安全测试 - 自动化工具
有多种工具可用于执行应用程序的安全测试。很少有工具可以执行端到端安全测试,而有些工具则专门用于发现系统中特定类型的缺陷。
开源工具
一些开源安全测试工具如下 −
| S.No. | 工具名称 |
|---|---|
| 1 | Zed Attack Proxy 提供自动扫描程序和其他用于发现安全缺陷的工具。 |
| 2 | OWASP WebScarab 用 Java 开发,用于分析 Http 和 Https 请求。 |
| 3 | OWASP Mantra 支持多语言安全测试框架 https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
| 4 | Burp Proxy 用于拦截和修改流量的工具,可与自定义 SSL 证书配合使用。 |
| 5 | Firefox Tamper Data 使用 tamperdata 查看和修改 HTTP/HTTPS 标头和发布参数 |
| 6 | Firefox Web 开发者工具 Web 开发者扩展为浏览器添加了各种 Web 开发者工具。 |
| 7 | Cookie 编辑器 允许用户添加、删除、编辑、搜索、保护和阻止 cookie |
特定工具集
以下工具可以帮助我们发现系统中特定类型的漏洞 −
| S.No. | 链接 |
|---|---|
| 1 | OWASP SQLiX − SQL 注入 |
| 2 | Sqlninja − SQL 注入 |
| 3 | SQLInjector − SQL 注入 |
| 4 | sqlpowerinjector − SQL 注入 |
| 5 | SSL Digger −测试 SSL |
| 6 | THC-Hydra −暴力破解密码 |
| 7 | Brutus −暴力破解密码 https://www.hackercoolmagazine.com/brutus-password-cracker-complete-guide/ |
| 8 | Ncat −暴力破解密码 |
| 9 | OllyDbg − 测试缓冲区溢出 |
| 10 | Metasploit −测试缓冲区溢出 |
商业黑盒测试工具
以下是一些商业黑盒测试工具,可帮助我们发现所开发应用程序中的安全问题。
| S.No | Tool |
|---|---|
| 1 | NGSSQuirreL |
| 2 | IBM AppScan |
| 3 | Acunetix Web Vulnerability Scanner |
| 4 | NTOSpider |
| 5 | SOAP UI |
| 6 | Netsparker |
| 7 | HP WebInspect |
免费源代码分析器
| S.No | 工具 |
|---|---|
| 1 | OWASP Orizon |
| 2 | SearchDiggity |
| 3 | FXCOP |
| 4 | Splint |
| 5 | Boon |
| 6 | W3af |
| 7 | FlawFinder |
| 8 | FindBugs |
商业源代码分析器
这些分析器检查、检测并报告源代码中容易出现漏洞的弱点 −
| S.No | 工具 |
|---|---|
| 1 | Parasoft C/C++ 测试 |
| 2 | HP Fortify |
| 3 | Appscan |
| 4 | Veracode |
| 5 | Armorize CodeSecure |
| 6 | GrammaTech |
