白帽子必知：七大便捷、快速的滲透測試工具

滲透測試，是專業(yè)安全人員為找出系統(tǒng)中的漏洞而進(jìn)行的操作。工欲善其事，必先利其器。今天給大家介紹7個(gè)便捷、快速的滲透測試工具。

1、Metasploit

Metasploit是網(wǎng)絡(luò)安全專業(yè)人士和白帽子黑客的首選，有許多大神將自己的知識(shí)發(fā)布在這各平臺(tái)。它有許多滲透測試工具的集合，由PERL提供支持，可用于模擬需要的任何類型的滲透測試。因此最大的優(yōu)點(diǎn)是能跟得上不斷發(fā)展的變化。而且，Metasploit支持定制，只有4個(gè)步驟，非常方便使用。

2、Netsparker Security Scanner

它是用來做滲透測試的Web自動(dòng)化應(yīng)用工具，能識(shí)別滲透測試人員要知道的內(nèi)容，并做出正確判斷，從SQL注入到跨站點(diǎn)腳本，因此可以用它來處理整個(gè)網(wǎng)站，包括Web服務(wù)和Web應(yīng)用。而且，它能同時(shí)掃描1000個(gè)Web應(yīng)用，還允許用戶自定義安全掃描，非常強(qiáng)大且高效。

3、BeEF

BeEF工具有利于移動(dòng)的客戶，因?yàn)樗捎脕頇z查Web瀏覽器，對(duì)抗web攻擊。BeEF用GitHub找漏洞，它探索了web邊界和客戶端系統(tǒng)之外的缺陷。很重要的是，它是專門針對(duì)Web瀏覽器的，能夠查看單個(gè)源上下文中的漏洞。

4、Wireshark

Wireshark是網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)包分析器，能實(shí)時(shí)消除安全漏洞。如果要用來分析基于Web的應(yīng)用上發(fā)布到表單的信息和數(shù)據(jù)所固有的安全風(fēng)險(xiǎn)，那么它很適合。它可從藍(lán)牙、幀中繼、Ipsec、Kerberos、IEEE 802.11，基于以太網(wǎng)的任何連接等收集實(shí)時(shí)數(shù)據(jù)，最棒的功能，還是分析結(jié)果的產(chǎn)生方式，并且通俗易懂。滲透測試者可以使用它進(jìn)行顏色編碼，以便更深入地調(diào)查，并隔離重要的單個(gè)數(shù)據(jù)包。

5、John the Ripper

這是一個(gè)很流行的密碼破解工具，是滲透測試儀工具包中的一個(gè)很必要的補(bǔ)充。它可以用來確定數(shù)據(jù)庫中的未知弱點(diǎn)，通過從傳統(tǒng)字典中找到的復(fù)雜和流行的單詞列表，獲取文本字符串樣本，并用與正在生成的密碼相同的格式，對(duì)其進(jìn)行加密來達(dá)到目的。

6、w3af

w3af滲透測試套件的目標(biāo)是查找，分析和利用基于Web的應(yīng)用中可能存在的任何安全漏洞。它有包含用戶代理偽造，請(qǐng)求的自定義標(biāo)頭，DNS緩存中毒或DNS欺騙以及許多其他攻擊類型。使用W3AF，參數(shù)和變量可以快速保存到會(huì)話管理器文件中，即它們能快速重新配置，并用于Web應(yīng)用上的其他滲透測試，就很節(jié)省時(shí)間。而且測試結(jié)果以圖形和文本格式顯示，也是很好理解。

7、Acunetix Scanner

這個(gè)自動(dòng)化工具能幫助快速完成滲透測試，它能審計(jì)復(fù)雜的管理報(bào)告和問題，處理許多網(wǎng)絡(luò)的漏洞，還能夠包含帶外漏洞。它有很高的檢測率，涵蓋了超過4500個(gè)弱點(diǎn)。此外，這個(gè)工具包含AcuSensor技術(shù)，手動(dòng)滲透工具和內(nèi)置漏洞測試，可快速抓取數(shù)千個(gè)網(wǎng)頁，也能在本地或通過云解決方案運(yùn)行。
責(zé)編AJX