1、BurpSuite
参考地址:
https://www.cnblogs.com/qmfsun/p/5458707.html
https://www.jianshu.com/p/50e496737c80
BurpSuite 是一款使用Java编写的,用于Web安全审计与扫描套件。它集成了诸多实用的小工具以完成http请求的转发/修改/扫描等,同时这些小工具之间还可以 互相协作,在BurpSuite这个框架下进行各种强大的,可订制的攻击/扫描方案。安全人员可以借用它进行半自动的网络安全审计,开发人员也可以使用它 的扫描工具进行网站压力测试与攻击测试,以检测Web应用的安全问题。
2、Fidder
· HTTP/HTTPS Web Debugger
· A proxy server
https://www.cnblogs.com/miantest/p/7289694.html
https://www.cnblogs.com/woaixuexi9999/p/9247705.html
3、Winsock Expert
WinSock Expert 是一款由acai制作的抓包工具,WinSock Expert 可用来监视和修改网络发送和接收数据的程序,可以用来帮助您调试网络应用程序,分析网络程序的通信协议(如分析OICQ的发送接收数据),并且在必要的时候能够修改发送的数据!
4、DirBuster
DirBuster的主要目的是寻找隐藏的目录和Web服务器页面。开发商有时会离开接近但未链接的网页;这个工具来发现这些潜在的漏洞。这是一个java应用程序开发OWASP。
它可以运行在Linux、Mac OS X和Windows操作系统。
5、Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它包含有收费和免费两种版本。
https://www.jianshu.com/p/2cf982153005
6、AppScan
https://www.cnblogs.com/mawenqiangios/p/8573525.html
https://www.jianshu.com/p/ff96f7de6d9a
AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
7、Pangolin
https://blog.csdn.net/yefan2222/article/details/7086833
Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。
所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。
Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。
过去有许多Sql注入工具,不过有些功能不完全,支持的数据库不够多,或者是速度比较慢。但是,在Pangolin发布以后,这些问题都得到了解决。Pangolin也许是目前已有的注入工具中最好的之一。
8、CAIN
https://www.jianshu.com/p/facff81a4826
https://blog.csdn.net/qq_35544379/article/details/76839470
CAIN是一个WINDOWS平台上的破解各种密码,嗅探各种数据信息,实现各种中间人攻击的软件。
9、ettercap
https://blog.csdn.net/w892824196/article/details/80466758
EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。
10、总结
扫描、注入、欺骗、伪造、嗅探。
11、应用层端口对应表
1919
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
