企业与个人必备安全测试工具

admin 2022年6月27日10:04:41安全工具评论22 views2346字阅读7分49秒阅读模式

0x01 Web漏洞扫描

1.Appsacn

AppScan是IBM的一款web应用安全测试工具,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)等。其漏洞扫描速度一般,准确率最高,漏洞规则库最全面。漏洞验证可查看请求相应代码,拥有较完整的漏洞修复建议。报表功能完整。


2.AWVS

自动化的web应用程序安全测试工具,可以扫描任何通过web浏览器访问的和遵循HTTP/HTTPS规则的web站点和应用。漏洞扫描速度较快,准确率较高,漏洞规则库较为全面。漏洞验证可查看请求响应代码,报表功能完整。有多重漏洞的验证工具。


3.Burp Suite 集成插件

shiro漏洞检测

https://github.com/pmiaowu/BurpShiroPassiveScan


Struts2漏洞检测

https://github.com/prakharathreya/Struts2-RCE


Fastjson漏洞检测

https://github.com/p1g3/Fastjson-Scanner


burp漏洞插件检测列表,文末提供下载。

企业与个人必备安全测试工具


0x02 第三方开源软件漏洞扫描

Application Inspector

微软开源了快速检查第三方开源组件安全问题的命令行工具 Application Inspector,源代码采用MIT 许可证发布在软件巨人旗下的托管平台 GitHub 上。这个静态源代码分析工具用于帮助开发者在整合第三方开源组件时处理潜在的安全问题。

https://github.com/microsoft/ApplicationInspector


0x03 主机漏洞扫描

1.Nexpose

Nexpose自身的功能非常强大。可以更新其漏洞数据库,以保证最新的漏洞被扫描到。可以给出哪些漏洞可以被Metasploit Exploit,哪些漏洞在Exploit-db里面有exploit的方案。可以生成非常详细的,非常强大的Report,涵盖了很多统计功能和漏洞的详细信息。

http://www.rapid7.com/vulnerability-scanner.jsp


2.OpenVAS

OpenVAS 是 Nessus 项目的一个开源分支,配置使用相较于 Nessus 更加复杂,扫描速度也不如 Nessus ,但是胜在开源免费。相比于 Nessus ,OpenVAS 的漏洞评估更加侧重系统内部的漏洞,尤其是在 Linux 内核级的漏洞检测上尤为明显。

https://www.openvas.org/


3.Nessus

全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。

https://blog.csdn.net/weixin_41924764/article/details/109550459


0x04 数据库漏洞扫描

Scuba用于扫描数据库,查找安全漏洞配置缺陷(包括修补级别),其针对 Oracle Database、Microsoft SQL Server、SAP Sybase、IBM DB2、Informix 和 MySQL 提供了接近 1200 次评估测试。

https://www.cnblogs.com/fsxsmile/p/14840028.html


0x05 Docker安全扫描

DockerScan专门对docker镜像安全测试的工具,采用python开发,支持敏感信息的扫描,例如:在环境变量中查找密码、尝试在环境变量中查找任何 URL/IP、尝试推断内部用于运行软件的用户等。

https://github.com/cr0hn/dockerscan


0x06 安卓APP漏洞扫描

QARK,该工具用于分析那些用Java语言开发的Android应用中的潜在安全缺陷。QARK 全称 Quick Android Review Kit。这个工具用来寻找与 Android 应用相关的安全漏洞,包括检查源代码和打包的 APKs。

https://github.com/linkedin/qark


0x07 代码安全扫描

Fortify 全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果包含详细的安全漏洞信息、安全知识说明、修复意见。支持21种语言。文末附下载地址。


0x08 应用安全漏洞扫描

Webinspect主要是对Web应用程序进行网络应用安全测试和评估。它提供了快速扫描功能,并能进行广泛的安全评估,并给出准确的Web应用程序安全扫描结果。

https://www.uedbox.com/post/6487/


0x09 项目依赖扫描

DependencyCheck用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、PHP、Node.js、Python等语言编写的程序,并为C/C++构建系统提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。

https://github.com/jeremylong/DependencyCheck


公众号回复:0627,获取所有工具包。


企业与个人必备安全测试工具


声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白名单。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与本公众号无关。

原文始发于微信公众号(白帽学子):企业与个人必备安全测试工具

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日10:04:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  企业与个人必备安全测试工具 http://cn-sec.com/archives/1146018.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: