40 Vapt alata za najbolje ispitivanje prodiranja (test olovke) 2021. godine

Anonim
Alati za ispitivanje prodiranja pomažu u prepoznavanju sigurnosnih slabosti u mreži, poslužitelju ili web aplikaciji. Ovi su alati vrlo korisni jer vam omogućuju prepoznavanje "nepoznatih ranjivosti" u softveru i mrežnim aplikacijama koje mogu prouzročiti narušavanje sigurnosti. Alati za procjenu ranjivosti i testiranje prodiranja (VAPT) napadaju vaš sustav unutar mreže i izvan nje kao da bi je haker napao. Ako je neovlašteni pristup moguć, sustav se mora ispraviti. Evo popisa najboljih 40 alata za ispitivanje penetracije

1) Netsparker

Netsparker je jednostavan za korištenje sigurnosni skener web aplikacija koji može automatski pronaći SQL Injection, XSS i druge ranjivosti u vašim web aplikacijama i web uslugama. Dostupno je kao lokalno i SAAS rješenje. Značajke
  • Mrtvo precizno otkrivanje ranjivosti s jedinstvenom dokaznom tehnologijom skeniranja.
  • Potrebna je minimalna konfiguracija. Skener automatski otkriva pravila prepisivanja URL-a, prilagođene stranice s pogreškama 404.
  • REST API za besprijekornu integraciju sa SDLC-om, sustavima za praćenje bugova itd.
  • Potpuno skalabilno rješenje. Skenirajte 1.000 web aplikacija u samo 24 sata.

2) Acunetix

Acunetix je potpuno automatizirani alat za ispitivanje penetracije. Njegov sigurnosni skener web aplikacija precizno skenira HTML5, JavaScript i aplikacije na jednoj stranici. Može revidirati složene, provjerene web stranice i izdavati izvješća o usklađenosti i upravljanju širokim rasponom ranjivosti na webu i mreži, uključujući ranjivosti izvan opsega.

Značajke:

  • Skenira sve inačice SQL Injection, XSS i 4500+ dodatnih ranjivosti
  • Otkriva preko 1200 WordPressovih ranjivosti jezgre, teme i dodatka
  • Brzo i skalabilno - indeksira stotine tisuća stranica bez prekida
  • Integrira se s popularnim WAF-ovima i programima za praćenje problema kako bi pomogao u SDLC-u
  • Dostupno u prostorijama i kao rješenje u oblaku.

3) uljez

Intruder je moćan, automatiziran alat za testiranje penetracije koji otkriva sigurnosne slabosti u vašem IT okruženju. Nudeći vodeće sigurnosne provjere u industriji, kontinuirano praćenje i platformu jednostavnu za upotrebu, Intruder štiti tvrtke svih veličina od hakera.

Značajke

  • Pokrivanje prijetnje najbolje u klasi s preko 10 000 sigurnosnih provjera
  • Provjerava slabosti konfiguracije, nedostajuće zakrpe, slabosti aplikacija (poput SQL ubrizgavanja i skriptiranja na više lokacija) i još mnogo toga
  • Automatska analiza i određivanje prioriteta rezultata skeniranja
  • Intuitivno sučelje, brzo se postavlja i pokreće prva skeniranja
  • Proaktivni nadzor sigurnosti za najnovije ranjivosti
  • AWS, Azure i Google Cloud konektori
  • API integracija s vašim CI / CD cjevovodom

4) Indusface

Indusface WAS nudi ručno testiranje penetracije i automatizirano skeniranje za otkrivanje i prijavljivanje ranjivosti na temelju OWASP top 10 i SANS top 25.

Značajke

  • Alat za indeksiranje skenira aplikacije na jednoj stranici
  • Značajka pauze i nastavka
  • Izvješća ručnog PT-a i automatiziranog skenera prikazana su na istoj nadzornoj ploči
  • Neograničeni dokaz zahtjeva za konceptom nudi dokaze o prijavljenim ranjivostima i pomaže u uklanjanju lažno pozitivnih rezultata iz automatskih nalaza skeniranja
  • Neobavezna integracija WAF-a za pružanje trenutnog virtualnog zakrpa s Zero False positive
  • Automatski proširuje pokrivenost indeksiranjem na temelju stvarnih podataka o prometu iz WAF sustava (ako se WAF pretplati i koristi)
  • Podrška 24 × 7 za raspravu o smjernicama za sanaciju / POC

5) Softver za otkrivanje upada

Softver za otkrivanje upada alat je koji vam omogućuje otkrivanje svih vrsta naprednih prijetnji. Pruža izvještavanje o usklađenosti za DSS (sustav za podršku odlučivanju) i HIPAA. Ova aplikacija može kontinuirano nadzirati sumnjive napade i aktivnosti.

Značajke:

  • Minimizirajte napore za otkrivanje upada.
  • Nudi usklađenost s učinkovitim izvještavanjem.
  • Pruža zapisnike u stvarnom vremenu.
  • Može otkriti zlonamjerne IP adrese, aplikacije, račune i još mnogo toga.

6) Traceroute NG

Traceroute NG je aplikacija koja vam omogućuje analizu mrežne staze. Ovaj softver može prepoznati IP adrese, imena hostova i gubitak paketa. Pruža točnu analizu putem sučelja naredbenog retka

Značajke:

  • Nudi analizu TCP i ICMP mrežne staze.
  • Ovaj program može stvoriti txt datoteku dnevnika.
  • Podržava i IP4 i IPV6.
  • Otkrijte promjene putanje i dajte vam obavijest.
  • Omogućuje kontinuirano ispitivanje mreže.

7) ExpressVPN

ExpressVPN osigurava pregledavanje interneta protiv agencija s tri slova i prevaranata. Nudi neograničen pristup glazbi, društvenim mrežama i video zapisima, tako da ti programi nikad ne bilježe IP adrese, povijest pregledavanja, DNS upite ili odredište prometa.

Značajke:

  • Poslužitelji na 160 lokacija i 94 zemlje
  • Povežite se s VPN-om bez ograničenja propusnosti.
  • Pruža mrežnu zaštitu pomoću zaštite od propuštanja i šifriranja.
  • Budite sigurni skrivanjem IP adrese i šifriranjem mrežnih podataka.
  • Pomoć je dostupna 24/7 putem e-pošte, kao i chat uživo.
  • Platite Bitcoinom i koristite Tor za pristup skrivenim web lokacijama.

8) Owasp

Projekt sigurnosti otvorenih web aplikacija (OWASP) svjetska je neprofitna organizacija usmjerena na poboljšanje sigurnosti softvera. Projekt ima više alata za testiranje različitih softverskih okruženja i protokola. Vodeći alati projekta uključuju

  1. Zed Attack Proxy (ZAP - integrirani alat za testiranje penetracije)
  2. OWASP provjera ovisnosti (skenira ovisnosti o projektu i provjerava postojeće ranjivosti)
  3. Projekt okruženja za web testiranje OWASP (zbirka sigurnosnih alata i dokumentacije)

Vodič za testiranje OWASP-a daje "najbolju praksu" ispitivanju penetracije, najčešće web aplikacije

Owasp veza

9) WireShark

Wireshark je pentest alat za mrežnu analizu koji je prije bio poznat kao Ethereal. Snima pakete u stvarnom vremenu i prikazuje ih u čitljivom formatu. U osnovi, to je analizator mrežnih paketa - koji pruža detaljne detalje o vašim mrežnim protokolima, dešifriranju, podacima o paketima itd. Otvoreni je izvor i može se koristiti na Linuxu, Windowsu, OS X, Solarisu, NetBSD, FreeBSD i mnogim drugim drugi sustavi. Informacije do kojih se dolazi putem ovog alata mogu se pregledati putem GUI-a ili uslužnog programa TShark u načinu TTY.

Značajke WireSharka uključuju

  • Snimanje uživo i izvanmrežna analiza
  • Bogata VoIP analiza
  • Datoteke za snimanje komprimirane gzipom mogu se dekomprimirati u hodu
  • Izlaz se može izvesti u XML, PostScript, CSV ili običan tekst
  • Više platformi: Radi na Windowsima, Linuxu, FreeBSD-u, NetBSD-u i mnogim drugima
  • Podaci uživo mogu se čitati s interneta, PPP / HDLC-a, bankomata, plavog zuba, USB-a, tokena, itd.
  • Podrška za dešifriranje mnogih protokola koji uključuju IPsec, ISAKMP, SSL / TLS, WEP i WPA / WPA2
  • Za brzu intuitivnu analizu na paket se mogu primijeniti pravila bojanja
  • Čitanje / pisanje mnogih različitih formata datoteka za snimanje

Preuzimanje Wiresharka

10) w3af

w3af je okvir za nadzor i reviziju web aplikacija. Ima tri vrste dodataka; otkrivanje, revizija i napad koji međusobno komuniciraju za bilo kakve ranjivosti na web mjestu, na primjer dodatak za otkrivanje u w3af traži različite URL-ove za testiranje ranjivosti i prosljeđuje ih dodatku za reviziju koji zatim koristi ove URL-ove za traženje ranjivosti.

Također se može konfigurirati za pokretanje kao MITM proxy. Presretnuti zahtjev mogao bi se poslati generatoru zahtjeva, a zatim se može izvršiti ručno testiranje web aplikacija pomoću promjenjivih parametara. Također ima značajke za iskorištavanje ranjivosti koje pronađe.

Značajke W3af

  • Proxy podrška
  • HTTP predmemorija odgovora
  • DNS predmemorija
  • Učitavanje datoteke pomoću više dijelova
  • Rukovanje kolačićima
  • HTTP osnovna i digest provjera autentičnosti
  • Lažiranje korisničkog agenta
  • Zahtjevima dodajte prilagođena zaglavlja

veza za preuzimanje w3af

11) Metaspoilt

Ovo je najpopularniji i najnapredniji okvir koji se može koristiti za pentest. Riječ je o alatu otvorenog koda koji se temelji na konceptu 'exploit', što znači da prosljeđujete kôd koji krši sigurnosne mjere i ulazite u određeni sustav. Ako se unese, pokreće 'nosivost', kôd koji izvodi operacije na ciljnom stroju, stvarajući tako savršen okvir za testiranje penetracije. Izvrstan je test alata za testiranje je li IDS uspješan u sprečavanju napada koje zaobilazimo

Metaspoilt se može koristiti na mrežama, aplikacijama, poslužiteljima itd. Ima naredbeni redak i GUI sučelje na koje se može kliknuti, radi na Apple Mac OS X, radi na Linuxu i Microsoft Windowsu.

Značajke Metaspoilt-a

  • Osnovno sučelje naredbenog retka
  • Uvoz treće strane
  • Ručno forsiranje brute
  • Ručno forsiranje brute
  • testiranje prodiranja na web stranicu

Metaspoilt link za preuzimanje

12) Kali

Kali radi samo na Linux strojevima. Omogućuje vam izradu rasporeda sigurnosnih kopija i oporavka koji odgovara vašim potrebama. Promovira brz i jednostavan način pronalaženja i ažuriranja dosad najveće baze podataka o zbirci ispitivanja prodora sigurnosti. To je najbolji alat za njuškanje i ubrizgavanje paketa. Stručnost u TCP / IP protokolu i umrežavanju može biti korisna tijekom korištenja ovog alata.

Značajke

  • Dodatak 64-bitne podrške omogućuje brutalno lomljenje lozinke
  • Back Track dolazi s unaprijed učitanim alatima za njuškanje LAN-a i WLAN-a, skeniranje ranjivosti, probijanje lozinki i digitalna forenzika
  • Backtrack se integrira s nekim najboljim alatima kao što su Metaspoilt i Wireshark
  • Uz mrežni alat, uključuje i pidgin, xmms, Mozilla, k3b itd.
  • Podrška za back track KDE i Gnome.

Kali link za preuzimanje

13) Samurajski okvir:

Samurai Web Testing Framework je softver za testiranje olovke. Podržana je na VirtualBoxu i VMWareu koji su unaprijed konfigurirani da funkcioniraju kao okruženje za testiranje web olovke.

Značajke:

  • Otvoreni je izvor, besplatan alat
  • Sadrži najbolje od otvorenog koda i besplatne alate koji su usredotočeni na testiranje i napad na web stranicu
  • Također uključuje unaprijed konfigurirani wiki za postavljanje središnjeg spremišta informacija tijekom testa olovke

Poveznica za preuzimanje: https://sourceforge.net/projects/samurai/files/

14) Zrakoplov:

Aircrack je praktičan alat za bežično testiranje. Pukne ranjive bežične veze. Pokreće ga WEP WPA i WPA 2 ključevi za šifriranje.

Značajke:

  • Podržano više kartica / upravljačkih programa
  • Podržava sve vrste OS-a i platformi
  • Novi WEP napad: PTW
  • Podrška za napad WEP rječnika
  • Podrška za napad fragmentacije
  • Poboljšana brzina praćenja

Poveznica za preuzimanje: https://www.aircrack-ng.org/downloads.html

15) ZAP:

ZAP je jedan od najpopularnijih alata za testiranje sigurnosti otvorenog koda. Održavaju ga stotine međunarodnih volontera. Korisnicima može pomoći u pronalaženju sigurnosnih ranjivosti u web aplikacijama tijekom faze razvoja i testiranja.

Značajke:

  • Pomaže u identificiranju sigurnosnih rupa prisutnih u web aplikaciji simuliranjem stvarnog napada
  • Pasivno skeniranje analizira odgovore poslužitelja kako bi se identificirali određeni problemi
  • Pokušava grubu silu pristup datotekama i direktorijima.
  • Spidering značajka pomaže u stvaranju hijerarhijske strukture web stranice
  • Dostavljanje nevaljanih ili neočekivanih podataka radi njihovog rušenja ili stvaranja neočekivanih rezultata
  • Korisni alat za otkrivanje otvorenih portova na ciljanom web mjestu
  • Pruža interaktivnu Java ljusku koja se može koristiti za izvršavanje BeanShell skripti
  • Potpuno je internacionaliziran i podržava 11 jezika

Poveznica za preuzimanje: https://github.com/zaproxy/zaproxy/wiki

16) Sqlmap:

Sqlmap je alat za testiranje penetracije otvorenog koda. Automatizira čitav postupak otkrivanja i iskorištavanja nedostataka ubrizgavanja SQL-a. Dolazi s mnogim mehanizmima za otkrivanje i značajkama za idealan test penetracije.

Značajke:

  • Puna podrška za šest tehnika ubrizgavanja SQL-a
  • Omogućuje izravno povezivanje s bazom podataka bez prolaska putem SQL injekcije
  • Podrška za nabrajanje korisnika, hasheva lozinki, privilegija, uloga, baza podataka, tablica i stupaca
  • Automatsko prepoznavanje lozinke u heš formatima i podrška za njihovo razbijanje
  • Podrška za izbacivanje tablica baze podataka u potpunosti ili određenih stupaca
  • Korisnici također mogu odabrati niz znakova iz unosa svakog stupca
  • Omogućuje uspostavljanje TCP veze između pogođenog sustava i poslužitelja baze podataka
  • Podrška za traženje određenih imena baza podataka, tablica ili određenih stupaca u svim bazama podataka i tablicama
  • Omogućuje izvršavanje proizvoljnih naredbi i dohvaćanje njihovog standardnog izlaza na poslužitelju baze podataka

Poveznica za preuzimanje: https://github.com/sqlmapproject/sqlmap

17) Sqlninja:

Sqlninja je alat za ispitivanje penetracije. Namijenjen je iskorištavanju ranjivosti SQL Injection na web aplikaciji. Kao pozadinu koristi Microsoft SQL Server. Također pruža daljinski pristup na ranjivom DB poslužitelju, čak i u vrlo neprijateljskom okruženju.

Značajke:

  • Otisak prsta udaljenog SQL-a
  • Izdvajanje podataka, temeljeno na vremenu ili pomoću DNS tunela
  • Omogućuje integraciju s Metasploit3-om radi dobivanja grafičkog pristupa udaljenom DB poslužitelju
  • Prijenos izvršne datoteke koristeći samo uobičajene HTTP zahtjeve putem VBScripta ili debug.exe
  • Izravna i obrnuta vezana školjka, i za TCP i UDP
  • Izrada prilagođene xp cmdshell ako originalna nije dostupna na w2k3 pomoću otmice tokena

Poveznica za preuzimanje: http://sqlninja.sourceforge.net/download.html

18) BeEF:

Okvir za iskorištavanje preglednika. To je alat za pentestiranje koji se fokusira na web preglednik. Koristi GitHub za praćenje problema i hostiranje svog git spremišta.

Značajke:

  • Omogućuje provjeru stvarnog sigurnosnog položaja pomoću vektora napada na strani klijenta
  • BeEF omogućuje povezivanje s jednim ili više web preglednika. Tada se može koristiti za pokretanje usmjerenih zapovjednih modula i daljnje napade na sustav.

Poveznica za preuzimanje: http://beefproject.com

19) Dradis:

Dradis je okvir otvorenog koda za ispitivanje penetracije. Omogućuje održavanje podataka koji se mogu podijeliti među sudionicima testa olovke. Prikupljene informacije pomažu korisnicima da shvate što je dovršeno, a što potrebno.

Značajke:

  • Jednostavan postupak za generiranje izvješća
  • Podrška za privitke
  • Besprijekorna suradnja
  • Integracija s postojećim sustavima i alatima pomoću poslužiteljskih dodataka
  • Neovisna o platformi

Poveznica za preuzimanje: https://dradisframework.com/ce

20) Brzi 7:

Nexpose Rapid 7 koristan je softver za upravljanje ranjivostima. Nadgleda izloženost u stvarnom vremenu i prilagođava se novim prijetnjama svježim podacima koji pomažu korisnicima da djeluju u trenutku udara.

Značajke:

  • Steknite pogled na rizik u stvarnom vremenu
  • Donosi inovativna i progresivna rješenja koja pomažu korisniku da obavi svoj posao
  • Znajte gdje se usredotočiti
  • Unesite više u svoj sigurnosni program

Poveznica za preuzimanje: https://www.rapid7.com/products/nexpose/download/

21) Hping:

Hping je alat za testiranje olovke za analizator paketa TCP / IP. Ovo je sučelje nadahnuto za naredbu ping (8) UNIX. Podržava TCP, ICMP, UDP i RAW-IP protokole.

Značajke:

  • Omogućuje testiranje vatrozida
  • Napredno skeniranje porta
  • Mrežno testiranje, upotreba različitih protokola, TOS, fragmentacija
  • Otkrivanje MTU ručnog puta
  • Napredna trasa sa svim podržanim protokolima
  • Udaljeni OS otisci prstiju i pogađanje vremena rada
  • Revizija TCP / IP stogova

Poveznica za preuzimanje: https://github.com/antirez/hping

22) SuperScan:

Superscan je besplatni alat za testiranje penetracije samo sa zatvorenim izvorom. Također uključuje mrežne alate kao što su ping, traceroute, whois i HTTP HEAD.

Značajka:

  • Vrhunska brzina skeniranja
  • Podrška za neograničeni raspon IP adresa
  • Poboljšano otkrivanje hosta korištenjem višestrukih ICMP metoda
  • Pružite podršku za TCP SYN skeniranje
  • Jednostavno generiranje HTML izvještaja
  • Skeniranje izvornog porta
  • Opsežno hvatanje transparenta
  • Velika ugrađena baza podataka opisa popisa luka
  • Randomizacija redoslijeda skeniranja IP-a i porta
  • Opsežna mogućnost nabrajanja Windows hosta

Poveznica za preuzimanje: https://superscan.en.softonic.com/

23) ISS skener:

IBM Internet Scanner alat je za testiranje olovaka koji nudi temelje za učinkovitu mrežnu sigurnost za bilo koje poslovanje.

Značajke:

  • Internet Scanner umanjuje poslovni rizik pronalaženjem slabih mjesta u mreži
  • Omogućuje automatizaciju skeniranja i otkrivanje ranjivosti
  • Internet Scanner smanjuje rizik utvrđivanjem sigurnosnih rupa ili ranjivosti na mreži
  • Kompletno upravljanje ranjivostima
  • Internet Scanner može prepoznati više od 1300 vrsta umreženih uređaja

Poveznica za preuzimanje : https://www.ibm.com/products/trials

24) Scapy:

Scapy je moćan i interaktivan alat za testiranje olovke. Može se nositi s mnogim klasičnim zadacima poput skeniranja, ispitivanja i napada na mrežu.

Značajke:

  • Izvršava neke specifične zadatke poput slanja nevaljanih okvira, ubrizgavanjem 802.11 okvira. Koristi razne tehnike kombiniranja što je teško učiniti s drugim alatima
  • Omogućuje korisniku da gradi točno pakete koje želi
  • Smanjuje broj redaka napisanih za izvršavanje određenog koda

Poveznica za preuzimanje: https://scapy.net/

25) IronWASP:

IronWASP je softver otvorenog koda za testiranje ranjivosti web aplikacija. Dizajniran je kako bi se prilagodio tako da korisnici mogu stvoriti vlastite sigurnosne skenere pomoću njega.

Značajke:

  • Grafički korisnički zaslon i vrlo jednostavan za korištenje
  • Ima moćan i učinkovit mehanizam za skeniranje
  • Podrška za snimanje redoslijeda prijave
  • Izvještavanje u HTML i RTF formatima
  • Provjerava više od 25 vrsta web ranjivosti
  • Podrška za otkrivanje lažnih pozitivnih i negativnih rezultata
  • Podržava Python i Ruby
  • Proširivo pomoću dodataka ili modula u Pythonu, Rubyu, C # ili VB.NET

Poveznica za preuzimanje: http://ironwasp.org/download.html

26) Ettercap:

Ettercap je sveobuhvatan alat za testiranje olovke. Podržava aktivno i pasivno seciranje. Također uključuje mnoge značajke za analizu mreže i hosta.

Značajke:

  • Podržava aktivno i pasivno seciranje mnogih protokola
  • Značajka trovanja ARP-om za njuškanje na prebačenom LAN-u između dva hosta
  • Znakovi se mogu ubrizgati u poslužitelj ili klijentu, a da se istovremeno održava aktivna veza
  • Ettercap je sposoban njušiti SSH vezu u full duplexu
  • Omogućuje njuškanje zaštićenih HTTP SSL podataka čak i kada je veza uspostavljena pomoću proxyja
  • Omogućuje izradu prilagođenih dodataka pomoću Ettercapovog API-ja

Poveznica za preuzimanje: https://www.ettercap-project.org/downloads.html

27) Sigurnosni luk:

Sigurnost luk je alat za ispitivanje penetracije. Koristi se za otkrivanje upada i nadzor mrežne sigurnosti. Ima jednostavan za korištenje čarobnjaka za postavljanje koji omogućava korisnicima da izgrade vojsku distribuiranih senzora za svoje poduzeće.

Značajke:

  • Izgrađen je na distribuiranom modelu klijent-poslužitelj
  • Nadzor mrežne sigurnosti omogućuje praćenje sigurnosnih događaja
  • Nudi potpuno hvatanje paketa
  • Sustavi za otkrivanje upada zasnovani na mreži i hostu
  • Ugrađen je mehanizam za pročišćavanje starih podataka prije nego što se uređaj za pohranu napuni do svog kapaciteta

Poveznica za preuzimanje: https://securityonion.net/

28) Osobni inspektor softvera:

Personal Software Inspector je rješenje računalne sigurnosti otvorenog koda. Ovaj alat može identificirati ranjivosti u aplikacijama na računalu ili poslužitelju.

Značajke:

  • Dostupan je na osam različitih jezika
  • Automatizira ažuriranja za nesigurne programe
  • Obuhvaća tisuće programa i automatski otkriva nesigurne programe
  • Ovaj alat za testiranje olovke automatski i redovito skenira računalo u potrazi za ranjivim programima
  • Otkriva i obavještava programe koji se ne mogu automatski ažurirati

Poveznica za preuzimanje: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager

29) HconSTF:

HconSTF je alat za ispitivanje prodora otvorenog koda zasnovan na različitim tehnologijama preglednika. Pomaže svakom sigurnosnom stručnjaku da pomogne u ispitivanju penetracije. Sadrži web alate koji su moćni u izvršavanju XSS, SQL ubrizgavanja, CSRF, Trace XSS, RFI, LFI itd.

Značajke:

  • Kategorizirani i sveobuhvatni set alata
  • Svaka je opcija konfigurirana za ispitivanje penetracije
  • Posebno konfiguriran i poboljšan za dobivanje čvrste anonimnosti
  • Radi za procjene testiranja web aplikacija
  • Jednostavan za upotrebu i suradnički operativni sustav

Poveznica za preuzimanje: http://www.hcon.in/

30) IBM Security AppScan:

IBM Security AppScan pomaže poboljšati sigurnost web aplikacija i sigurnost mobilnih aplikacija. Poboljšava sigurnost aplikacija i jača usklađenost s propisima. Korisnicima pomaže u prepoznavanju sigurnosnih ranjivosti i generiranju izvješća.

Značajke:

  • Omogućite razvoju i osiguranju kvalitete za provođenje testiranja tijekom SDLC procesa
  • Kontrolirajte koje aplikacije svaki korisnik može testirati
  • Jednostavno distribuirajte izvješća
  • Povećajte vidljivost i bolje razumite rizike poduzeća
  • Usredotočite se na pronalaženje i rješavanje problema
  • Kontrolirajte pristup informacijama

Poveznica za preuzimanje: http://www-03.ibm.com/software/products/en/appscan

31) Arachni:

Arachni je alat za testiranje i administratore penetracije koji se temelji na Ruby framework-u. Koristi se za procjenu sigurnosti modernih web aplikacija.

Značajke:

  • Svestrani je alat pa pokriva velik broj slučajeva korištenja. To se kreće od jednostavnog uslužnog programa za skeniranje naredbenog retka do globalne mreže skenera visokih performansi
  • Opcija za višestruku implementaciju
  • Nudi provjerljivu, provjerljivu bazu koda kako bi se osigurala najviša razina zaštite
  • Lako se može integrirati s okolinom preglednika
  • Nudi visoko detaljna i dobro strukturirana izvješća

Poveznica za preuzimanje: https://sourceforge.net/projects/safe3wvs/files

32) Websecurify:

Websecurify je moćno okruženje za testiranje sigurnosti. Korisničko je sučelje jednostavno i jednostavno za upotrebu. Nudi kombinaciju automatskih i ručnih tehnologija ispitivanja ranjivosti.

Značajke:

  • Dobra tehnologija testiranja i skeniranja
  • Snažan mehanizam za testiranje za otkrivanje URL-ova
  • Proširiv je s mnogim dostupnim dodacima
  • Dostupan je za sve glavne stolne i mobilne platforme

Poveznica za preuzimanje: https://www.websecurify.com/

33) Vega:

Vega je otvoreni izvor skenera za web sigurnost i platforme za testiranje olovaka za testiranje sigurnosti web aplikacija.

Značajke:

  • Automatsko, ručno i hibridno testiranje sigurnosti
  • Korisnicima pomaže u pronalaženju ranjivosti. To može biti skriptiranje na više lokacija, pohranjeno skriptiranje na više mjesta, slijepo ubrizgavanje SQL-a, ubrizgavanje ljuske itd.
  • Može se automatski prijaviti na web stranice ako se dobiju korisničke vjerodajnice
  • Učinkovito radi na Linuxu, OS X i Windowsima
  • Vega moduli za otkrivanje napisani su na JavaScript-u

Poveznica za preuzimanje: https://subgraph.com/vega/download/index.en.html

34) Wapiti:

Wapiti je još jedan poznati alat za testiranje penetracije. Omogućuje reviziju sigurnosti web aplikacija. Podržava i GET i POST HTTP metode za provjeru ranjivosti.

Značajke:

  • Generira izvješća o ranjivosti u različitim formatima
  • Može obustaviti i nastaviti skeniranje ili napad
  • Brz i lak način za aktiviranje i deaktiviranje napadačkih modula
  • Podržava HTTP i HTTPS proxyje
  • Omogućuje ograničavanje opsega skeniranja
  • Automatsko uklanjanje parametra u URL-ovima
  • Uvoz kolačića
  • Može aktivirati ili deaktivirati provjeru SSL certifikata
  • Izdvajanje URL-ova iz Flash SWF datoteka

Poveznica za preuzimanje: https://sourceforge.net/projects/wapiti/files/

35) Kismet:

Kismet je bežični mrežni detektor i sustav za otkrivanje upada. Radi s Wi-Fi mrežama, ali se može proširiti putem dodataka jer omogućuje rukovanje ostalim vrstama mreža.

Značajke:

  • Omogućuje standardno prijavljivanje PCAP-a
  • Klijent / poslužitelj modularna arhitektura
  • Plug-in arhitektura za proširenje osnovnih značajki
  • Podrška za više izvora hvatanja
  • Distribuirano daljinsko njuškanje laganim daljinskim hvatanjem
  • XML izlaz za integraciju s drugim alatima

Poveznica za preuzimanje: https://www.kismetwireless.net/downloads/

36) Kali Linux:

Kali Linux je alat za testiranje olovaka otvorenog koda koji održava i financira Offensive Security.

Značajke:

  • Potpuna prilagodba Kali ISO-ova s ​​live-buildom za stvaranje prilagođenih Kali Linux slika
  • Sadrži gomilu zbirki Meta paketa koji objedinjuju različite skupove alata
  • ISO Doom i drugi recepti Kali
  • Šifriranje diska na Raspberry Pi 2
  • USB uživo s višestrukim prodavaonicama

Poveznica za preuzimanje: https://www.kali.org/

37) Sigurnost papige:

Parrot Security je alat za testiranje olovke. Nudi potpuno prijenosni laboratorij za stručnjake za sigurnost i digitalnu forenziku. Također pomaže korisnicima da zaštite svoju privatnost anonimnošću i kripto alatima.

Značajke:

  • Uključuje puni arsenal sigurnosno orijentiranih alata za provođenje testova penetracije, sigurnosnih revizija i još mnogo toga.
  • Dolazi s unaprijed instaliranim, korisnim i ažuriranim knjižnicama
  • Nudi snažne svjetske zrcalne poslužitelje
  • Omogućuje razvoj vođen zajednicom
  • Nudi zasebni Cloud OS posebno dizajniran za poslužitelje

Poveznica za preuzimanje: https://www.parrotsec.org/download/

38) OpenSSL:

Ovaj set alata licenciran je pod licencom u stilu Apache. Besplatni je projekt s otvorenim kodom koji nudi komplet alata za TLS i SSL protokole.

Značajke:

  • Napisano je na C, ali omoti su dostupni za mnoge računalne jezike
  • Biblioteka uključuje alate za generiranje privatnih ključeva RSA i zahtjeva za potpisivanje certifikata
  • Potvrdite CSR datoteku
  • U potpunosti uklonite zaporku iz ključa
  • Stvorite novi privatni ključ i omogućuje zahtjev za potpisivanje certifikata

Poveznica za preuzimanje: https://www.openssl.org/source/

39) Hrkanje:

Snort je sustav za otkrivanje upada i testiranje olovke otvorenog koda. Nudi blagodati metoda inspekcije temeljenih na protokolu potpisa i anomalijama. Ovaj alat pomaže korisnicima da dobiju maksimalnu zaštitu od napada zlonamjernog softvera.

Značajke:

  • Snort je stekao reputaciju jer je mogao velikom brzinom točno otkriti prijetnje
  • Brzo zaštitite svoj radni prostor od novih napada
  • Snort se može koristiti za stvaranje prilagođenih jedinstvenih mrežnih sigurnosnih rješenja
  • Testirajte SSL certifikat određenog URL-a
  • Može provjeriti prihvaća li se određena šifra na URL-u
  • Provjerite tijelo potpisnika certifikata
  • Mogućnost predaje lažno pozitivnih / negativnih

Poveznica za preuzimanje: https://www.snort.org/downloads

40) Backbox:

BackBox je projekt zajednice otvorenog koda s ciljem poboljšanja kulture sigurnosti u IT okruženju. Dostupan je u dvije različite varijante kao što su Backbox Linux i Backbox Cloud. Uključuje neke od najčešće poznatih / korištenih alata za sigurnost i analizu.

Značajke:

  • Korisni je alat za smanjenje potreba za resursima tvrtke i niže troškove upravljanja zahtjevima više mrežnih uređaja
  • To je potpuno automatizirani alat za testiranje olovke. Dakle, za promjene nisu potrebni agenti i mrežna konfiguracija. Da bi se izvršila zakazana automatizirana konfiguracija
  • Siguran pristup uređajima
  • Organizacije mogu uštedjeti vrijeme jer nema potrebe za praćenjem pojedinih mrežnih uređaja
  • Podržava šifriranje vjerodajnica i konfiguracijske datoteke
  • Samo sigurnosna kopija i automatsko daljinsko pohranjivanje
  • Nudi kontrolu pristupa zasnovanu na IP-u
  • Nema potrebe za pisanjem naredbi jer dolazi s unaprijed konfiguriranim naredbama

Poveznica za preuzimanje: https://www.backbox.org/download/

41) THC hidra:

Hydra je paralelizirani alat za provjeru prijavljivanja i provjeru olovke. Vrlo je brz i fleksibilan, a nove je module lako dodati. Ovaj alat omogućuje istraživačima i savjetnicima za sigurnost da pronađu neovlašteni pristup.

Značajke:

  • Kompleti s alatima za zamjenu s punim radnim vremenom, zajedno s generiranjem, sortiranjem, pretvaranjem i pretraživanjem duginih tablica
  • Podržava tablicu duga bilo kojeg hash algoritma
  • Podržajte dugini stol bilo kojeg znaka
  • Podržava duginu tablicu u kompaktnom ili sirovom formatu datoteke
  • Računanje na višejezgrenoj podršci procesora
  • Radi na operativnim sustavima Windows i Linux
  • Objedinjeni format datoteke tablice duginih boja na svim podržanim OS-ima
  • Podržava GUI i korisničko sučelje naredbenog retka

Poveznica za preuzimanje: https://github.com/vanhauser-thc/thc-hydra

42) Upozorenje monitora ugleda:

Open Threat Exchange Reputation Monitor besplatna je usluga. Omogućuje profesionalcima da prate reputaciju svoje organizacije. Pomoću ovog alata tvrtke i organizacije mogu pratiti javnu IP adresu i reputaciju domene svoje imovine.

Značajke:

  • Nadgleda oblak, hibridni oblak i lokalnu infrastrukturu
  • Pruža neprekidne obavještajne podatke o prijetnjama kako bi se redovno obavještavali o prijetnjama čim se pojave
  • Pruža najopsežnije smjernice za otkrivanje prijetnji i djelotvorne reakcije na incidente
  • Pokreće se brzo, lako i uz manje napora
  • Smanjuje TCO u odnosu na tradicionalna sigurnosna rješenja

Poveznica za preuzimanje: https://cybersecurity.att.com/products/usm-anywhere/free-trial

43) Ivan Trbosjek:

John the Ripper poznat kao JTR vrlo je popularan alat za probijanje lozinki. Primarno se koristi za izvršavanje napada na rječnik. Pomaže u prepoznavanju slabih ranjivosti lozinke u mreži. Također podržava korisnike od napada grubom silom i duginih pukotina.

Značajke:

  • John the Ripper besplatan je softver s otvorenim kodom
  • Proaktivni modul za provjeru snage lozinke
  • Omogućuje internetsko pregledavanje dokumentacije
  • Podrška za mnoge dodatne vrste hash-a i šifre
  • Omogućuje internetsko pregledavanje dokumentacije, uključujući sažetak promjena između dvije verzije

Poveznica za preuzimanje: https://www.openwall.com/john/

44) Skener Safe3:

Safe3WVS jedan je od najsnažnijih alata za testiranje ranjivosti na webu. Dolazi s tehnologijom indeksiranja pauka, posebno web portala. To je najbrži alat za pronalaženje problema poput ubrizgavanja SQL-a, ranjivosti prijenosa i još mnogo toga.

Značajke:

  • Puna podrška za Basic, Digest i HTTP autentifikaciju.
  • Inteligentni web-pauk automatski uklanja ponovljene web-stranice
  • Automatski JavaScript analizator pruža podršku za izdvajanje URL-ova iz Ajaxa, Web 2.0 i bilo kojih drugih aplikacija
  • Podrška za skeniranje SQL ubrizgavanja, prijenos ranjivosti, administratorske staze i ranjivosti popisa direktorija

Poveznica za preuzimanje: https://sourceforge.net/projects/safe3wvs/files/latest/download

45) CloudFlare:

CloudFlare je CDN s robusnim sigurnosnim značajkama. Internetske prijetnje kreću se od neželjene pošte komentara i pretjeranog puzanja botova do zlonamjernih napada poput SQL ubrizgavanja. Pruža zaštitu od neželjene pošte komentara, pretjeranog indeksiranja botova i zlonamjernih napada.

Značajka:

  • Riječ je o mreži zaštite od DDoS-a poslovne klase
  • Vatrozid web aplikacija pomaže od kolektivne inteligencije cijele mreže
  • Registriranje domene pomoću CloudFlare-a najsigurniji je način zaštite od otmice domene
  • Značajka ograničenja brzine štiti kritične resurse korisnika. Blokira posjetitelje sumnjivim brojem zahtjeva.
  • CloudFlare Orbit rješava sigurnosna pitanja za IOT uređaje

Poveznica za preuzimanje: https://www.cloudflare.com/

46) Zenmap

Zenmap je službeni softver Nmap Security Scanner. To je besplatna aplikacija s otvorenim kodom s više platformi. Jednostavan je za upotrebu za početnike, ali nudi i napredne značajke za iskusne korisnike.

Značajke:

  • Interaktivno i grafičko pregledavanje rezultata
  • Sažima pojedinosti o jednom hostu ili cjelovitom skeniranju na prikladnom zaslonu.
  • Može čak i nacrtati kartu topologije otkrivenih mreža.
  • Može pokazati razlike između dva skeniranja.
  • Omogućuje administratorima praćenje novih hostova ili usluga koji se pojavljuju na njihovim mrežama. Ili pratite postojeće usluge koje propadaju

Poveznica za preuzimanje: https://nmap.org/download.html

Ostali alati koji bi mogli biti korisni za ispitivanje penetracije su

  • Acunetix: To je skener za ranjivost weba usmjeren na web aplikacije. Skupi je alat za usporedbu s drugima i nudi mogućnost poput testiranja skriptiranja na više lokacija, izvješća o usklađenosti s PCI-jem, ubrizgavanje SQL-a itd.
  • Retina: To je više poput alata za upravljanje ranjivošću nego alata za prethodno testiranje
  • Nessus: Koncentriran je na provjere usklađenosti, pretraživanja osjetljivih podataka, skeniranje IP-ova, skeniranje web stranica itd.
  • Netsparker: Ovaj alat dolazi s robusnim skenerom web aplikacija koji identificira ranjivosti i predlaže rješenja. Dostupna su besplatna ograničena ispitivanja, ali većinu vremena to je komercijalni proizvod. Također pomaže u iskorištavanju SQL ubrizgavanja i LFI (Local File Induction)
  • CORE Utjecaj: Ovaj se softver može koristiti za prodor mobilnih uređaja, identifikaciju i probijanje lozinki, prodiranje mreže i sl. To je jedan od skupih alata u testiranju softvera
  • Burpsuite: Kao i ostali, i ovaj je softver komercijalni proizvod. Radi na presretanju proxyja, skeniranju web aplikacija, indeksiranju sadržaja i funkcionalnosti itd. Prednost upotrebe Burpsuitea je u tome što to možete koristiti na Windowsima, Linuxu i Mac OS X okruženju.