安全測試 - 自動化工具



有各種工具可用於執行應用程式的安全測試。一些工具可以執行端到端的安全測試,而另一些工具則專門用於發現系統中特定型別的缺陷。

開源工具

一些開源安全測試工具如下所示:

序號 工具名稱
1

Zed Attack Proxy

提供自動化掃描程式和其他工具來發現安全漏洞。

https://www.zaproxy.org/

2

OWASP WebScarab

使用 Java 開發,用於分析 Http 和 Https 請求。

https://www.owasp.org/index.php

3

OWASP Mantra

支援多語言安全測試框架

https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework

4

Burp Proxy

用於攔截和修改流量的工具,並可使用自定義 SSL 證書。

https://www.portswigger.net/Burp/

5

Firefox Tamper Data

使用 Tamper Data 檢視和修改 HTTP/HTTPS 標頭和 POST 引數

6

Firefox Web 開發者工具

Web 開發人員擴充套件程式向瀏覽器新增各種 Web 開發人員工具。

https://addons.mozilla.org/en-US/firefox

7

Cookie 編輯器

允許使用者新增、刪除、編輯、搜尋、保護和阻止 Cookie

https://chrome.google.com/webstore

特定工具集

以下工具可以幫助我們發現系統中特定型別的漏洞:

序號 連結
1

OWASP SQLiX - SQL 注入

https://www.owasp.org/index.php

2

Sqlninja - SQL 注入

http://sqlninja.sourceforge.net/

3

SQLInjector - SQL 注入

https://sourceforge.net/projects/safe3si/

4

sqlpowerinjector - SQL 注入

http://www.sqlpowerinjector.com/

5

SSL Digger - 測試 SSL

https://www.mcafee.com/us/downloads/free-tools

6

THC-Hydra - 密碼暴力破解

https://www.kali.org/tools/hydra/

7

Brutus - 密碼暴力破解

https://www.hackercoolmagazine.com/brutus-password-cracker-complete-guide/

8

Ncat - 密碼暴力破解

https://nmap.org/ncat/

9

OllyDbg - 測試緩衝區溢位

http://www.ollydbg.de/

10

Metasploit - 測試緩衝區溢位

https://www.metasploit.com/

商業黑盒測試工具

以下是一些商業黑盒測試工具,它們可以幫助我們發現我們開發的應用程式中的安全問題。

免費原始碼分析器

商業原始碼分析器

這些分析器檢查、檢測和報告原始碼中的弱點,這些弱點容易受到漏洞的影響:

廣告