企业与个人必备安全测试工具

最新推荐文章于 2023-08-29 14:01:12 发布
最新推荐文章于 2023-08-29 14:01:12 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 网络安全 文章标签: 安全 测试工具 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46591320/article/details/127522044
版权

0x01 Web漏洞扫描

  • Appsacn
    AppScan是IBM的一款web应用安全测试工具,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)等。其漏洞扫描速度一般,准确率最高,漏洞规则库最全面。漏洞验证可查看请求相应代码,拥有较完整的漏洞修复建议。报表功能完整。

  • AWVS
    自动化的web应用程序安全测试工具,可以扫描任何通过web浏览器访问的和遵循HTTP/HTTPS规则的web站点和应用。漏洞扫描速度较快,准确率较高,漏洞规则库较为全面。漏洞验证可查看请求响应代码,报表功能完整。有多重漏洞的验证工具。

  • Burp Suite 集成插件
    简单介绍几个常用检测插件:
    1、shiro漏洞检测

    https://github.com/pmiaowu/BurpShiroPassiveScan

    2、Struts2漏洞检测

    https://github.com/prakharathreya/Struts2-RCE

    3、Fastjson漏洞检测

    https://github.com/p1g3/Fastjson-Scanner

    下面是github上的burp漏洞插件检测列表,文末提供下载。
    在这里插入图片描述

0x02 第三方开源软件漏洞扫描

  • Application Inspector
    微软开源了快速检查第三方开源组件安全问题的命令行工具 Application Inspector,源代码采用MIT 许可证发布在软件巨人旗下的托管平台 GitHub 上。这个静态源代码分析工具用于帮助开发者在整合第三方开源组件时处理潜在的安全问题。

    https://github.com/microsoft/ApplicationInspector
    在这里插入图片描述

0x03 主机漏洞扫描

  • Nexpose
    由Rapid7开发,与Metasploit和Metasploit社区相同的开发人员组成。Nexpose 是一款极佳的漏洞扫描工具,跟一般的扫描工具不同,Nexpose自身的功能非常强大。可以更新其漏洞数据库,以保证最新的漏洞被扫描到。可以给出哪那些漏洞可以被Metasploit Exploit,哪些漏洞在Exploit-db里面有exploit的方案。可以生成非常详细的,非常强大的Report,涵盖了很多统计功能和漏洞的详细信息。

    下载地址:http://www.rapid7.com/vulnerability-scanner.jsp
    安装教程:https://blog.csdn.net/edu_aqniu/article/details/77989831

  • OpenVAS
    OpenVAS 是 Nessus 项目的一个开源分支,用于对目标系统进行漏洞评估和管理,OpenVAS 的配置使用相较于 Nessus 更加复杂,扫描速度也不如 Nessus ,但是胜在开源免费。相比于 Nessus ,OpenVAS 的漏洞评估更加侧重系统内部的漏洞,尤其是在 Linux 内核级的漏洞检测上尤为明显。

    官网地址:https://www.openvas.org/

  • Nessus
    一款号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。

    下载地址:https://www.tenable.com/downloads/nessus?loginAttempted=true安装教程:https://blog.csdn.net/weixin_41924764/article/details/109550459

0x04 数据库漏洞扫描

  • Scuba用于扫描数据库,查找安全漏洞配置缺陷(包括修补级别),其针对 Oracle Database、Microsoft SQL Server、SAP Sybase、IBM DB2、Informix 和 MySQL 提供了接近 1200 次评估测试。

    安装教程:(安装包文末提供)
    https://www.cnblogs.com/fsxsmile/p/14840028.html

0x05 Docker安全扫描

  • DockerScan
    专门对docker镜像安全测试的工具,采用python开发,支持敏感信息的扫描,例如:在环境变量中查找密码、尝试在环境变量中查找任何 URL/IP、尝试推断内部用于运行软件的用户等。

    https://github.com/cr0hn/dockerscan

0x06 安卓APP漏洞扫描

  • QARK
    该工具用于分析那些用Java语言开发的Android应用中的潜在安全缺陷。QARK 全称 Quick Android Review Kit。这个工具用来寻找与 Android 应用相关的安全漏洞,包括检查源代码和打包的 APKs。

    https://github.com/linkedin/qark

0x07 代码安全扫描

  • Fortify
    Fortify 全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果包含详细的安全漏洞信息、安全知识说明、修复意见。支持的21种语言。文章最后附下载地址。

    https://www.shungg.cn/301.html

0x08 应用安全漏洞扫描

  • Webinspect
    主要是对Web应用程序进行网络应用安全测试和评估。它提供了快速扫描功能,并能进行广泛的安全评估,并给出准确的Web应用程序安全扫描结果。

    https://www.uedbox.com/post/6487/

0x09 项目依赖扫描

  • DependencyCheck
    用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、PHP、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。

    工具链接:https://github.com/jeremylong/DependencyCheck

    使用命令:
./cli/target/release/bin/dependency-check.sh -h
./cli/target/release/bin/dependency-check.sh  --project example --out . --scan ./src/test/resources

欢迎关注公众号:白帽学子,回复 0627 ,获取所有测试工具。

Topdayplus
关注
专栏目录
如何保护个人信息安全?天津大学提出隐私政策合规性检测工具
Paper weekly
03-11 2345
论文标题:Have You been Properly Notified? Automatic Compliance Analysis of Privacy Policy Text wit...
安全测试-SQL注入
qq_42008891的博客
03-08 1466
SQL注入是针对一种数据库而言的,而不是针对网页语言。在任何使用了数据库查询环境下都可能存在。常见的数据库包括:MySQL、Oracle、Db2等。针对不同的数据库系统使用的一些函数会有所不同,不过从测试是否存在SQL注入的角度考虑,只需要进行几个最基本的判断语句就可以了。由于SQL注入有可能造成信息泄漏,在严重情况下(根据使用的数据库而定)甚至可能造成数据修改、删除,从而导致业务断。因此必须发现所有存在的注入点。
安全测试常用几个工具(开源&商业)调研
分享只为更好的获得
08-01 7343
下面介绍了这些工具的主要功能以及教程、书籍、视频等。 端口扫描器:Nmap Nmap是”Network Mapper”的缩写,众所周知,它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计,全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级...
WEB扫描类产品测试--AppScan-WVS-WebRavor(7)
KerryRuan的专栏
01-11 1168
3.3  SQL注入能力 4个网站的注入点说明: testphp.acunetix.com注入点 数据库 数据库名称 用户名 http://testphp.acunetix.com:80/AJAX/infoartist.php?id=1 http://testphp.acunetix.com:80
AppSacn的安装&使用
fly_enum的博客
08-29 617
AppScan是一种自动化漏洞扫描工具,旨在识别Web应用程序安全漏洞。
网络安全必备-御剑系列工具
04-23
网络安全是信息化社会不可或缺的重要领域,它涉及到个人隐私保护、企业信息安全以及国家的网络主权。"御剑系列工具"作为一款后台扫描软件,是网络安全专业人士常用的一种工具集,旨在帮助用户发现并解决网络安全...
审核网络安全的十大必备工具.docx
06-08
审核网络安全的十大必备工具全文共4页,当前为第1页。审核网络安全的十大必备工具全文共4页,当前为第1页。审核网络安全的十大必备工具 审核网络安全的十大必备工具全文共4页,当前为第1页。 审核网络安全的十大必备...
打印机故障检测修复工具
最新发布
03-19
打印机是日常办公和家庭使用的常见...无论是在企业环境还是个人家庭,它都能成为维护打印机正常运行的必备工具。对于遇到打印机问题的用户,尝试使用这样的专业工具,无疑可以省去很多烦恼,让打印工作更加顺畅。
网络端口扫描工具.rar
04-23
因此,了解如何使用ScanPort这样的扫描工具,不仅是提升个人网络安全意识的一部分,也是维护企业网络环境稳定的关键。 总的来说,网络端口扫描工具ScanPort是一款实用且易用的工具,对于网络管理人员来说,它可以...
为什么Metasploit是渗透测试必备工具
它提供了一套强大的工具和资源,用于评估和增强网络的安全性。Metasploit的设计目标是帮助安全专业人员自动化渗透测试工作,以发现系统和应用程序的潜在漏洞和弱点。 Metasploit提供了一个集成的平台,使用户能够...
安全测试——AppScan
成都汇智动力的博客
06-22 1802
AppScan是IBM公司研发的一款Web与移动应用安全测试的工具,能提高Web应用安全性和移动应用安全性。通过在部署之前扫描Web和移动应用,检测Web和移动应用安全性, AppScan扫描完成后,能够根据扫描结果生成报告并给予修复建议。 【案例:ECShop安全测试实施】 (1) 启动AppScan,如图1所示,创建一个新的扫描,如果已经存在扫描方案,可直接打开。 图1 启动AppScan (2) 选择“常规扫描”,一般测试时选择这个模板,当然也可以根据实际需要自定义扫描...
【软件测试】期末复习题
weixin_45899951的博客
06-23 4503
一.单选题(共21题,52.5分) 1 在网络应用测试,网络延迟是一个重要指标。以下关于网络延迟的理解,正确的是:( ) A、指响应时间 B、指报文从客户端发出到客户端接收到服务器响应的间隔时间 C、指报文在网络上的传输时间 D、指从报文开始进入网络到它开始离开网络之间的时间 正确答案: D 2 使用白盒测试方法时,确定测试数据的依据是指定的覆盖标准和( )。 A、程序的注释 B、程序的内部逻辑 C、用户使用说明书 D、程序的需求说明 正确答案: B 3 下列关于appium测试工具相关描述错误的
安全扫描工具AppScan使用简介
tengyeyijiu的专栏
05-06 2万+
AppScan是IBM的一款web安全扫描工具,具有利用爬虫技术进行网站安全渗透测试的能力,能够根据网站入口自动摸取网页链接进行安全扫描,提供了扫描、报告和修复建议等功能。 appscan有自己的用例库,版本越新用例库月全,针对漏洞的检测越全面,被检测系统的安全性相关较高,目前网上流传的最新版本是9,appscan为IBM一款商业用途的安全扫描工具,但是网络存在破解版。 利用Appscan测试
AppScan安全扫描问题解决方案
weixin_43988600的博客
02-23 7017
本人遇见过的扫描漏洞解决方案。 一、查询的密码参数 【解决方案】 password是关键字,把passwod的传参名称改为pcode或其他名称。 风险: 可能会窃取查询字符串发送的敏感数据,例如用户名和密码 原因: SSL(安全套接字层)可为 HTTP 提供数据机密性和完整性。通过加密 HTTP 消息,SSL 可防止攻击者窃听或更改消息内容。登 录页应始终采用 SSL 来保护从客户机传输到服务器的用户名和密码。如果不使用 SSL,会使用户凭证在传输到服务器期间作为 明文公开,从而易被窃听。 固定值:.
Appscan测试工具简介
lily_621的博客
07-24 1万+
工具用途? IBM公司的web扫描工具,对网站等WEB应用进行自动化的应用安全扫描和测试。 如何工作? 探索(Explore):在探索阶段,Appscan试图遍历网站所有可用的链接,并建立一个层次结构。它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。例如,看到一个登陆页面,它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击,只是确定测试方向。这个阶段通过发送的多个请求确定网站...
SCPPO(七):安全检测及分析神器—AppScan使用教程
通往精英的成长之路
07-03 3万+
【前言】 最近项目准备验收,所以最近在做项目验收的准备工作;我们公司规定,项目的安全检测必须通过才能进行项目验收;公司的安全部门用的检测软件就是大名鼎鼎的IBM Rational Appscan;在教由安全部门检测外我们进行了自测,因此自己有机会对这款神器进行学习;另外会在接下来的博文小编为大家分享我们是如何一步步解决项目安全问题,敬请期待。 【内容】 1、A...
appscan初次接触
小禾尖的测试笔记
02-12 461
第一次接触appscan,简单记录下。之后再详细研究。一、appscan简介IBM公司开发的一款在web应用程序渗透测试舞台上使用最广泛的工具,有助于专业安全人员进行Web应用程序自动化脆弱性评估。二、安装百度下载一下安装程序,替换下解码的license。很简单,不多记录了。三、大致使用方式1、创建新的扫描。常规扫描。web应用程序扫描。2、配置起始URL3、对要测试的模块,录制脚本。4、进行扫描...
web安全测试---AppScan扫描工具详解和测试方法说明
HRD的博客
08-27 6711
安全测试应该是测试非常重要的一部分,但他常常最容易被忽视掉。尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸心理。谁没事会攻击我?关于安全测试方面的资料也很少,很多人所知道的就是一本书,一个工具。...
AppScan安全扫描工具-IBM Security App Scan Standard
热门推荐
学习那点事儿的专栏
06-19 5万+
1、AppScan是什么? AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高) 工作原理: 1)通过探索了解整个web页面结果 2)通过分析,使用扫描规则库对修改的H...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值