1. Excercise in a Box
Excercise in a Box是在線工具��,可以用它來測試自己的網絡是否容易遭受到攻擊��。它可以提供各種場景���,反復演練自身面對安全攻擊事件的響應能力,包含了需要執(zhí)行的各種計劃��、設置�����、交付�����、以及事后整改活動等資源�。
2. Nishang
如果喜歡用PowerShell���,那么可以試試Nishang。Nishang是有效負載與腳本的結合�����,可以用PowerShell來進行滲透式���、攻擊性安全�、以及紅隊測試��。測試人員可以在當前滲透測試的各個階段使用到該工具��。
3. Taipan
Taipan是自動化的Web應用類漏洞掃描程序�,能自動化測試進行Web漏洞的識別。它是開放式項目����,有能兼容與支持其他組件的測試引擎���。它的界面和Web儀表板很像�����,可以在其中掃描并管理各類漏洞���,下載掃描器代理程序�、以及在主機上運行并輸出PDF格式的報告等����。
4. Needle
Needle是iOS版的測試框架,它是模塊化的���,能夠簡化針對iOS應用安全評估的整體過程��,同時可提供各種安全測試活動的關鍵要點����。除了安全測試人員會使用它�,開發(fā)人員也會用它來加固自己的代碼。
5. Pocsuite
Pocsuite是一個概念驗證和遠程漏洞測試的開發(fā)框架�。它具有強大的概念驗證引擎,以及各種豐富且強大的功能��,很適合安全研究人員和滲透測試人員使用�。
6. 移動安全框架(Mobile Security Framework)
它是一種多功能的自動化移動應用類滲透測試框架,能執(zhí)行動態(tài)分析,靜態(tài)分析�����,Web APT測試��、以及惡意軟件等方面的分析�����。在實際測試中�,它可以被用于針對iOS、Android和Windows等平臺移動應用內部的二進制源代碼�,乃至于程序截圖,采取快速��、有效的安全性分析;還可以在運行時(runtime)級別���,對Android應用程序進行動態(tài)應用測試;且還擁有安全掃描程序CapFuzz�����,能支持Web API的模糊處理�。
7. DevSlop
如果想全面加固DevOps管道安全性�����,那么DevSlop是不錯選擇����。作為OWASP的一個子項目,DevSlop能夠通過不同的模塊開展各項深入研究���。其中包括應用程序的易受攻擊點����,各種管道����,以及提供DevSlop Show的功能等。
8. InSpec
InSpec是軟件測試和審核框架����,能夠針對程序中的人類可讀語言和機器語言,分析和闡釋代碼級別的安全性����、合規(guī)性、以及策略需求�。在Frida網站上,它可以讓使用者將不同腳本放入其黑盒進程中,“鉤取”各種功能與crypto API��,并監(jiān)視與跟蹤那些私有代碼���。
9. Faraday
Faraday是一個多用戶滲透測試方式的補足工具�����,被用于針對那些在安全審核過程中所產生的數(shù)據(jù)�����,進行專業(yè)的索引�����、分發(fā)和分析���。使用Faraday,測試人員能以多用戶的方式�,充分利用社區(qū)里現(xiàn)有的工具。而且它還提供了一系列特殊功能�,以協(xié)助用戶改善其現(xiàn)有的工作流程。值得一提的是�,F(xiàn)araday使用簡單����,終端與系統(tǒng)上的常用終端區(qū)別不大���。
10. Tamper
Tamper Chrome是瀏覽器的擴展程序,支持即時更改HTTP請求���,并協(xié)助進行各項網絡安全的相關測試�����。它允許用戶深入地檢查瀏覽器所發(fā)送的請求及其響應����,目前適用于包括Chrome OS在內的所有操作系統(tǒng)�����。
推薦閱讀:
本文內容不用于商業(yè)目的���,如涉及知識產權問題�,請權利人聯(lián)系SPASVO小編(021-60725088-8054)�,我們將立即處理���,馬上刪除。
sales@spasvo.com
