40 bedste penetrationstest (pen-test) Vapt-værktøjer i 2021

Anonim
Penetration Testing-værktøjer hjælper med at identificere sikkerhedssvagheder i et netværk, server eller webapplikation. Disse værktøjer er meget nyttige, da de giver dig mulighed for at identificere de "ukendte sårbarheder" i softwaren og netværksapplikationer, der kan forårsage et sikkerhedsbrud. VAPT-værktøjer (Vulnerability Assessment and Penetration Testing) angriber dit system inden for netværket og uden for netværket, som om en hacker ville angribe det. Hvis uautoriseret adgang er mulig, skal systemet rettes. Her er en liste over top 40 værktøjer til penetrationstest

1) Netsparker

Netsparker er en nem at bruge sikkerhedsscanner til webapplikationer, der automatisk kan finde SQL Injection, XSS og andre sårbarheder i dine webapplikationer og webtjenester. Den fås som lokal og SAAS-løsning. Funktioner
  • Død nøjagtig detektion af sårbarhed med den unikke bevisbaserede scanningsteknologi
  • Minimal konfiguration påkrævet. Scanneren registrerer automatisk URL-omskrivningsregler, brugerdefinerede 404-fejlsider.
  • REST API til problemfri integration med SDLC, bug tracking-systemer osv.
  • Fuldt skalerbar løsning. Scan 1.000 webapplikationer på bare 24 timer.

2) Acunetix

Acunetix er et fuldautomatisk penetrations testværktøj. Dens sikkerhedsscanner til webapplikationer scanner nøjagtigt HTML5-, JavaScript- og enkeltsidesapplikationer. Det kan kontrollere komplekse, godkendte webapps og udstede overholdelses- og ledelsesrapporter om en bred vifte af web- og netværkssårbarheder, herunder sårbarheder uden for båndet.

Funktioner:

  • Scanner efter alle varianter af SQL Injection, XSS og 4500+ yderligere sårbarheder
  • Registrerer over 1200 WordPress-kerne-, tema- og plugin-sårbarheder
  • Hurtig og skalerbar - gennemsøger hundreder af tusinder af sider uden afbrydelser
  • Integreres med populære WAF'er og Issue Trackers for at hjælpe med SDLC
  • Tilgængelig på stedet og som en cloud-løsning.

3) Indtrænger

Intruder er et kraftfuldt, automatisk værktøj til penetrationstest, der opdager sikkerhedssvagheder i hele dit it-miljø. Tilbyder brancheførende sikkerhedskontrol, kontinuerlig overvågning og en brugervenlig platform. Intruder holder virksomheder i alle størrelser beskyttet mod hackere.

Funktioner

  • Klassens bedste trusseldækning med over 10.000 sikkerhedstjek
  • Kontrol af konfigurationssvagheder, manglende programrettelser, applikationssvagheder (såsom SQL-injektion & scripting på tværs af websteder) og mere
  • Automatisk analyse og prioritering af scanningsresultater
  • Intuitiv grænseflade, hurtig at opsætte og køre dine første scanninger
  • Proaktiv sikkerhedsovervågning for de nyeste sårbarheder
  • AWS-, Azure- og Google Cloud-stik
  • API-integration med din CI / CD-pipeline

4) Indusface

Indusface WAS tilbyder manuel penetrationstest og automatiseret scanning for at opdage og rapportere sårbarheder baseret på OWASP top 10 og SANS top 25.

Funktioner

  • Crawler scanner applikationer til en enkelt side
  • Pause og genoptag funktionen
  • Manuelle PT- og automatiserede scannerapporter vises i samme dashboard
  • Ubegrænset bevis på konceptanmodninger giver bevis for rapporterede sårbarheder og hjælper med at eliminere falske positive fra automatiske scanningsresultater
  • Valgfri WAF-integration til øjeblikkelig virtuel patch med Zero False positive
  • Udvider automatisk gennemsøgningsdækning baseret på reelle trafikdata fra WAF-systemerne (hvis WAF abonnerer og bruges)
  • 24 × 7 support til at diskutere afhjælpningsretningslinjer / POC

5) Intrusion Detection Software

Intrusion Detection Software er et værktøj, der giver dig mulighed for at opdage alle typer avancerede trusler. Det leverer rapportering om overholdelse af DSS (Decision Support System) og HIPAA. Denne applikation kan løbende overvåge mistænkelige angreb og aktivitet.

Funktioner:

  • Minimer indsættelsen af ​​indtrængningsdetektion.
  • Tilbyder overholdelse af effektiv rapportering.
  • Giver realtidslogfiler.
  • Det kan registrere ondsindede IP'er, applikationer, konti og mere.

6) Traceroute NG

Traceroute NG er et program, der giver dig mulighed for at analysere netværksstien. Denne software kan identificere IP-adresser, værtsnavne og pakketab. Det giver nøjagtig analyse gennem kommandolinjegrænsefladen

Funktioner:

  • Det tilbyder både TCP- og ICMP-netværkssti-analyse.
  • Denne applikation kan oprette en txt-logfil.
  • Understøtter både IP4 og IPV6.
  • Registrer stiændringer, og giv dig en underretning.
  • Tillader kontinuerlig sondering af et netværk.

7) ExpressVPN

ExpressVPN sikrer internetsøgning mod agenturer og svindlere med tre bogstaver. Det giver ubegrænset adgang til musik, sociale medier og video, således at disse programmer aldrig logger IP-adresser, browserhistorik, DNS-forespørgsler eller trafikdestination.

Funktioner:

  • Servere på 160 placeringer og 94 lande
  • Opret forbindelse til VPN uden begrænsning af båndbredde.
  • Giver online beskyttelse ved brug af lækagesikkerhed og kryptering.
  • Bliv sikker ved at skjule IP-adresse og kryptere dine netværksdata.
  • Hjælp er tilgængelig 24/7 via e-mail samt live chat.
  • Betal med Bitcoin og brug Tor for at få adgang til skjulte websteder.

8) Owasp

Open Web Application Security Project (OWASP) er en verdensomspændende non-profit organisation med fokus på at forbedre softwares sikkerhed. Projektet har flere værktøjer til pen-test af forskellige softwaremiljøer og protokoller. Projektets flagskibsværktøjer inkluderer

  1. Zed Attack Proxy (ZAP - et integreret penetrations testværktøj)
  2. OWASP Afhængighedskontrol (den scanner efter projektafhængighed og kontrollerer mod kendte sårbarheder)
  3. OWASP Web Testing Environment Project (samling af sikkerhedsværktøjer og dokumentation)

OWASP testvejledningen giver "bedste praksis" til penetrationstest den mest almindelige webapplikation

Owasp-link

9) WireShark

Wireshark er et pentestværktøj til netværksanalyse, der tidligere var kendt som Ethereal. Det fanger pakken i realtid og viser dem i menneskeligt læsbart format. Dybest set er det en netværkspakkeanalysator - som giver minutoplysninger om dine netværksprotokoller, dekryptering, pakkeoplysninger osv. Det er en open source og kan bruges på Linux, Windows, OS X, Solaris, NetBSD, FreeBSD og mange andre systemer. Oplysningerne, der hentes via dette værktøj, kan ses gennem en GUI eller TTY-tilstand TShark Utility.

WireShark-funktioner inkluderer

  • Live capture og offline analyse
  • Rich VoIP-analyse
  • Capture-filer komprimeret med gzip kan dekomprimeres med det samme
  • Output kan eksporteres til XML, PostScript, CSV eller almindelig tekst
  • Multi-platform: Kører på windows, Linux, FreeBSD, NetBSD og mange andre
  • Live data kan læses fra internet, PPP / HDLC, ATM, Blue-tooth, USB, Token Ring osv.
  • Understøttelse af dekryptering til mange protokoller, der inkluderer IPsec, ISAKMP, SSL / TLS, WEP og WPA / WPA2
  • For hurtig intuitiv analyse kan farvelægningsregler anvendes på pakken
  • Læs / skriv mange forskellige capture-filformater

Wireshark Download

10) w3af

w3af er en ramme om angreb og revision af webapplikationer. Den har tre typer plugins; opdagelse, revision og angreb, der kommunikerer med hinanden for eventuelle sårbarheder på webstedet, for eksempel ser et opdagelsesplugin i w3af efter forskellige webadresser til at teste for sårbarheder og videresende det til revisionspluginet, som derefter bruger disse URL'er til at søge efter sårbarheder.

Det kan også konfigureres til at køre som en MITM-proxy. Den aflyttede anmodning kunne sendes til anmodningsgeneratoren, og manuel webapplikationstest kan derefter udføres ved hjælp af variable parametre. Det har også funktioner til at udnytte de sårbarheder, det finder.

W3af-funktioner

  • Proxy support
  • HTTP-respons cache
  • DNS-cache
  • Fil uploades ved hjælp af multipart
  • Cookiehåndtering
  • HTTP grundlæggende og fordøjelsesgodkendelse
  • Brugeragent falsk
  • Føj tilpassede overskrifter til anmodninger

w3af downloadlink

11) Metaspoilt

Dette er den mest populære og avancerede ramme, der kan bruges til pentest. Det er et open source-værktøj baseret på begrebet 'udnytte', hvilket betyder at du sender en kode, der bryder sikkerhedsforanstaltningerne og går ind i et bestemt system. Hvis det indtastes, kører det en 'nyttelast', en kode, der udfører operationer på en målmaskine, hvilket skaber den perfekte ramme for penetrationstest. Det er en fantastisk testværktøjstest, om IDS har succes med at forhindre de angreb, som vi omgår det

Metaspoilt kan bruges på netværk, applikationer, servere osv. Den har en kommandolinje og GUI-klikbar grænseflade, fungerer på Apple Mac OS X, fungerer på Linux og Microsoft Windows.

Funktioner af Metaspoilt

  • Grundlæggende kommandolinjegrænseflade
  • Tredjepartsimport
  • Manuel brute tvang
  • Manuel brute tvang
  • test af webstedsindtrængning

Link til download af metaspoilt

12) Kali

Kali fungerer kun på Linux-maskiner. Det giver dig mulighed for at oprette en sikkerhedskopierings- og gendannelsesplan, der passer til dine behov. Det fremmer en hurtig og nem måde at finde og opdatere den største database til indsamling af sikkerhedspenetration til dato. Det er de bedste tilgængelige værktøjer til pakke sniffing og injektion. En ekspertise inden for TCP / IP-protokol og netværk kan være en fordel, når du bruger dette værktøj.

Funktioner

  • Tilføjelse af 64 bit understøttelse muliggør brute force-adgangskodebrydning
  • Back Track leveres med forudindlæste værktøjer til LAN og WLAN sniffing, sårbarhedsscanning, adgangskodebrydning og digital retsmedicin
  • Backtrack integreres med nogle af de bedste værktøjer som Metaspoilt og Wireshark
  • Udover netværksværktøjet inkluderer det også pidgin, xmms, Mozilla, k3b osv.
  • Back track support KDE og Gnome.

Kali downloadlink

13) Samurai ramme:

Samurai Web Testing Framework er en pen-testsoftware. Det understøttes på VirtualBox og VMWare, der er forudkonfigureret til at fungere som et webpen-testmiljø.

Funktioner:

  • Det er open source, gratis at bruge værktøj
  • Den indeholder det bedste af open source og gratis værktøjer, der fokuserer på test og angreb på webstedet
  • Det inkluderer også en forudkonfigureret wiki til opsætning af det centrale informationslager under pennetesten

Download link: https://sourceforge.net/projects/samurai/files/

14) Aircrack:

Aircrack er et praktisk trådløst pentesting-værktøj. Det revner sårbare trådløse forbindelser. Det er drevet af WEP WPA og WPA 2 krypteringsnøgler.

Funktioner:

  • Flere kort / drivere understøttet
  • Understøtter alle typer OS og platforme
  • Nyt WEP-angreb: PTW
  • Støtte til WEP-ordbogangreb
  • Støtte til fragmenteringsangreb
  • Forbedret sporingshastighed

Download link: https://www.aircrack-ng.org/downloads.html

15) ZAP:

ZAP er et af de mest populære open source sikkerhedstestværktøjer. Det vedligeholdes af hundredvis af internationale frivillige. Det kan hjælpe brugere med at finde sikkerhedssårbarheder i webapplikationer under udviklings- og testfasen.

Funktioner:

  • Det hjælper med at identificere de sikkerhedshuller, der findes i webapplikationen ved at simulere et faktisk angreb
  • Passiv scanning analyserer svarene fra serveren for at identificere bestemte problemer
  • Det forsøger brute force adgang til filer og mapper.
  • Spidering-funktion hjælper med at konstruere den hierarkiske struktur på hjemmesiden
  • Levering af ugyldige eller uventede data til nedbrud eller for at give uventede resultater
  • Nyttigt værktøj til at finde ud af de åbne porte på målwebstedet
  • Det giver en interaktiv Java-skal, som kan bruges til at udføre BeanShell-scripts
  • Det er fuldt internationaliseret og understøtter 11 sprog

Download link: https://github.com/zaproxy/zaproxy/wiki

16) Sqlmap:

Sqlmap er et open source penetrations testværktøj. Det automatiserer hele processen med at opdage og udnytte SQL-injektionsfejl. Den leveres med mange detektionsmotorer og funktioner til en ideel penetrationstest.

Funktioner:

  • Fuld support til seks SQL-injektionsteknikker
  • Tillader direkte forbindelse til databasen uden at passere via en SQL-injektion
  • Støtte til at tælle brugere, adgangskode hashes, privilegier, roller, databaser, tabeller og kolonner
  • Automatisk genkendelse af adgangskode givet i hash-formater og understøttelse af revner dem
  • Støtte til at dumpe databasetabeller helt eller bestemte kolonner
  • Brugerne kan også vælge en række tegn fra hver kolonnepost
  • Tillader oprettelse af TCP-forbindelse mellem det berørte system og databaseserveren
  • Støtte til at søge efter specifikke databasenavne, tabeller eller specifikke kolonner på tværs af alle databaser og tabeller
  • Tillader at udføre vilkårlige kommandoer og hente deres standardoutput på databaseserveren

Download link: https://github.com/sqlmapproject/sqlmap

17) Sqlninja:

Sqlninja er et værktøj til penetrationstest. Det sigter mod at udnytte SQL Injection-sårbarheder i en webapplikation. Det bruger Microsoft SQL Server som back-end. Det giver også fjernadgang på den sårbare DB-server, selv i et meget fjendtligt miljø.

Funktioner:

  • Fingeraftryk af den eksterne SQL
  • Dataekstraktion, tidsbaseret eller ved hjælp af DNS-tunnel
  • Tillader integration med Metasploit3 for at opnå en grafisk adgang til den eksterne DB-server
  • Upload af eksekverbar ved kun at bruge normale HTTP-anmodninger via VBScript eller debug.exe
  • Direkte og omvendt bindeskal, både til TCP og UDP
  • Oprettelse af en brugerdefineret xp cmdshell, hvis den originale ikke er tilgængelig på w2k3 ved hjælp af token kidnapning

Download link: http://sqlninja.sourceforge.net/download.html

18) Oksekød:

Browserudnyttelsesrammen. Det er et pentesting-værktøj, der fokuserer på webbrowseren. Det bruger GitHub til at spore problemer og være vært for sit git-arkiv.

Funktioner:

  • Det giver mulighed for at kontrollere den faktiske sikkerhedsstilling ved hjælp af angrebsvektorer på klientsiden
  • BeEF giver mulighed for at tilslutte sig en eller flere webbrowsere. Det kan derefter bruges til at starte styrede kommandomoduler og yderligere angreb på systemet.

Download link: http://beefproject.com

19) Dradis:

Dradis er en open source-ramme til penetrationstest. Det gør det muligt at vedligeholde de oplysninger, der kan deles mellem deltagerne i en pen-test. De indsamlede oplysninger hjælper brugerne med at forstå, hvad der er afsluttet, og hvad der skal udføres.

Funktioner:

  • Nem proces til generering af rapporter
  • Støtte til vedhæftede filer
  • Problemfri samarbejde
  • Integration med eksisterende systemer og værktøjer ved hjælp af server-plugins
  • Platform uafhængig

Download link: https://dradisframework.com/ce

20) Hurtig 7:

Nexpose Rapid 7 er en nyttig software til styring af sårbarheder. Det overvåger eksponeringer i realtid og tilpasser sig nye trusler med nye data, som hjælper brugerne med at handle i det øjeblik, de påvirkes.

Funktioner:

  • Få et realtidsbillede af risikoen
  • Det bringer innovative og progressive løsninger, der hjælper brugeren med at få deres job udført
  • Ved, hvor du skal fokusere
  • Bring mere til dit sikkerhedsprogram

Download link: https://www.rapid7.com/products/nexpose/download/

21) Hping:

Hping er et TCP / IP-testværktøj til penanalysatorpen. Denne grænseflade er inspireret af ping (8) UNIX-kommandoen. Det understøtter TCP-, ICMP-, UDP- og RAW-IP-protokoller.

Funktioner:

  • Tillader firewall-test
  • Avanceret port scanning
  • Netværkstest ved hjælp af forskellige protokoller, TOS, fragmentering
  • Manuel sti MTU-opdagelse
  • Avanceret traceroute med alle understøttede protokoller
  • Fjernbetjening OS fingeraftryk & gættetid for oppetid
  • TCP / IP stabler revision

Download link: https://github.com/antirez/hping

22) SuperScan:

Superscan er et gratis Windows-eneste værktøj til penetration af lukket kilde. Det inkluderer også netværksværktøjer som ping, traceroute, whois og HTTP HEAD.

Funktion:

  • Overlegen scanningshastighed
  • Understøttelse af ubegrænsede IP-intervaller
  • Forbedret værtsdetektering ved hjælp af flere ICMP-metoder
  • Giv support til TCP SYN-scanning
  • Enkel HTML-rapportgenerering
  • Kilde port scanning
  • Omfattende bannergreb
  • Stor indbygget database med beskrivelser af portlister
  • Randomisering af IP og port scanningsordre
  • Omfattende Windows-værtsoptællingsfunktion

Download link: https://superscan.en.softonic.com/

23) ISS-scanner:

IBM Internet Scanner er et pen-testværktøj, der giver grundlaget for effektiv netværkssikkerhed for enhver virksomhed.

Funktioner:

  • Internet Scanner minimerer forretningsrisikoen ved at finde de svage punkter i netværket
  • Det gør det muligt at automatisere scanninger og opdage sårbarheder
  • Internet Scanner reducerer risikoen ved at identificere sikkerhedshullerne eller sårbarhederne i netværket
  • Komplet sårbarhedsstyring
  • Internetscanner kan identificere mere end 1.300 typer netværksenheder

Download link : https://www.ibm.com/products/trials

24) Scapy:

Scapy er et kraftfuldt og interaktivt pen-testværktøj. Det kan håndtere mange klassiske opgaver som scanning, sondering og angreb på netværket.

Funktioner:

  • Det udfører nogle specifikke opgaver som at sende ugyldige rammer, injicere 802.11 rammer. Det bruger forskellige kombinationsteknikker, hvilket er svært at gøre med andre værktøjer
  • Det giver brugeren mulighed for at oprette nøjagtigt de pakker, de ønsker
  • Reducerer antallet af linjer, der er skrevet for at udføre den specifikke kode

Download link: https://scapy.net/

25) IronWASP:

IronWASP er en open source-software til test af sårbarheder i webapplikationer. Det er designet til at kunne tilpasses, så brugerne kan oprette deres brugerdefinerede sikkerhedsscannere ved hjælp af det.

Funktioner:

  • GUI-baseret og meget nem at bruge
  • Det har kraftfuld og en effektiv scanningsmotor
  • Understøttelse af optagelse af loginsekvens
  • Rapportering i både HTML- og RTF-formater
  • Kontrollerer over 25 typer websårbarheder
  • Understøttelse af falske positive og negative opdagelser
  • Det understøtter Python og Ruby
  • Kan udvides ved hjælp af plug-ins eller moduler i Python, Ruby, C # eller VB.NET

Downloadlink: http://ironwasp.org/download.html

26) Ettercap:

Ettercap er et omfattende værktøj til testning af penne. Det understøtter aktiv og passiv dissektion. Det indeholder også mange funktioner til netværks- og værtsanalyse.

Funktioner:

  • Det understøtter aktiv og passiv dissektion af mange protokoller
  • Funktion af ARP-forgiftning for at snuse på et skiftet LAN mellem to værter
  • Tegn kan injiceres i en server eller til en klient, mens de opretholder en live forbindelse
  • Ettercap er i stand til at snuse en SSH-forbindelse i fuld duplex
  • Tillader sniffing af HTTP SSL-sikrede data, selv når forbindelsen oprettes ved hjælp af proxy
  • Tillader oprettelse af brugerdefinerede plugins ved hjælp af Ettercaps API

Download link: https://www.ettercap-project.org/downloads.html

27) Sikkerhedsløg:

Security Onion er et penetrationsprøvningsværktøj. Det bruges til detektion af indtrængen og overvågning af netværkssikkerhed. Den har en brugervenlig installationsguide, der giver brugerne mulighed for at opbygge en hær med distribuerede sensorer til deres virksomhed.

Funktioner:

  • Det er bygget på en distribueret klientservermodel
  • Netværkssikkerhedsovervågning muliggør overvågning af sikkerhedsrelaterede begivenheder
  • Det tilbyder fuld pakkeopsamling
  • Netværksbaserede og værtsbaserede indbrudsdetekteringssystemer
  • Det har en indbygget mekanisme til at rense gamle data, før lagerenheden fyldes op til dens kapacitet

Download link: https://securityonion.net/

28) Personlig softwareinspektør:

Personal Software Inspector er en open source-computersikkerhedsløsning. Dette værktøj kan identificere sårbarheder i applikationer på en pc eller en server.

Funktioner:

  • Den fås på otte forskellige sprog
  • Automatiserer opdateringerne til usikre programmer
  • Det dækker tusinder af programmer og registrerer automatisk usikre programmer
  • Dette pen-testværktøj scanner automatisk og regelmæssigt pc for sårbare programmer
  • Registrerer og underretter programmer, der ikke kan opdateres automatisk

Download link: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager

29) HconSTF:

HconSTF er Open Source Penetration Testing-værktøj baseret på forskellige browserteknologier. Det hjælper enhver sikkerhedsprofessionel med at hjælpe med penetrationstesten. Den indeholder webværktøjer, der er effektive til at udføre XSS, SQL-injektion, CSRF, Trace XSS, RFI, LFI osv.

Funktioner:

  • Kategoriseret og omfattende værktøjssæt
  • Hver mulighed er konfigureret til penetrationstest
  • Specielt konfigureret og forbedret til at opnå solid anonymitet
  • Arbejder til vurderinger af webapptest
  • Let at bruge og samarbejde operativsystem

Download link: http://www.hcon.in/

30) IBM Security AppScan:

IBM Security AppScan hjælper med at forbedre webapplikationssikkerhed og mobilapplikationssikkerhed. Det forbedrer applikationssikkerheden og styrker overholdelsen af ​​lovgivningen. Det hjælper brugere med at identificere sikkerhedssårbarheder og generere rapporter.

Funktioner:

  • Aktivér udvikling og QA til at udføre test under SDLC-processen
  • Kontroller, hvilke applikationer hver bruger kan teste
  • Distribuer let rapporter
  • Øg synligheden og forstå virksomhedsrisici bedre
  • Fokus på at finde og løse problemer
  • Kontroller adgangen til information

Download link: http://www-03.ibm.com/software/products/da/appscan

31) Arachni:

Arachni er et open source Ruby-rammebaseret værktøj til penetrationstestere og administratorer. Det bruges til at evaluere sikkerheden ved moderne webapplikationer.

Funktioner:

  • Det er et alsidigt værktøj, så det dækker et stort antal brugssager. Dette spænder fra et simpelt kommandolinjeskannerværktøj til et globalt højtydende gitter med scannere
  • Mulighed for flere implementeringer
  • Det tilbyder verificerbar, inspicerbar kodebase for at sikre det højeste niveau af beskyttelse
  • Det kan nemt integreres med browsermiljøet
  • Det tilbyder meget detaljerede og velstrukturerede rapporter

Download link: https://sourceforge.net/projects/safe3wvs/files

32) Websikkerhed:

Websecurify er et stærkt sikkerhedstestmiljø. Det er en brugervenlig grænseflade, som er enkel og nem at bruge. Det tilbyder en kombination af automatiske og manuelle testteknologier til sårbarhed.

Funktioner:

  • God test- og scanningsteknologi
  • Stærk testmotor til at opdage URL'er
  • Det kan udvides med mange tilgængelige tilføjelser
  • Den er tilgængelig til alle de større stationære og mobile platforme

Download link: https://www.websecurify.com/

33) Vega:

Vega er en open source websikkerhedsscanner og pen-testplatform til at teste sikkerheden ved webapplikationer.

Funktioner:

  • Automatiseret, manuel og hybrid sikkerhedstest
  • Det hjælper brugere med at finde sårbarheder. Det kan være scripting på tværs af websteder, lagret scripting på tværs af steder, blind SQL-injektion, shellinjektion osv.
  • Det kan automatisk logge ind på websteder, når de leveres med brugeroplysninger
  • Det kører effektivt på Linux, OS X og Windows
  • Vega-detektionsmoduler er skrevet i JavaScript

Download link: https://subgraph.com/vega/download/index.da.html

34) Wapiti:

Wapiti er et andet berømt værktøj til penetrationstest. Det giver mulighed for revision af webapplikationernes sikkerhed. Det understøtter både GET og POST HTTP-metoder til sårbarhedskontrol.

Funktioner:

  • Genererer sårbarhedsrapporter i forskellige formater
  • Det kan suspendere og genoptage en scanning eller et angreb
  • Hurtig og nem måde at aktivere og deaktivere angrebsmoduler på
  • Understøtter HTTP- og HTTPS-proxyer
  • Det giver mulighed for at begrænse scanningen
  • Automatisk fjernelse af en parameter i webadresser
  • Import af cookies
  • Det kan aktivere eller deaktivere verifikation af SSL-certifikater
  • Uddrag URL'er fra Flash SWF-filer

Download link: https://sourceforge.net/projects/wapiti/files/

35) Kismet:

Kismet er en trådløs netværksdetektor og system til detektion af indtrængen. Det fungerer med Wi-Fi-netværk, men kan udvides via plugins, da det giver mulighed for at håndtere andre netværkstyper.

Funktioner:

  • Tillader standard PCAP-logning
  • Klient / server modulær arkitektur
  • Plug-in-arkitektur for at udvide kernefunktioner
  • Understøttelse af flere optagelseskilder
  • Distribueret fjern sniffing via let fjernbetjening
  • XML-output til integration med andre værktøjer

Download link: https://www.kismetwireless.net/downloads/

36) Kali Linux:

Kali Linux er et open source-testværktøj, der vedligeholdes og finansieres af Offensive Security.

Funktioner:

  • Fuld tilpasning af Kali ISO'er med live-build for at skabe tilpassede Kali Linux-billeder
  • Den indeholder en masse Metapakkesamlinger, der samler forskellige værktøjssæt
  • ISO of Doom og andre Kali-opskrifter
  • Diskkryptering på Raspberry Pi 2
  • Live USB med flere persistensbutikker

Download link: https://www.kali.org/

37) Papegøje sikkerhed:

Parrot Security er et pen-testværktøj. Det tilbyder fuldt bærbart laboratorium til sikkerhed og digitale retsmedicinske eksperter. Det hjælper også brugere med at beskytte deres privatliv med anonymitet og kryptoværktøjer.

Funktioner:

  • Det inkluderer et komplet arsenal af sikkerhedsorienterede værktøjer til at udføre penetrationstest, sikkerhedsrevision og mere.
  • Den leveres med forudinstallerede og nyttige og opdaterede biblioteker
  • Tilbyder stærke verdensomspændende spejlservere
  • Tillader samfundsdrevet udvikling
  • Tilbyder separat Cloud OS specielt designet til servere

Download link: https://www.parrotsec.org/download/

38) OpenSSL:

Dette værktøjssæt er licenseret under en Apache-licens. Det er gratis og open source-projekt, der giver et komplet værktøjssæt til TLS- og SSL-protokoller.

Funktioner:

  • Den er skrevet i C, men indpakninger er tilgængelige på mange computersprog
  • Biblioteket indeholder værktøjer til at generere RSA private nøgler og Certificate Signing Requests
  • Bekræft CSR-fil
  • Fjern adgangsfrasen helt fra nøglen
  • Opret ny privat nøgle, og tillad anmodning om certifikatsignering

Download link: https://www.openssl.org/source/

39) Snort:

Snort er et åbent kildeindtrængningsdetekterings- og pen-testsystem. Det giver fordelene ved signaturprotokol- og anomalibaserede inspektionsmetoder. Dette værktøj hjælper brugerne med at få maksimal beskyttelse mod malwareangreb.

Funktioner:

  • Snort blev kendt for at være i stand til at opdage trusler præcist ved høje hastigheder
  • Beskyt dit arbejdsområde fra nye angreb hurtigt
  • Snort kan bruges til at skabe tilpassede unikke netværkssikkerhedsløsninger
  • Test SSL-certifikat for en bestemt URL
  • Det kan kontrollere, om bestemt chiffer accepteres på URL
  • Bekræft certifikatunderskrivermyndigheden
  • Evne til at indsende falske positive / negativer

Download link: https://www.snort.org/downloads

40) Bagkasse:

BackBox er et open source-fællesskabsprojekt med det formål at forbedre sikkerhedskulturen i it-miljøet. Den fås i to forskellige varianter som Backbox Linux og Backbox Cloud. Den inkluderer nogle af de mest kendte / brugte sikkerheds- og analyseværktøjer.

Funktioner:

  • Det er nyttigt værktøj til at reducere virksomhedens ressourcebehov og lavere omkostninger til styring af flere netværksenhedskrav
  • Det er fuldautomatisk pen-testværktøj. Så ingen agenter og ingen netværkskonfiguration er nødvendige for at foretage ændringer. For at udføre planlagt automatisk konfiguration
  • Sikker adgang til enheder
  • Organisationer kan spare tid, da der ikke er behov for at spore individuelle netværksenheder
  • Understøtter legitimations- og konfigurationsfilkryptering
  • Selvbackup og automatisk fjernlagring
  • Tilbyder IP-baseret adgangskontrol
  • Ingen grund til at skrive kommando, da den kommer med forudkonfigurerede kommandoer

Download link: https://www.backbox.org/download/

41) THC Hydra:

Hydra er et paralleliseret login-cracker- og pen-testværktøj. Det er meget hurtigt og fleksibelt, og nye moduler er nemme at tilføje. Dette værktøj giver forskere og sikkerhedskonsulenter mulighed for at finde uautoriseret adgang.

Funktioner:

  • Fuldtids-hukommelse kompromis-værktøjssuiter sammen med regnbue bordgenerering, sortering, konvertering og slå op
  • Det understøtter regnbue bord af enhver hash-algoritme
  • Støt regnbuebordet i ethvert charset
  • Understøtter regnbue bord i kompakt eller rå filformat
  • Beregning på multi-core processor support
  • Kører på Windows- og Linux-operativsystemer
  • Filformat for ensartet regnbuebord på alt understøttet operativsystem
  • Support GUI og Command line brugergrænseflade

Download link: https://github.com/vanhauser-thc/thc-hydra

42) Aletermonitor:

Open Threat Exchange Reputation Monitor er en gratis tjeneste. Det giver fagfolk mulighed for at spore deres organisations omdømme. Ved hjælp af dette værktøj kan virksomheder og organisationer spore deres aktivers offentlige IP og domæneomdømme.

Funktioner:

  • Overvåger cloud, hybrid cloud og lokal infrastruktur
  • Leverer kontinuerlig trusselintelligens for at holde opdatering om trusler, når de opstår
  • Tilbyder de mest omfattende direktiver om detektion af trusler og handlinger, der kan handle
  • Implementerer hurtigt, nemt og med mindre antal bestræbelser
  • Reducerer TCO over traditionelle sikkerhedsløsninger

Download link: https://cybersecurity.att.com/products/usm-anywhere/free-trial

43) John the Ripper:

John the Ripper kendt som JTR er et meget populært værktøj til krakning af adgangskoder. Det bruges primært til at udføre ordbogangreb. Det hjælper med at identificere svage adgangskodesårbarheder i et netværk. Det understøtter også brugere fra brute force og rainbow crack-angreb.

Funktioner:

  • John the Ripper er gratis og open source-software
  • Proaktivt modul til kontrol af adgangskodestyrke
  • Det gør det muligt at gennemse dokumentationen online
  • Støtte til mange ekstra hash- og krypteringstyper
  • Giver mulighed for at gennemse dokumentationen online inklusive oversigt over ændringer mellem to versioner

Download link: https://www.openwall.com/john/

44) Safe3-scanner:

Safe3WVS er et af de mest kraftfulde testværktøjer til internetsårbarhed. Det leveres med web-edderkopcrawlingsteknologi, især webportaler. Det er det hurtigste værktøj til at finde problemer som SQL-injektion, upload sårbarhed og mere.

Funktioner:

  • Fuld support til grundlæggende, fordøjelses- og HTTP-godkendelser.
  • Intelligent webspider automatisk fjerner gentagne websider
  • En automatisk JavaScript-analysator giver support til udpakning af webadresser fra Ajax, Web 2.0 og andre applikationer
  • Support til scanning af SQL-indsprøjtning, upload-sårbarhed, admin-sti og sårbarhed over biblioteklister

Download link: https://sourceforge.net/projects/safe3wvs/files/latest/download

45) CloudFlare:

CloudFlare er CDN med robuste sikkerhedsfunktioner. Online trusler spænder fra kommentarspam og overdreven bot-crawling til ondsindede angreb som SQL-injektion. Det giver beskyttelse mod kommentarspam, overdreven bot-crawling og ondsindede angreb.

Funktion:

  • Det er et DDoS-beskyttelsesnetværk i virksomhedsklasse
  • Webapplikation firewall hjælper fra den samlede intelligens af hele netværket
  • Registrering af domæne ved hjælp af CloudFlare er den sikreste måde at beskytte mod domæne-kapring
  • Rate Limiting-funktion beskytter brugerens kritiske ressourcer. Det blokerer besøgende med mistænkeligt antal anmodningshastigheder.
  • CloudFlare Orbit løser sikkerhedsproblemer for IOT-enheder

Download link: https://www.cloudflare.com/

46) Zenmap

Zenmap er den officielle Nmap Security Scanner-software. Det er en multi-platform gratis og open source-applikation. Det er let at bruge for begyndere, men tilbyder også avancerede funktioner til erfarne brugere.

Funktioner:

  • Interaktiv og grafisk resultatvisning
  • Den opsummerer detaljer om en enkelt vært eller en komplet scanning i et praktisk display.
  • Det kan endda tegne et topologikort over opdagede netværk.
  • Det kan vise forskellene mellem to scanninger.
  • Det giver administratorer mulighed for at spore nye værter eller tjenester, der vises på deres netværk. Eller spore eksisterende tjenester, der går ned

Download link: https://nmap.org/download.html

De andre værktøjer, der kan være nyttige til penetrationstest, er

  • Acunetix: Det er en websårbarhedsscanner målrettet mod webapplikationer. Det er dyrt værktøj sammenlignet med andre og giver mulighed som test af test på tværs af websteder, rapporter om PCI-overholdelse, SQL-injektion osv.
  • Nethinden: Det ligner mere værktøjer til styring af sårbarheder end et værktøj til testning
  • Nessus: Det koncentrerer sig om overholdelseskontrol, følsomme datasøgninger, IP-scanning, websidescanning osv.
  • Netsparker: Dette værktøj leveres med en robust webapplikationsscanner, der identificerer sårbarheder og foreslår løsninger. Der er gratis begrænsede forsøg til rådighed, men det meste af tiden er det et kommercielt produkt. Det hjælper også med at udnytte SQL-injektion og LFI (Local File Induction)
  • CORE Impact: Denne software kan bruges til penetrering af mobilenheder, identifikation og cracking af adgangskoder, netværksudvikling af penetration osv.
  • Burpsuite: Som andre er denne software også et kommercielt produkt. Det fungerer ved at opsnappe proxy, scanning af webapplikationer, gennemgå indhold og funktionalitet osv. Fordelen ved at bruge Burpsuite er, at du kan bruge dette i Windows, Linux og Mac OS X-miljø.