavah
  • Izbirna integracija WAF za takojšnje navidezno popravljanje z Zero False positive
  • Samodejno razširi pokritost iskanja po podatkih o dejanskem prometu iz sistemov WAF (če je WAF naročen in uporabljen)
  • Podpora 24 × 7 za razpravo o sanacijskih smernicah / POC

5) Programska oprema za odkrivanje vdorov

Programska oprema za odkrivanje vdorov je orodje, ki vam omogoča zaznavanje vseh vrst naprednih groženj. Zagotavlja poročanje o skladnosti za DSS (sistem za podporo odločanju) in HIPAA. Ta aplikacija lahko neprekinjeno spremlja sumljive napade in aktivnosti.

Lastnosti:

  • Zmanjšajte prizadevanja za odkrivanje vdorov.
  • Ponuja skladnost z učinkovitim poročanjem.
  • Ponuja dnevnike v realnem času.
  • Lahko zazna zlonamerne IP-je, programe, račune in še več.

6) Traceroute NG

Traceroute NG je aplikacija, ki vam omogoča analizo omrežne poti. Ta programska oprema lahko prepozna naslove IP, imena gostiteljev in izgubo paketov. Zagotavlja natančno analizo prek vmesnika ukazne vrstice

Lastnosti:

  • Ponuja analizo omrežne poti TCP in ICMP.
  • Ta aplikacija lahko ustvari datoteko dnevnika txt.
  • Podpira IP4 in IPV6.
  • Zaznajte spremembe poti in vas obvestite.
  • Omogoča neprekinjeno testiranje omrežja.

7) ExpressVPN

ExpressVPN varuje brskanje po internetu pred agencijami s tremi črkami in prevaranti. Ponuja neomejen dostop do glasbe, družbenih medijev in videa, tako da ti programi nikoli ne beležijo naslovov IP, zgodovine brskanja, poizvedb DNS ali cilja prometa.

Lastnosti:

  • Strežniki na 160 lokacijah in v 94 državah
  • Povežite se z VPN brez kakršne koli omejitve pasovne širine.
  • Zagotavlja spletno zaščito z uporabo zaščite pred uhajanjem in šifriranja.
  • Bodite na varnem, tako da skrijete naslov IP in šifrirate svoje omrežne podatke.
  • Pomoč je na voljo 24 ur na dan po e-pošti in prek klepeta v živo.
  • Plačajte z Bitcoini in uporabite Tor za dostop do skritih spletnih mest.

8) Owasp

Projekt za zaščito odprtih spletnih aplikacij (OWASP) je svetovna neprofitna organizacija, ki se osredotoča na izboljšanje varnosti programske opreme. Projekt ima več orodij za preizkušanje različnih programskih okolij in protokolov. Vodilna orodja projekta vključujejo

  1. Zed Attack Proxy (ZAP - integrirano orodje za testiranje penetracije)
  2. Preverjanje odvisnosti OWASP (pregleda odvisnosti od projekta in preveri ranljivosti, ki jih poznate)
  3. Projekt okolja spletnega testiranja OWASP (zbirka varnostnih orodij in dokumentacije)

Vodič za testiranje OWASP ponuja "najboljšo prakso" za preizkus penetracije najpogostejše spletne aplikacije

Povezava Owasp

9) WireShark

Wireshark je orodje za analizo omrežij, ki je bilo prej znano kot Ethereal. Pakete zajema v realnem času in jih prikaže v berljivi obliki. V bistvu gre za analizator omrežnih paketov, ki vsebuje podrobne podrobnosti o vaših omrežnih protokolih, dešifriranju, informacijah o paketih itd. Je odprtokoden in se lahko uporablja v Linuxu, Windows, OS X, Solarisu, NetBSD, FreeBSD in mnogih drugih. drugi sistemi. Informacije, ki jih dobite s tem orodjem, si lahko ogledate prek grafičnega uporabniškega vmesnika ali pripomočka TShark v načinu TTY.

Funkcije WireShark vključujejo

  • Zajemanje v živo in analiza brez povezave
  • Bogata VoIP analiza
  • Datoteke za zajemanje, stisnjene z gzip, lahko sproti stisnemo
  • Izhod lahko izvozite v XML, PostScript, CSV ali navadno besedilo
  • Multi-platforma: Deluje v sistemih Windows, Linux, FreeBSD, NetBSD in mnogih drugih
  • Podatke v živo lahko berete z interneta, PPP / HDLC, bankomata, modro-zoba, USB-ja, žetonskega obroča itd.
  • Podpora za dešifriranje številnih protokolov, ki vključujejo IPsec, ISAKMP, SSL / TLS, WEP in WPA / WPA2
  • Za hitro intuitivno analizo lahko za paket uporabite pravila barvanja
  • Branje / pisanje številnih različnih formatov datotek za zajem

Prenos Wireshark

10) w3af

w3af je ogrodje za napade in revizije spletnih aplikacij. Ima tri vrste vtičnikov; odkrivanje, revizija in napad, ki med seboj komunicirajo glede morebitnih ranljivosti na spletnem mestu, na primer vtičnik za odkrivanje v w3af išče različne URL-je za preizkus ranljivosti in jih posreduje vtičniku za revizijo, ki nato te URL-je uporablja za iskanje ranljivosti.

Prav tako ga je mogoče konfigurirati za zagon kot strežnik MITM. Prestreženo zahtevo lahko pošljete generatorju zahtev, nato pa lahko s pomočjo spremenljivih parametrov opravite ročno testiranje spletnih aplikacij. Ima tudi funkcije za izkoriščanje ranljivosti, ki jih najde.

Značilnosti W3af

  • Podpora proxy
  • Predpomnilnik odzivov HTTP
  • DNS predpomnilnik
  • Nalaganje datotek z uporabo več delov
  • Ravnanje s piškoti
  • HTTP osnovno preverjanje pristnosti
  • Lažniranje uporabniškega agenta
  • Glavam po meri dodajte zahteve

povezava za prenos w3af

11) Metaspoilt

To je najbolj priljubljen in napreden okvir, ki ga lahko uporabimo za pentest. Gre za odprtokodno orodje, ki temelji na konceptu "izkoriščanja", kar pomeni, da posredujete kodo, ki krši varnostne ukrepe, in vnesete določen sistem. Če ga vnesete, zažene "koristni tovor", kodo, ki izvaja operacije na ciljnem računalniku in tako ustvari popoln okvir za testiranje penetracije. To je odličen testni test orodja, ali je IDS uspešno preprečil napade, ki jih obidemo

Metaspoilt se lahko uporablja v omrežjih, aplikacijah, strežnikih itd. Ima ukazno vrstico in vmesnik, ki ga je mogoče klikniti, deluje v Apple Mac OS X, deluje v Linuxu in Microsoft Windows.

Značilnosti Metaspoilt-a

  • Osnovni vmesnik ukazne vrstice
  • Uvoz tretjih oseb
  • Ročno izsiljevanje
  • Ročno izsiljevanje
  • testiranje penetracije na spletni strani

Metaspoilt povezava za prenos

12) Kali

Kali deluje samo na Linux Machines. Omogoča vam izdelavo razporeda za varnostno kopiranje in obnovitev, ki ustreza vašim potrebam. Spodbuja hiter in enostaven način iskanja in posodabljanja doslej največje zbirke podatkov o zbirki testiranja varnostnega prodora. To je najboljše orodje, ki je na voljo za vohanje paketov in vbrizgavanje. Pri uporabi tega orodja je lahko koristno znanje o protokolu TCP / IP in mreženju.

Lastnosti

  • Dodatek 64-bitne podpore omogoča brutalno razbijanje gesel
  • Back Track ima vnaprej naložena orodja za njuhanje LAN in WLAN, skeniranje ranljivosti, razbijanje gesel in digitalno forenziko
  • Backtrack se integrira z nekaterimi najboljšimi orodji, kot sta Metaspoilt in Wireshark
  • Poleg omrežnega orodja vključuje tudi pidgin, xmms, Mozilla, k3b itd.
  • Podpora za sledenje KDE in Gnome.

Povezava za prenos Kali

13) Samurajski okvir:

Samurai Web Testing Framework je programska oprema za testiranje pisala. Podprta je v VirtualBox in VMWare, ki sta bila predhodno konfigurirana za delovanje kot spletno okolje za testiranje peres.

Lastnosti:

  • Je odprtokodno, brezplačno orodje
  • Vsebuje najboljše odprtokodne in brezplačna orodja, ki se osredotočajo na testiranje in napad na spletno mesto
  • Vključuje tudi vnaprej konfiguriran wiki za nastavitev osrednje shrambe informacij med preizkusom pisala

Povezava za prenos: https://sourceforge.net/projects/samurai/files/

14) Letalo:

Aircrack je priročno brezžično orodje za testiranje. Razbije ranljive brezžične povezave. Poganjajo ga šifrirni ključi WEP WPA in WPA 2.

Lastnosti:

  • Podprtih je več kartic / gonilnikov
  • Podpira vse vrste OS in platform
  • Nov napad WEP: PTW
  • Podpora za napad na slovar WEP
  • Podpora za napad razdrobljenosti
  • Izboljšana hitrost sledenja

Povezava za prenos: https://www.aircrack-ng.org/downloads.html

15) ZAP:

ZAP je eno najbolj priljubljenih odprtokodnih orodij za testiranje varnosti. Vzdržuje ga na stotine mednarodnih prostovoljcev. Uporabnikom lahko pomaga pri iskanju varnostnih ranljivosti v spletnih aplikacijah med fazo razvoja in testiranja.

Lastnosti:

  • Pomaga pri prepoznavanju varnostnih lukenj v spletni aplikaciji s simulacijo dejanskega napada
  • Pasivno skeniranje analizira odzive strežnika, da ugotovi določene težave
  • Poskuša s silo dostopati do datotek in imenikov.
  • Funkcija pajek pomaga pri oblikovanju hierarhične strukture spletnega mesta
  • Navedba neveljavnih ali nepričakovanih podatkov za njihovo zrušitev ali nepričakovane rezultate
  • Koristno orodje za iskanje odprtih vrat na ciljnem spletnem mestu
  • Ponuja interaktivno lupino Java, s katero lahko izvajamo skripte BeanShell
  • Popolnoma je internacionaliziran in podpira 11 jezikov

Povezava za prenos: https://github.com/zaproxy/zaproxy/wiki

16) Sqlmap:

Sqlmap je odprtokodno orodje za testiranje penetracije. Avtomatizira celoten postopek odkrivanja in izkoriščanja pomanjkljivosti vbrizgavanja SQL. Na voljo je s številnimi motorji za odkrivanje in funkcijami za idealen test penetracije.

Lastnosti:

  • Popolna podpora za šest tehnik vbrizgavanja SQL
  • Omogoča neposredno povezavo z bazo podatkov brez prenosa prek vbrizga SQL
  • Podpora za naštevanje uporabnikov, zgoščenih gesel, privilegijev, vlog, baz podatkov, tabel in stolpcev
  • Samodejno prepoznavanje gesla v razpršenih oblikah in podpora za njihovo razbijanje
  • Podpora za izpis tabel baze podatkov v celoti ali določenih stolpcev
  • Uporabniki lahko izberejo tudi obseg znakov iz vnosa vsakega stolpca
  • Omogoča vzpostavitev povezave TCP med prizadetim sistemom in strežnikom baz podatkov
  • Podpora za iskanje določenih imen baz podatkov, tabel ali določenih stolpcev v vseh bazah podatkov in tabelah
  • Omogoča izvajanje poljubnih ukazov in pridobivanje njihovih standardnih izhodnih podatkov na strežniku baze podatkov

Povezava za prenos: https://github.com/sqlmapproject/sqlmap

17) Sqlninja:

Sqlninja je orodje za testiranje penetracije. Namenjen je izkoriščanju ranljivosti SQL Injection v spletni aplikaciji. Kot zaledni sistem uporablja Microsoft SQL Server. Omogoča tudi oddaljen dostop do ranljivega strežnika DB, tudi v zelo sovražnem okolju.

Lastnosti:

  • Prstni odtis oddaljenega SQL
  • Izvleček podatkov, časovno zasnovan ali z uporabo DNS-ja
  • Omogoča integracijo z Metasploit3 za pridobitev grafičnega dostopa do oddaljenega strežnika DB
  • Prenos izvršljive datoteke z uporabo samo običajnih zahtev HTTP prek VBScript ali debug.exe
  • Neposredna in povratna vezavna lupina, tako za TCP kot za UDP
  • Ustvarjanje cmd lupine xp po meri, če prvotna ni na voljo na w2k3 z uporabo ugrabitve žetona

Povezava za prenos: http://sqlninja.sourceforge.net/download.html

18) BeEF:

Okvir za uporabo brskalnika. Je orodje za pentestiranje, ki se osredotoča na spletni brskalnik. GitHub uporablja za sledenje težavam in gostovanje svojega git-repozitorija.

Lastnosti:

  • Omogoča preverjanje dejanske varnostne drže z uporabo vektorjev napada na strani odjemalca
  • BeEF omogoča povezavo z enim ali več spletnimi brskalniki. Nato se lahko uporablja za zagon usmerjenih ukaznih modulov in nadaljnje napade na sistem.

Povezava za prenos: http://beefproject.com

19) Dradis:

Dradis je odprtokodni okvir za testiranje penetracije. Omogoča ohranjanje informacij, ki jih je mogoče deliti med udeleženci peresa. Zbrani podatki uporabnikom pomagajo razumeti, kaj je končano in kaj je treba izpolniti.

Lastnosti:

  • Enostaven postopek za ustvarjanje poročil
  • Podpora za priloge
  • Brezhibno sodelovanje
  • Integracija z obstoječimi sistemi in orodji z uporabo strežniških vtičnikov
  • Neodvisno od platforme

Povezava za prenos: https://dradisframework.com/ce

20) Hitri 7:

Nexpose Rapid 7 je uporabna programska oprema za upravljanje ranljivosti. Spremlja izpostavljenost v realnem času in se prilagaja novim grožnjam s svežimi podatki, ki uporabnikom pomagajo ukrepati v trenutku udarca.

Lastnosti:

  • Pridobite si pogled v realnem času na tveganje
  • Prinaša inovativne in napredne rešitve, ki uporabniku pomagajo, da opravi svoja dela
  • Vedeti, kje se osredotočiti
  • V svoj varnostni program vključite več

Povezava za prenos: https://www.rapid7.com/products/nexpose/download/

21) Hping:

Hping je orodje za testiranje pisala za analizator paketov TCP / IP. Ta vmesnik je navdihnjen za ukaz ping (8) UNIX. Podpira protokole TCP, ICMP, UDP in RAW-IP.

Lastnosti:

  • Omogoča preizkušanje požarnega zidu
  • Napredno skeniranje vrat
  • Testiranje omrežja, uporaba različnih protokolov, TOS, razdrobljenost
  • Odkrivanje MTU ročne poti
  • Napredna sledilna pot z vsemi podprtimi protokoli
  • Odstranjevanje prstnih odtisov in ugibanje v uptimeu
  • Revizija skladov TCP / IP

Povezava za prenos: https://github.com/antirez/hping

22) SuperScan:

Superscan je brezplačno orodje za testiranje penetracije, zaprtokodno, samo za Windows. Vključuje tudi omrežna orodja, kot so ping, traceroute, whois in HTTP HEAD.

Značilnost:

  • Vrhunska hitrost skeniranja
  • Podpora za neomejen obseg IP
  • Izboljšano zaznavanje gostitelja z uporabo več metod ICMP
  • Zagotovite podporo za TCP SYN skeniranje
  • Preprosta generacija poročil HTML
  • Pregledovanje izvornih vrat
  • Obsežen oprijem pasic
  • Velika vgrajena baza podatkov z opisi seznamov vrat
  • Randomizacija vrstnega reda skeniranja IP in vrat
  • Razširjena zmožnost štetja gostiteljev Windows

Povezava za prenos: https://superscan.en.softonic.com/

23) ISS skener:

IBM Internet Scanner je orodje za preizkušanje pisala, ki ponuja temelje za učinkovito omrežno varnost za vsako podjetje.

Lastnosti:

  • Internet Scanner zmanjša poslovno tveganje tako, da najde šibke točke v omrežju
  • Omogoča avtomatizacijo pregledov in odkrivanje ranljivosti
  • Internet Scanner zmanjša tveganje tako, da odkrije varnostne luknje ali ranljivosti v omrežju
  • Popolno upravljanje ranljivosti
  • Internet Scanner lahko prepozna več kot 1300 vrst omrežnih naprav

Povezava za prenos : https://www.ibm.com/products/trials

24) Scapy:

Scapy je zmogljivo in interaktivno orodje za testiranje pisala. Zmore številne klasične naloge, kot so skeniranje, tiranje in napadi na omrežje.

Lastnosti:

  • Opravlja nekatere posebne naloge, kot je pošiljanje neveljavnih okvirjev, vbrizgavanje 802.11 okvirjev. Uporablja različne tehnike kombiniranja, kar je težko narediti z drugimi orodji
  • Uporabniku omogoča, da sestavi natančno tiste pakete, ki jih želi
  • Zmanjša število vrstic, napisanih za izvedbo določene kode

Povezava za prenos: https://scapy.net/

25) IronWASP:

IronWASP je odprtokodna programska oprema za testiranje ranljivosti spletnih aplikacij. Zasnovan je tako, da ga je mogoče prilagoditi, tako da lahko uporabniki z njim ustvarijo svoje varnostne skenerje po meri.

Lastnosti:

  • Grafični uporabniški vmesnik in zelo enostaven za uporabo
  • Ima zmogljiv in učinkovit mehanizem za skeniranje
  • Podpora za snemanje zaporedja prijave
  • Poročanje v oblikah HTML in RTF
  • Preveri več kot 25 vrst spletnih ranljivosti
  • Podpora za zaznavanje lažnih pozitivnih in negativnih strani
  • Podpira Python in Ruby
  • Razširljivo z vtičniki ali moduli v Python, Ruby, C # ali VB.NET

Povezava za prenos: http://ironwasp.org/download.html

26) Ettercap:

Ettercap je celovito orodje za testiranje pisala. Podpira aktivno in pasivno seciranje. Vključuje tudi številne funkcije za analizo omrežja in gostitelja.

Lastnosti:

  • Podpira aktivno in pasivno seciranje številnih protokolov
  • Značilnost zastrupitve z ARP za vohanje po preklopljenem LAN-u med dvema gostiteljema
  • Znake lahko vbrizgate v strežnik ali v odjemalca, hkrati pa ohranite povezavo v živo
  • Ettercap je sposoben vohati SSH povezavo v polnem dupleksu
  • Omogoča vohanje zavarovanih podatkov HTTP SSL, tudi če je povezava vzpostavljena s pomočjo strežnika proxy
  • Omogoča ustvarjanje vtičnikov po meri z uporabo Ettercapovega API-ja

Povezava za prenos: https://www.ettercap-project.org/downloads.html

27) Varnostna čebula:

Security Onion je orodje za testiranje penetracije. Uporablja se za odkrivanje vdorov in nadzor omrežne varnosti. Ima enostaven čarovnik za namestitev, ki uporabnikom omogoča, da ustvarijo vojsko porazdeljenih senzorjev za svoje podjetje.

Lastnosti:

  • Zasnovan je na porazdeljenem modelu odjemalec-strežnik
  • Nadzor omrežne varnosti omogoča spremljanje dogodkov, povezanih z varnostjo
  • Ponuja popolno zajemanje paketov
  • Omrežni in gostiteljski sistemi za odkrivanje vdorov
  • Vgrajen ima mehanizem za čiščenje starih podatkov, preden se pomnilniška naprava napolni do svoje zmogljivosti

Povezava za prenos: https://securityonion.net/

28) Osebni inšpektor programske opreme:

Personal Software Inspector je odprtokodna rešitev računalniške varnosti. To orodje lahko prepozna ranljivosti v aplikacijah v osebnem računalniku ali strežniku.

Lastnosti:

  • Na voljo je v osmih različnih jezikih
  • Avtomatizira posodobitve za nevarne programe
  • Zajema tisoče programov in samodejno zazna negotove programe
  • To orodje za preizkušanje pisala samodejno in redno pregleduje računalnik, da bi ugotovilo ranljive programe
  • Zazna in obvesti programe, ki jih ni mogoče samodejno posodobiti

Povezava za prenos: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager

29) HconSTF:

HconSTF je odprtokodno orodje za testiranje penetracije, ki temelji na različnih tehnologijah brskalnikov. Vsakemu varnostnemu strokovnjaku pomaga, da pomaga pri testiranju penetracije. Vsebuje spletna orodja, ki so zmogljiva za izvajanje XSS, vbrizgavanje SQL, CSRF, Trace XSS, RFI, LFI itd.

Lastnosti:

  • Kategoriziran in obsežen nabor orodij
  • Vsaka možnost je konfigurirana za testiranje penetracije
  • Posebej konfiguriran in izboljšan za pridobivanje trdne anonimnosti
  • Deluje za ocenjevanje testiranja spletnih aplikacij
  • Enostaven za uporabo in skupni operacijski sistem

Povezava za prenos: http://www.hcon.in/

30) IBM Security AppScan:

IBM Security AppScan pomaga izboljšati varnost spletnih aplikacij in varnost mobilnih aplikacij. Izboljšuje varnost aplikacij in krepi skladnost s predpisi. Uporabnikom pomaga prepoznati varnostne ranljivosti in ustvariti poročila.

Lastnosti:

  • Omogočite razvoj in preverjanje kakovosti za izvajanje preskusov med postopkom SDLC
  • Nadzirajte, katere programe lahko preizkuša vsak uporabnik
  • Preprosto distribuirajte poročila
  • Povečajte prepoznavnost in bolje razumejte tveganja podjetja
  • Osredotočite se na iskanje in odpravljanje težav
  • Nadzirajte dostop do informacij

Povezava za prenos: http://www-03.ibm.com/software/products/en/appscan

31) Arachni:

Arachni je odprtokodno orodje za preizkuševalce penetracije in skrbnike na osnovi Ruby. Uporablja se za ocenjevanje varnosti sodobnih spletnih aplikacij.

Lastnosti:

  • Je vsestransko orodje, zato zajema veliko število primerov uporabe. To sega od preprostega pripomočka za optični bralnik ukazne vrstice do globalne visoko zmogljive mreže optičnih bralnikov
  • Možnost za več postavitev
  • Ponuja preverljivo in pregledljivo osnovo kode, ki zagotavlja najvišjo raven zaščite
  • Z lahkoto se integrira z okoljem brskalnika
  • Ponuja zelo podrobna in dobro strukturirana poročila

Povezava za prenos: https://sourceforge.net/projects/safe3wvs/files

32) Websecurify:

Websecurify je močno okolje za preskušanje varnosti. Je uporabniku prijazen vmesnik, ki je preprost in enostaven za uporabo. Ponuja kombinacijo tehnologij samodejnega in ročnega testiranja ranljivosti.

Lastnosti:

  • Dobra tehnologija testiranja in skeniranja
  • Močan preizkusni mehanizem za zaznavanje URL-jev
  • Razširljiv je s številnimi razpoložljivimi dodatki
  • Na voljo je za vse glavne namizne in mobilne platforme

Povezava za prenos: https://www.websecurify.com/

33) Vega:

Vega je odprtokodna spletna varnostna skenerja in platforma za testiranje pisala za testiranje varnosti spletnih aplikacij.

Lastnosti:

  • Avtomatizirano, ročno in hibridno preskušanje varnosti
  • Uporabnikom pomaga najti ranljivosti. To je lahko skriptiranje na več mestih, shranjevanje skript na več mestih, slepo vbrizgavanje SQL, vbrizgavanje lupine itd.
  • S pomočjo uporabniških poverilnic se lahko samodejno prijavi na spletna mesta
  • Učinkovito deluje v Linuxu, OS X in Windows
  • Moduli za zaznavanje Vega so napisani v JavaScript

Povezava za prenos: https://subgraph.com/vega/download/index.en.html

34) Wapiti:

Wapiti je drugo znano orodje za testiranje penetracije. Omogoča revizijo varnosti spletnih aplikacij. Podpira metode GET in POST HTTP za preverjanje ranljivosti.

Lastnosti:

  • Ustvari poročila o ranljivosti v različnih oblikah
  • Lahko začasno ustavi in ​​nadaljuje skeniranje ali napad
  • Hiter in enostaven način za aktiviranje in deaktiviranje napadnih modulov
  • Podpira proxyje HTTP in HTTPS
  • Omogoča omejevanje obsega skeniranja
  • Samodejno odstranjevanje parametra v URL-jih
  • Uvoz piškotkov
  • Lahko aktivira ali deaktivira preverjanje potrdil SSL
  • Izvlecite URL-je iz datotek Flash SWF

Povezava za prenos: https://sourceforge.net/projects/wapiti/files/

35) Kismet:

Kismet je brezžični detektor omrežja in sistem za odkrivanje vdorov. Deluje z omrežji Wi-Fi, vendar ga je mogoče razširiti s pomočjo vtičnikov, saj omogoča obdelavo drugih vrst omrežij.

Lastnosti:

  • Omogoča standardno beleženje PCAP
  • Odjemalska / strežniška modularna arhitektura
  • Vtična arhitektura za razširitev osnovnih funkcij
  • Podpora za več virov zajema
  • Distribuirano vohanje na daljavo z lahkim daljinskim zajemom
  • Izhod XML za integracijo z drugimi orodji

Povezava za prenos: https://www.kismetwireless.net/downloads/

36) Kali Linux:

Kali Linux je odprtokodno orodje za testiranje pisala, ki ga vzdržuje in financira Offensive Security.

Lastnosti:

  • Popolna prilagoditev ISO-jev Kali z gradnjo v živo za ustvarjanje prilagojenih slik Kali Linux
  • Vsebuje kopico zbirk paketov Meta, ki združujejo različne sklope orodij
  • ISO Doom in drugi recepti Kali
  • Šifriranje diska na Raspberry Pi 2
  • USB v živo z več trgovinami za obstojnost

Povezava za prenos: https://www.kali.org/

37) Varnost papige:

Parrot Security je orodje za testiranje pisala. Ponuja popolnoma prenosni laboratorij za strokovnjake na področju varnosti in digitalne forenzike. Uporabnikom pomaga tudi pri zaščiti zasebnosti z anonimnostjo in kripto orodji.

Lastnosti:

  • Vključuje celoten nabor varnostno usmerjenih orodij za izvajanje preizkusov penetracije, varnostnih pregledov in še več.
  • Na voljo je z vnaprej nameščenimi in uporabnimi ter posodobljenimi knjižnicami
  • Ponuja zmogljive svetovne zrcalne strežnike
  • Omogoča razvoj, ki ga vodi skupnost
  • Ponuja ločen OS Cloud, posebej zasnovan za strežnike

Povezava za prenos: https://www.parrotsec.org/download/

38) OpenSSL:

Ta komplet orodij je licenciran pod licenco v slogu Apache. Je brezplačen in odprtokoden projekt, ki ponuja popoln komplet orodij za protokole TLS in SSL.

Lastnosti:

  • Zapisano je v jeziku C, vendar so ovojnice na voljo za številne računalniške jezike
  • Knjižnica vključuje orodja za ustvarjanje zasebnih ključev RSA in zahtev za podpisovanje potrdil
  • Preverite datoteko CSR
  • Popolnoma odstranite geslo iz ključa
  • Ustvarite nov zasebni ključ in omogočite zahtevo za podpis potrdila

Povezava za prenos: https://www.openssl.org/source/

39) Smrčanje:

Snort je odprtokodni sistem za odkrivanje vdorov in testiranje pisala. Ponuja prednosti inšpekcijskih metod, ki temeljijo na protokolih podpisa in anomalijah. To orodje pomaga uporabnikom, da se maksimalno zaščitijo pred napadi zlonamerne programske opreme.

Lastnosti:

  • Snort je zaslovel, ker je z veliko hitrostjo lahko natančno zaznal grožnje
  • Hitro zaščitite svoj delovni prostor pred novimi napadi
  • Snort lahko uporabite za ustvarjanje prilagojenih edinstvenih omrežnih varnostnih rešitev
  • Preizkusite potrdilo SSL za določen URL
  • Preveri lahko, ali je na URL-ju sprejeta določena šifra
  • Preverite pooblastilo podpisnika potrdil
  • Sposobnost predložitve lažno pozitivnih / negativnih strani

Povezava za prenos: https://www.snort.org/downloads

40) Nabiralnik:

BackBox je projekt odprtokodne skupnosti, katerega cilj je izboljšati kulturo varnosti v IT okolju. Na voljo je v dveh različnih različicah, kot sta Backbox Linux in Backbox Cloud. Vključuje nekaj najpogosteje znanih / uporabljenih orodij za varnost in analizo.

Lastnosti:

  • To je koristno orodje za zmanjšanje potreb podjetja po virih in nižje stroške upravljanja več omrežnih naprav
  • Je popolnoma avtomatizirano orodje za testiranje pisala. Torej za spremembe niso potrebni nobeni agenti in nobena omrežna konfiguracija. Za izvedbo načrtovane avtomatizirane konfiguracije
  • Varni dostop do naprav
  • Organizacije lahko prihranijo čas, saj ni treba slediti posameznim omrežnim napravam
  • Podpira poverilnico in šifriranje konfiguracijske datoteke
  • Samodejno varnostno kopiranje in samodejno oddaljeno shranjevanje
  • Ponuja nadzor dostopa na podlagi IP-ja
  • Ukaza ni treba pisati, saj prihaja s predhodno konfiguriranimi ukazi

Povezava za prenos: https://www.backbox.org/download/

41) THC hidra:

Hydra je paralelizirano orodje za razbijanje prijav in orodje za testiranje pisala. Je zelo hiter in prilagodljiv, nove module pa je enostavno dodati. To orodje raziskovalcem in varnostnim svetovalcem omogoča nepooblaščen dostop.

Lastnosti:

  • Kompletno orodje za popoln časovni pomnilnik, skupaj z ustvarjanjem, razvrščanjem, pretvorbo in iskanjem mavričnih miz
  • Podpira mavrično tabelo katerega koli algoritma razpršitve
  • Podprite mavrično mizo katere koli nabora
  • Podpira mavrično mizo v kompaktni ali surovi datotečni obliki
  • Izračun na podpori večjedrnega procesorja
  • Deluje v operacijskih sistemih Windows in Linux
  • Enotna oblika datoteke mavrične tabele v vseh podprtih OS
  • Podpira uporabniški vmesnik GUI in ukazne vrstice

Povezava za prenos: https://github.com/vanhauser-thc/thc-hydra

42) Opozorilo nadzornika ugleda:

Open Threat Exchange Reputation Monitor je brezplačna storitev. Strokovnjakom omogoča sledenje ugledu njihove organizacije. S pomočjo tega orodja lahko podjetja in organizacije spremljajo javni IP in ugled domene svojega premoženja.

Lastnosti:

  • Nadzira oblak, hibridni oblak in lokalno infrastrukturo
  • Zagotavlja neprekinjeno obveščanje o nevarnostih, da sproti obvešča o nevarnostih, ko se pojavijo
  • Ponuja najobsežnejše direktive o odkrivanju groženj in odzivih na incident
  • Uporabi se hitro, enostavno in z manj truda
  • Zmanjša TCO v primerjavi s tradicionalnimi varnostnimi rešitvami

Povezava za prenos: https://cybersecurity.att.com/products/usm-anywhere/free-trial

43) Janez Ripper:

John the Ripper, znan kot JTR, je zelo priljubljeno orodje za razbijanje gesel. Uporablja se predvsem za izvajanje slovarskih napadov. Pomaga pri prepoznavanju šibkih ranljivosti gesel v omrežju. Prav tako podpira uporabnike pred napadi surove sile in mavrične razpoke.

Lastnosti:

  • John the Ripper je brezplačna in odprtokodna programska oprema
  • Proaktivni modul za preverjanje moči gesla
  • Omogoča spletno brskanje po dokumentaciji
  • Podpora za številne dodatne vrste razprševanja in šifriranja
  • Omogoča brskanje po dokumentaciji v spletu, vključno s povzetkom sprememb med dvema različicama

Povezava za prenos: https://www.openwall.com/john/

44) Optični bralnik Safe3:

Safe3WVS je eno najmočnejših orodij za testiranje spletnih ranljivosti. Na voljo je s tehnologijo za pajkanje spletnih pajkov, zlasti s spletnimi portali. To je najhitrejše orodje za iskanje težav, kot so vbrizgavanje SQL, ranljivost pri nalaganju in še več.

Lastnosti:

  • Popolna podpora za osnovna preverjanja pristnosti, Digest in HTTP.
  • Inteligentni spletni pajek samodejno odstrani ponavljajoče se spletne strani
  • Samodejni analizator JavaScript nudi podporo za pridobivanje URL-jev iz Ajaxa, Web 2.0 in drugih aplikacij
  • Podpora za skeniranje vbrizgavanja SQL, nalaganje ranljivosti, skrbniške poti in ranljivosti seznama imenikov

Povezava za prenos: https://sourceforge.net/projects/safe3wvs/files/latest/download

45) CloudFlare:

CloudFlare je CDN z robustnimi varnostnimi funkcijami. Spletne grožnje segajo od neželene pošte komentarjev in pretiranega plazenja botov do zlonamernih napadov, kot je vbrizgavanje SQL. Zagotavlja zaščito pred neželeno pošto komentarjev, pretiranim plazenjem botov in zlonamernimi napadi.

Značilnost:

  • Gre za omrežje DDoS za zaščito podjetja
  • Požarni zid spletnih aplikacij pomaga pri skupni inteligenci celotnega omrežja
  • Registracija domene z uporabo CloudFlare je najbolj varen način za zaščito pred ugrabitvijo domen
  • Funkcija omejevanja hitrosti ščiti kritične vire uporabnika. Obiskovalcem blokira sumljivo število zahtev.
  • CloudFlare Orbit rešuje varnostna vprašanja za naprave IOT

Povezava za prenos: https://www.cloudflare.com/

46) Zenmap

Zenmap je uradna programska oprema Nmap Security Scanner. Je brezplačna in odprtokodna aplikacija z več platformami. Za začetnike je enostaven, ponuja pa tudi napredne funkcije za izkušene uporabnike.

Lastnosti:

  • Interaktivni in grafični ogled rezultatov
  • Na priročnem zaslonu povzema podrobnosti o posameznem gostitelju ali celotnem skeniranju.
  • Lahko celo nariše topološki zemljevid odkritih omrežij.
  • Prikaže lahko razlike med dvema skeniranjima.
  • Skrbnikom omogoča sledenje novim gostiteljem ali storitvam, ki se pojavljajo v njihovih omrežjih. Ali pa sledite obstoječim storitvam, ki se spuščajo

Povezava za prenos: https://nmap.org/download.html

Druga orodja, ki bi lahko bila koristna za testiranje penetracije, so

  • Acunetix: Gre za spletni pregledovalnik ranljivosti, namenjen spletnim aplikacijam. To je drago orodje v primerjavi z drugimi in ponuja zmogljivosti, kot so testiranje skriptov na spletnih mestih, poročila o skladnosti s PCI, vbrizgavanje SQL itd
  • Retina: Je bolj kot orodje za upravljanje ranljivosti kot orodje za predhodno testiranje
  • Nessus: Osredotoča se na preverjanje skladnosti, iskanje občutljivih podatkov, skeniranje IP-jev, skeniranje spletnih strani itd.
  • Netsparker: To orodje je opremljeno z robustnim pregledovalnikom spletnih aplikacij, ki prepozna ranljivosti in predlaga rešitve. Na voljo so brezplačni omejeni preskusi, vendar je večina časa komercialni izdelek. Pomaga tudi pri izkoriščanju vbrizgavanja SQL in LFI (Local File Induction)
  • CORE Impact: Ta programska oprema se lahko uporablja za prodor mobilnih naprav, identifikacijo in razpokanje gesel, prodor omrežja itd. Je eno dragih orodij pri testiranju programske opreme
  • Burpsuite: Tako kot druga je tudi ta programska oprema komercialni izdelek. Deluje tako, da prestreže proxy, skeniranje spletnih aplikacij, pajkanje vsebine in funkcionalnosti itd. Prednost uporabe Burpsuite je, da jo lahko uporabljate v okolju Windows, Linux in Mac OS X.