有多种工具可用于执行应用程序的安全性测试.很少有工具可以执行端到端安全测试,而有些工具专门用于发现系统中的特定类型的缺陷.
一些开源安全测试工具是给定和减去的;
| S.否. | 工具名称 |
|---|---|
| 1 | Zed攻击代理 提供自动扫描仪和其他工具来发现安全漏洞. https://www.owasp.org |
| 2 | OWASP WebScarab 用Java开发用于分析Http和Https请求. https://www.owasp.org/index.php |
| 3 | OWASP Mantra 支持多语言安全测试框架 https://www.owasp.org/index .php/OWASP_Mantra _-_ Security_Framework |
| 4 | 打嗝代理 拦截和修复流量的工具并使用自定义SSL证书. https://www.portswigger.net/Burp/ |
| 5 | Firefox篡改数据 使用tamperdata查看和修改HTTP/HTTPS标头和帖子参数 https://addons.mozilla.org/en-US |
| 6 | Firefox Web开发人员工具 Web Developer扩展程序添加各种Web开发人员工具到浏览器. https://addons. mozilla.org/en-US/firefox |
| 7 | Cookie编辑器 让用户添加,删除,编辑,搜索,保护和阻止cookie https://chrome .google.com/webstore |
以下工具可以帮助我们发现系统中特定类型的漏洞并减去;
| S.No. | 链接 |
|---|---|
| 1 | DOMinator Pro测试DOM XSS https://dominator.mindedsecurity.com/ |
| 2 | OWASP SQLiX SQL Injection https://www.owasp.org/index.php |
| 3 | Sqlninja SQL注入 http://sqlninja.sourceforge.net/ |
| 4 | SQLInjector SQL Injection https://sourceforge.net/projects/safe3si/ |
| 5 | sqlpowerinjector SQL Injection http://www.sqlpowerinjector.com/ |
| 6 | SSL Digger测试SSL https://www.mcafee.com/us/downloads/free-tools |
| 7 | THC-Hydra暴力密码 https://www.thc.org/thc-hydra/ |
| 8 | Brutus暴力密码 http://www.hoobie.net/brutus/ |
| 9 | Ncat暴力密码 https://nmap.org/ncat/ |
| 10 | OllyDbg测试缓冲区溢出 http://www.ollydbg.de/ |
| 11 | Spike测试缓冲区溢出 https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
| 12 | Metasploit测试缓冲区溢出 https://www.metasploit.com/ |
以下是一些商业黑盒测试工具,可帮助我们发现安全性我们开发的应用程序中的问题.
| S.No | 工具 |
|---|---|
| 1 | NGSSQuirreL https://www.nccgroup.com/en/our-services |
| 2 | IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/ |
| 3 | Acunetix Web漏洞扫描程序 https://www.acunetix.com/ |
| 4 | NTOSpider https://www.ntobjectives.com/products/ntospider.php |
| 5 | SOAP UI https://www.soapui.org/Security/getting-started.html |
| 6 | Netsparker https://www.mavitunasecurity.com/netsparker/ |
| 7 | HP WebInspect http://www.hpenterprisesecurity.com/products |
| S.No | 工具 |
|---|---|
| 1 | OWASP Orizon https://www.owasp.org/index.php |
| 2 | OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform |
| 3 | SearchDiggity https://www.bishopfox.com/resources/tools |
| 4 | FXCOP https://www.owasp.org/index.php/FxCop |
| 5 | Splint http://splint.org/ |
| 6 | Boon https://www.cs.berkeley.edu/~daw/boon/ |
| 7 | W3af https://img01.yuandaxia.cn/Content/img/tutorials/security_testing/ |
| 8 | FlawFinder https://www.dwheeler.com/flawfinder/ |
| 9 | FindBugs http://findbugs.sourceforge.net/ |
这些分析器检查,检测和报告源代码中容易出现漏洞和缺点的弱点;
| S.No | 工具 |
|---|---|
| 1 | Parasoft C/C ++测试 https://www.parasoft.com/cpptest/ |
| 2 | HP Fortify http://www.hpenterprisesecurity.com/产品 |
| 3 | Appscan http://www-01.ibm.com/software/rational/products |
| 4 | Veracode https://www.veracode.com |
| 5 | Armorize CodeSecure http://www.armorize.com/codesecure/ |
| 6 | GrammaTech https://www.grammatech.com/ |
