入侵工具
黑客工具是计算机程序和脚本,可帮助您查找和利用计算机系统,Web应用程序,服务器和网络中的弱点。
在此列表中,我们重点介绍了Web应用程序,服务器和网络的道德黑客攻击的前20个工具
Netsparker
Netsparker是一款易于使用的Web应用程序安全扫描程序,可以自动查找Web应用程序和Web服务中的SQL注入,XSS和其他漏洞。它可作为内部部署和SAAS解决方案提供。
- 使用独特的基于证据的扫描技术进行精确的漏洞检测。
- 需要最少的配置。扫描程序自动检测URL重写规则,自定义404错误页面。
- REST API,可与SDLC,错误跟踪系统等无缝集成。
- 可扩展, 能在24小时内扫描1,000个Web应用程序。
Acunetix
Acunetix是完全自动化的道德黑客攻击解决方案,模仿黑客一步领先于恶意入侵者。 Web应用程序安全扫描程序可准确扫描HTML5,JavaScript和单页应用程序。它可以审核复杂的,经过身份验证的Web应用程序,并针对各种Web和网络漏洞发布合规性和管理报告。
特征:
- 扫描SQL Injection,XSS和4500+其他漏洞
- 检测超过1200个WordPress核心,主题和插件漏洞
- 快速和可扩展 - 无中断地抓取数十万个页面
- 与流行的WAF和问题跟踪器集成,以帮助SDLC
- 内部部署和云解决方案。
Probe.ly
Probe.ly持续扫描Web应用程序中的漏洞。它允许客户管理漏洞的生命周期,并为他们提供有关如何解决漏洞的一些指导。 Probe.ly是为开发人员而构建的安全工具。
特征:
- 扫描SQL注入,XSS,OWASP TOP10和超过5000个漏洞,包括1000个WordPress和Joomla漏洞
- 完整的API - Probely的所有功能也可通过API获得
- 与您的CI工具,Slack和Jira集成
- 无限的团队成员
- PDF报告以展示您的安全性
- 多种扫描配置文件(从安全扫描到激进扫描)
- 多个环境目标 - 生产(非侵入式扫描)和测试(侵入式和完整扫描)
Burp Suite
Burp Suite Web应用程序安全测试平台。它的各种工具可以无缝地协同工作,以支持整个测试过程。它从初始映射到应用程序攻击面的分析。
特征:
它可以检测超过3000个Web应用程序漏洞。
- 扫描开源软件及自定义程序
- 易于使用的登录序列记录器允许自动扫描
- 使用内置漏洞管理查看漏洞数据。
- 轻松提供各种技术和依从性报告
- 以100%的准确度检测严重漏洞
- 自动抓取和扫描
- 手动测试有高级扫描功能
- 高端的扫描逻辑
下载链接:https://portswigger.net/burp/freedownload
Ettercap
Ettercap支持主动和被动分析,包括网络和主机分析功能。
特征:
- 多协议的主动和被动分析
- ARP嗅探
- 可以在保持实时连接的同时将字符注入服务器或客户端
- Ettercap能够以全双工方式嗅探SSH连接
- 可使用代理建立连接,也允许嗅探HTTP SSL安全数据
- 允许使用Ettercap的API创建自定义插件
下载链接:https://ettercap.github.io/ettercap/downloads.html
Aircrack
Aircrack破解脆弱的无线连接,它由WEP WPA和WPA 2加密密钥提供支持。
- 支持更多卡/驱动程序
- 支持所有类型的操作系统和平台
- 新的WEP攻击:PTW
- 支持WEP字典攻击
- 支持碎片攻击
- 提高了跟踪速度
下载链接:https://www.aircrack-ng.org/downloads.html
参考资料
- 渗透测试书籍下载
- 讨论qq群144081101 591302926 567351477
- 本文最新版本地址
- 本文涉及的python测试开发库 谢谢点赞!
- 本文相关海量书籍下载
愤怒的IP扫描仪:
Angry IP Scanner扫描IP地址和端口,开源
- 扫描本地网络以及Internet
- 免费和开源工具
- 随机或任何格式的文件
- 将结果导出为多种格式
- 可与许多数据提取器扩展
- 可提供命令行界面
- 适用于Windows,Mac和Linux
- 无需安装
下载链接:http://angryip.org/download/#windows
GFI LanGuard:
GFI LanGuard扫描网络中的漏洞。
- 了解哪些更改正在影响您的网络和
- 补丁管理:修复攻击前的漏洞
- 集中分析网络
- 尽早发现安全威胁
- 通过集中漏洞扫描降低成本
- 帮助维护安全且合规的网络
下载链接:https://www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard/download
Savvius
通过Omnipeek提供的深入可见性,它可以解决性能问题并降低安全风险。它可以使用Savvius数据包智能更快更好地诊断网络问题。
- 功能强大,易于使用的网络取证软件
- Savvius自动捕获快速调查安全警报所需的网络数据
- 软件和集成设备解决方案
- 数据包智能结合深度分析
- 快速解决网络和安全问题
- 易于使用直观的工作流程
- 专家和响应式技术支持
- 现场部署设备
下载链接:https://www.savvius.com/distributed_network_analysis_suite_trial
QualysGuard:
Qualys guard可帮助企业简化其安全性和合规性解决方案。它还为其数字化转型计划建立了安全性。此工具还可以检查在线云系统的性能漏洞。
特征:
- 没有可购买或管理的硬件
- 用于IT安全所有方面的可扩展的端到端解决方案
- 漏洞数据在负载平衡服务器的n层架构上安全地存储和处理
- 传感器提供连续可见性
- 数据实时分析
- 实时响应威胁
下载链接:https://www.qualys.com/forms/freescan/
WebInspect:
WebInspect 是一种自动化的动态应用程序安全测试,允许执行道德黑客技术。它提供对复杂Web应用程序和服务的全面动态分析。
- 允许测试运行Web应用程序的动态行为以识别安全漏洞
- 通过一目了然地获取相关信息和统计数据,控制扫描
- 集中程序管理
- 先进的技术,例如对新手安全测试人员进行同步爬行专业级测试
- 轻松告知管理层漏洞趋势,合规性管理和风险监督
下载链接:https://saas.hpe.com/en-us/software/webinspect
Hashcat:
Hashcat是一个强大的密码破解道德黑客工具。它可以帮助用户恢复丢失的密码,审核密码安全性,或者只是找出散列中存储的数据。
特征:
- 开源
- 多平台支持
- 允许在同一系统中使用多个设备
- 在同一系统中使用混合设备类型
- 它支持分布式破解网络
- 支持交互式暂停/恢复
- 支持会话和恢复
- 内置基准测试系统
- 集成热监视器
- 支持自动性能调整
下载链接:https://hashcat.net/hashcat/
L0phtCrack:
L0phtCrack 6是有用的密码审计和恢复工具。它识别并评估本地计算机和网络上的密码漏洞。
- 多核和多GPU支持有助于优化硬件
- 易于定制
- 简单密码加载
- 为自动化企业级密码安排复杂的任务
- 通过强制密码重置或锁定帐户来修复弱密码问题
- 它允许多个审核操作系统
下载链接:http://www.l0phtcrack.com/#download-form
RainbowCrack
道德黑客攻击的密码破解工具。
- 时间-内存权衡工具套件,包括彩虹表生成
- 支持任何哈希算法的彩虹表
- 支持任何字符集的彩虹表
- 支持原始文件格式(.rt)和压缩文件格式的彩虹表
- 多核处理器支持
- 具有多个GPU的GPU加速
- 在Windows操作系统和Linux上运行
- 每个支持的OS上的统一彩虹表文件格式
- 命令行用户界面
- 图形用户界面
下载链接:http://project-rainbowcrack.com/index.htm
IKECrack:
IKECrack是开源认证破解工具。旨在暴力破解或字典攻击。此工具还允许执行加密任务。
- 允许执行加密任务的
- 发起客户端将加密选项提议,DH公钥,随机数和未加密数据包中的ID发送到网关/响应者。
- 免费用于个人和商业用途。
下载链接:http://ikecrack.sourceforge.net/
IronWASP:
IronWASP也是一个用于道德黑客攻击的开源软件。它是Web应用程序漏洞测试。可自定义。
- 基于GUI并且非常易于使用
- 强大而有效的扫描引擎
- 支持录制登录顺序
- 以HTML和RTF格式报告
- 检查超过25种类型的Web漏洞
- 误报和否定检测支持
- 支持Python和Ruby
- 使用Python,Ruby,C#或VB.NET中的插件或模块进行扩展
下载链接:http://ironwasp.org/download.html
Medusa
Medusa是最好的在线蛮力,快速,并行密码破解者道德黑客工具之一。此工具也广泛用于道德黑客攻击。
- 快速,大规模并行,模块化,登录强制执行
- 允许远程身份验证的服务
- 基于线程的并行测试和暴力测试
- 灵活的用户输入
- 所有服务模块都作为独立的.mod文件存在。
- 核心应用程序无需进行任何修改即可扩展支持的强制服务列表
下载链接:http://foofus.net/goons/jmk/medusa/medusa.html
NetStumbler
NetStumbler 用于检测Windows平台上的无线网络。
特征:
- 验证网络配置
- 查找WLAN中覆盖率较差的位置
- 检测无线干扰的原因
- 检测未授权(“流氓”)接入点
- 针对长途WLAN链路瞄准定向天线
下载链接:http://www.stumbler.net/
SQLMap
SQLMap自动执行检测和利用SQL注入漏洞的过程。它是开源和跨平台的。它支持以下数据库引擎。
MySQL、Oracle、Postgre SQL、MS SQL Server、MS Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB
它支持以下SQL注入技术;
Boolean-based blind、Time-based blind、Error-based、UNION query 、Stacked queries and out-of-band.
下载链接:http://sqlmap.org/
Cain & Abel
Cain&Abel是Microsoft操作系统密码恢复工具。
- 恢复MS Access密码
- 发现密码字段
- 嗅探网络
- 使用字典攻击,暴力破解和密码分析攻击来破解加密密码。
下载链接:http://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtml
Nessus
- 远程漏洞扫描
- 密码字典攻击
- 拒绝服务攻击。
闭源,跨平台,免费供个人使用。
下载链接:http://www.tenable.com/products/nessus-vulnerability-scanner
参考资料
- 讨论 qq群144081101 567351477
- 本文最新版本地址
- 本文涉及的python测试开发库 谢谢点赞!
- 本文相关海量书籍下载
- 道家技术-手相手诊看相中医等钉钉群21734177 qq群:391441566 184175668 338228106 看手相、面相、舌相、抽签、体质识别。服务费50元每人次起。请联系钉钉或者微信pythontesting
- 接口自动化性能测试线上培训大纲
- Monitoring