常用渗透性测试工具

最新推荐文章于 2023-12-04 09:48:14 发布
最新推荐文章于 2023-12-04 09:48:14 发布
阅读量847 收藏 1
点赞数
分类专栏: 测试自动化 文章标签: 安全测试

对一个应用项目进行渗透性测试一般要经过三个步骤。
      第一步,用一些侦测工具进行踩点,获得目标的基本信息。
      第二步通过漏洞扫描工具这类自动化测试工具获取目标的漏洞列表,从而缩小测试的范围。
      第三步利用一些灵活的代理,请求伪造和重放工具,根据测试人员的经验和技术去验证或发现应用的漏洞。
     

在此过程中需要利用一些工具,这些工具包括:    

1、Metasploit:开源的,2004年发展起来的一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台。它是一个高级的开源平台,可以用于开发、测试、利用漏洞代码等。它集成了许多漏洞利用程序,这方面可以参考http://metasploit.com:55555/。它使得编写自己的漏洞利用程序更加轻松。详细信息请查看:http://metasploit.com/

2、nessus: 开源的,古老的,一种用来自动检测和发现已知安全问题的强大工具。详细信息:http://nmap.org/

3、Nmap: 开源的,古老的,端口扫描的工具,它能检测主机系统有哪些tcp/udp端口目前正处于打开状态。详细信息:http://nmap.org/

4、webinspect:很著名的,可惜被HP收购了。可以发现Web漏洞,包括SQL注入。通过截获浏览器端的http request和http response,然后通过修改内容参数,编码去伪造请求,按照某种规则重放请求,借此发现web 应用的漏洞。更多信息:http://www.webinspect.net/

5、paros:开源的,对web应用进行安全评估的工具。praos也是通过代理,对客户端和服务器端的请求和响应进行拦截、保存、并可以进行伪造和重放,从而发现Web应用的漏洞。详细信息:http://www.parosproxy.org/

上面包括了渗透测试的常用工具,当然,如果需要还有一些其他的选择,如Immunity CANVAS、Core Impact等商业化的工具,条件就是你有钱。

 

 

转载:http://hi.baidu.com/m_i_i_m/blog/item/49cf8f35fbec7eb1d1a2d366.html

 

漫漫草77
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
针对Web系统进行渗透测试的安全工具
03-16
该工具主要用于白帽安全人员在得到用户授权的前提下,对用户指定的目标系统进行安全渗透测试,支持通信数据包发送、修改、重发等常见Web请求操作。
Web应用程序风险评估工具介绍 Penetration Testing with the Joomla Security Scanner
N1nG
07-07 1474
①Joomla security scanner Joomla security scanner可以检测Joomla整站程序搭建的网站是否存在文件包含、sql注入、命令执行等漏洞。 这将帮助web开发人员和网站管理人员识别可能存在的安全弱点. Joomla Security Scanner的特点 1.确切的版本探测(可以探测出使用的Joomla整站程序的版本). 2.常见的Joomla!
渗透测试】最详细的介绍和流程方法(建议收藏)
2301_77472496的博客
06-08 2727
渗透测试就是模拟攻击者入侵系统,对系统进行一步步地渗透,发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固,提升系统的安全,防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试,就是违法行为!
渗透测试常用方法总结
热门推荐
MzHeader的博客
06-19 1万+
1 渗透流程 信息收集 漏洞验证/漏洞攻击 提权,权限维持 日志清理 其他 1 信息收集 一般先运行端口扫描和漏洞扫描获取可以利用的漏洞。多利用搜索引擎 端口扫描 有授权的情况下直接使用 nmap 、msscan 、自己写py脚本等端口扫描工具直接获取开放的端口和获取服务端的 banner 信息。 使用 Python 端口扫描的介绍 https://thief.one/2018/05/17/1...
经常挂在嘴边的“渗透测试”,到底怎么测?
m0_58477260的博客
03-03 257
提起渗透测试(模拟黑客进行“合法”的网络入侵测试),人们自然会想到黑客,好象做这种测试的只有真正的黑客才可以做到,但黑客通常是“虚拟网络”中的人物,与现实生活中的人很难对应,对于他们的行为感到神秘也是自然的。测试与攻击有什么不同呢?刚从事安全研究时会很困惑,攻击是不按常理出牌的思维,遵循套路的只能是表演,不会实用,那么安全公司的专家们是如何进行渗透测试呢?一般来说,这种测试的过程都是半隐蔽的,不同的安全公司、不同的人做这种测试的结果差异巨大。
DarkEye:渗透测试情报收集工具
03-18
支持常用协议弱密码爆破。 支持获取标题和中间件。 支持绕过防火墙频率限制扫描(限单IP)。 支持CSV格式报告导出。 :rocket:快速使用 查看帮助 ./supercan -h 密码爆破+脆弱检查 ./supercan -ip 192.168.1.1-192...
渗透工具包贺岁版+法克论坛
01-27
收集渗透常用的工具包,针对网站进行安全检测,居家旅行必备工具包!
MD5校验器 免安装 很好用 速度快 精准
09-18
MD5校验(checksum)是通过对接收的传输数据执行散列运算来检查数据的正确。 一个散列函数,比如 MD5,是一个将任意长度的数据字符串转化成短的固定长度的值的单向操作。任意两个字符串不应有相同的散列值(即,有...
软件测试笔试理论知识点
07-11
6. 自动化测试:用于自动化测试用例的执行和结果分析,以提高测试效率和准确常用的自动化测试工具包括Selenium、Appium、JMeter等。 综上所述,软件测试是软件开发过程中不可或缺的一部分,它可
渗透测试工具大全
01-05
一、 基于网站的渗透 1、名称:Acunetix Web Vulnerability Scanner 6 功能:网站漏洞扫描器。 平台:Windows 2、名称:IBM Rational AppScan 7.8 功能:网站漏洞扫描器。 平台:Windows 3、名称:Jsky 功能:网站漏洞扫描器。 平台:Windows
小白必看!渗透测试的8个步骤
m0_59236127的博客
03-03 6175
渗透测试:以安全为基本原则,通过攻击者以及防御者的角度去分析目标所存在的安全隐患以及脆弱,以保护系统安全为最终目标。入侵:通过各种方法,甚至破坏的操作,来获取系统权限以及各种敏感信息。l 确定范围:测试目标的范围、ip、域名、内外网、测试账户。l 确定规则:能渗透到什么程度,所需要的时间、能否修改上传、能否提权、等等。l 确定需求:web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞、等等。l 方式:主动扫描,开放搜索等。l 开放搜索:利用搜索引擎获得:后台、未授权页面、敏感url、等等。l 基础信息:IP
干货分享黑客必备的10 个渗透工具(建议收藏)
2201_75735270的博客
09-26 1660
干货分享黑客必备的10 个渗透工具(建议收藏)
最全的渗透测试具体详细检测方法
2301_76694151的博客
04-24 1411
Docker是一个开放源代码软件项目,让应用程序布署在软件容器下的工作可以自动化进行,借此在Linux操作系统上,提供一个额外的软件抽象层,以及操作系统层虚拟化的自动管理机制[1]。Hadoop=HDFS(文件系统,数据存储技术相关)+ Mapreduce(数据处理),Hadoop的数据来源可以是任何形式,在处理半结构化和非结构化数据上与关系型数据库相比有更好的能,具有更灵活的处理能力,不管任何数据形式最终会转化为key/value,key/value是基本数据单元。由于它是代码,整个过程易于重复。
渗透测试基础』| 什么是渗透测试?有哪些常用方法?如何开展?测试工具有哪些?优势在哪里?
最新发布
虫无涯的博客
12-04 1921
渗透测试是指由专业的安全人员模拟黑客,从系统可能存在的漏洞位置进行攻击测试,找到隐藏的安全漏洞,从而达到保护系统安全的目的;书中有一个例子说的非常不错:把软件系统比喻一座房子,房子建好后会配备一些安全措施,比如防盗门、安全警报等。一般情况,我们认为这已经足够安全,但我们不能十分确认入侵者会使用怎样的方式找到漏洞,从而攻击我们的安全防线。为了保护房子足够安全,我们会聘请外部的安全专家进行一系列的检测,比如检测防盗门是否牢固,窗户是否容易被侵入等等,发现这个房子是否存在漏洞,确保房子的安全
渗透测试常用工具汇总_渗透测试实战
ZL_1618的博客
03-20 1898
安装过程有两种,一是在Windows系统上安装python环境,在此基础上安装SQL map,二是使用虚拟机安装kali系统,该系统自带SQL map工具。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!Metasploit是一个免费的、可下载的框架,通过它可以很容易的对计算机软件漏洞实施攻击。它的目标是创建一个易于使用和扩展、能够发现和利用Web应用程序漏洞的主体框架。
18款好用的网络安全渗透测试工具推荐
WANGJUNAIJIAO的博客
10-20 1607
SecLists,看名字就知道,这是一份列表集,托管在GitHub上,列表类型包括用户名、口令、常见数据模式、模糊测试载荷、shell等等,可帮助渗透测试员快速完成手头任务。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。当然,是在恶意黑客找到这些漏洞之前,而这些业内安全专家各自钟爱的工具各种各样,一些工具是公开免费的,另一些则需要支付费用,但这篇文章向你保证,值得一看。
渗透测试的8个步骤 展现一次完整的渗透测试过程及思路
xv7676的博客
05-15 2058
渗透测试这个事情不是随便拿个工具就可以做了, 要了解业务还需要给出解决方案 。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我们来说说 渗透测试 的流程及渗透测试相关概念。渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。 入侵:不择手段地(甚至是具有破坏的)拿到系统权限。 一般渗透测试流程流程并非万能,只是一个工具。思考与流程并用,结合自己经验。2.1 明确目标确定范围:测试目标的范围,ip,域名,内外网。 确定规则:能渗透到什么程度,时间?能否修改上传?能
【学习摘抄】渗透测试方法和步骤
aovenus的专栏-测试新时代(微信公众号:测试新时代)
01-03 1344
【背景】最近在学习一些有关WEB安全测试方面的知识,以下是阅读《Web系统安全和渗透基础》书,学习到的渗透测试方法和步骤,做个笔记记录下。 渗透测试三阶段九步骤: 三阶段:测试计划和测试准备评估、实施报告、清理和破坏测试过程产物九步骤: 信息搜集网络绘制漏洞识别渗透获得访问和特权升级进一步枚举攻入远程用户、站点维持
常用的漏洞检测工具有哪些
06-08
常用的漏洞检测工具有以下几种: 1. Nessus:开源的漏洞扫描器,支持多种操作系统和服务,能够快速地扫描出目标系统中的漏洞,并提供详细的报告和建议。 2. OpenVAS:也是一款开源的漏洞扫描器,类似于Nessus,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值