安全测试 - 自动化工具

有各种工具可用于执行应用程序的安全测试。一些工具可以执行端到端的安全测试，而另一些工具则专门用于发现系统中特定类型的缺陷。

开源工具

一些开源安全测试工具如下所示：

序号	工具名称
1	Zed Attack Proxy 提供自动化扫描程序和其他工具来发现安全漏洞。 https://www.zaproxy.org/
2	OWASP WebScarab 使用 Java 开发，用于分析 Http 和 Https 请求。 https://www.owasp.org/index.php
3	OWASP Mantra 支持多语言安全测试框架 https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework
4	Burp Proxy 用于拦截和修改流量的工具，并可使用自定义 SSL 证书。 https://www.portswigger.net/Burp/
5	Firefox Tamper Data 使用 Tamper Data 查看和修改 HTTP/HTTPS 标头和 POST 参数
6	Firefox Web 开发者工具 Web 开发人员扩展程序向浏览器添加各种 Web 开发人员工具。 https://addons.mozilla.org/en-US/firefox
7	Cookie 编辑器允许用户添加、删除、编辑、搜索、保护和阻止 Cookie https://chrome.google.com/webstore

特定工具集

以下工具可以帮助我们发现系统中特定类型的漏洞：

序号	链接
1	OWASP SQLiX - SQL 注入 https://www.owasp.org/index.php
2	Sqlninja - SQL 注入 http://sqlninja.sourceforge.net/
3	SQLInjector - SQL 注入 https://sourceforge.net/projects/safe3si/
4	sqlpowerinjector - SQL 注入 http://www.sqlpowerinjector.com/
5	SSL Digger - 测试 SSL https://www.mcafee.com/us/downloads/free-tools
6	THC-Hydra - 密码暴力破解 https://www.kali.org/tools/hydra/
7	Brutus - 密码暴力破解 https://www.hackercoolmagazine.com/brutus-password-cracker-complete-guide/
8	Ncat - 密码暴力破解 https://nmap.org/ncat/
9	OllyDbg - 测试缓冲区溢出 http://www.ollydbg.de/
10	Metasploit - 测试缓冲区溢出 https://www.metasploit.com/

商业黑盒测试工具

以下是一些商业黑盒测试工具，它们可以帮助我们发现我们开发的应用程序中的安全问题。

序号	工具
1	NGSSQuirreL NGSSQuirreL 工具
2	IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/
3	Acunetix Web 漏洞扫描程序 https://www.acunetix.com/
4	NTOSpider https://www.ntobjectives.com/products/ntospider.php
5	SOAP UI https://www.soapui.org/Security/getting-started.html
6	Netsparker https://www.mavitunasecurity.com/netsparker/
7	HP WebInspect http://www.hpenterprisesecurity.com/products

免费源代码分析器

序号	工具
1	OWASP Orizon https://www.owasp.org/index.php
2	SearchDiggity https://www.bishopfox.com/resources/tools
3	FXCOP https://www.owasp.org/index.php/FxCop
4	Splint http://splint.org/
5	Boon https://www.cs.berkeley.edu/~daw/boon/
6	W3af https://docs.w3af.org/en/latest/
7	FlawFinder https://www.dwheeler.com/flawfinder/
8	FindBugs http://findbugs.sourceforge.net/

商业源代码分析器

这些分析器检查、检测和报告源代码中的弱点，这些弱点容易受到漏洞的影响：

序号	工具
1	Parasoft C/C++ 测试 https://www.parasoft.com/cpptest/
2	HP Fortify http://www.hpenterprisesecurity.com/products
3	Appscan http://www-01.ibm.com/software/rational/products
4	Veracode https://www.veracode.com
5	Armorize CodeSecure http://www.armorize.com/codesecure/
6	GrammaTech https://www.grammatech.com/

打印页面

广告