归纳一下软件测试中「安全测试工具」

大家好啊，我是大田。

今天归纳一下安全测试工具，分别用这些工具做哪些工作。自动化测试人员、功能测试人员平常可能用的不多，但是面试时也需要准备，需要知道安全测试工具有什么，还要关注现在有哪些漏洞。本篇先归纳整理安全测试工具。

1、AppScan

一款安全漏洞扫描工具，支持Web和移动，现在安全测试做漏洞扫描非常适用，它相当干是"探索"和"测试"的过程，最终生成很直观的测试报告，有助于研发人员分析和修复通常安全测试工具用这个，扫描一些安全漏洞，用起来比较方便，网上资料比较多，适合很多测试同学用，资料广阔，大家可以尝试下。

2、Burp Suite

一款信息安全从业人员必备的集成型的渗透测试工具，它采用自动测试和半自动测试的方式，包含了

Proxy、Spider、Scanner、Intruder、Repeater、Sequencer、Decoder、Comparer 等工具模块；Proxy 功能可以拦截 HTTP/S 的代理服务器(手机和web)；Spide功能-智能感应的网络爬虫；Intruder 功能可以对 web 应用程序进行自动化攻击等，非常适合做安全测试，通过拦截 HTTP/HTTPS 的 web 数据包，充当浏览器和相关应用程序的中间人，进行拦截，修改，重放数据包进行测试，是 web 安全人员的一把必备的瑞十军刀。

3、Nmap

一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。

4、sqlmap

一个开源的渗透测试工具，可以用来进行自动化检测，利用SOL注入漏洞，获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项，包括获取数据库中存储的数据，访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

5、OpenVAS

一个开放式漏洞评估系统，也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器，包括一套网络漏洞测试程序，可以检测远程系统和应用程序中的安全问题。OpenVas 服务端只允许安装在 Linux 系统上。

6、ZAP

ZAP 是世界上最受欢迎的免费安全审计工具之一，由数百名国际志愿者积极维护。它 可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。

全文完，如果喜欢，就点个赞或者在看吧 ，转发、评论是对大田创作的最大支持~

我是大田，持续聚焦分享软件测试真实工作经验、职场经验、面试经验