1、Invicti Pro
invicti是壹種自動化但完全可配置的web應用程序安全掃描程序,使您能夠掃描網站、web應用程序和web服務,並識別安全漏洞。
2、BurpSuite
與web瀏覽器配合使用,可發現給定APP的功能和安全問題,是發起定制攻擊的基礎。目前,免費版本功能很有限,但付費版本提供全面的網絡爬取和掃描功能、多攻擊點、基於範圍的配置。關於此工具最常見的評價是,它可用於自動化重復功能,提供app與服務器互動的良好視圖。
3、Nmap
Nmap以隱秘的手法,避開闖入檢測系統的監視,並盡可能不影響目標系統的日常操作。同時它還提供防火墻規避和欺騙功能。
4、Metasploit Pro
Metasploit是壹款開源的安全漏洞檢測工具,可以幫助安全和IT專業人士識別安全性問題,驗證漏洞的緩解措施,並管理專家驅動的安全性進行評估,提供真正的安全風險情報。這些功能包括智能開發,代碼審計,web應用程序掃描,社會工程。
5、Cobalt Strike
Cobalt Strike是壹款GUI的框架式滲透工具,集成了端口轉發、服務掃描,自動化溢出,多模式端口監聽,win exe木馬生成,win
dll木馬生成,Java木馬生成,office宏病毒生成,木馬捆綁;釣魚攻擊包括:站點克隆,目標信息獲取,Java執行,瀏覽器自動攻擊等等。
6、AWVS
AWVS,全稱Acunetix Web Vulnerability
Scanner,是壹款知名的網絡漏洞掃描工具,它通過網絡爬蟲測試妳的網站安全,檢測流行安全漏洞。
7、Fortify
Fortify是壹個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎:數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析,通過與軟件安全漏洞規則集進行匹配、查找,從而將源代碼中存在的安全漏洞掃描出來,並可導出報告。
8、OWASP ZAP
是壹款web
application集成滲透測試和漏洞工具,是免費開源跨平臺的。OWASP_ZPA支持截斷代理,主動、被動掃描,Fuzzy,暴力破解並且提供API。
9、DarkAngel
DarkAngel是壹款全自動白帽漏洞掃描器,從hackerone、bugcrowd資產監聽到漏洞報告生成、企業微信通知。
10、fscan
壹款內網綜合掃描工具,方便壹鍵自動化、全方位漏掃掃描。支持主機存活探測、端口掃描、常見服務的爆破、ms17010、redis批量寫公鑰、計劃任務反彈shell、讀取win網卡信息、web指紋識別、web漏洞掃描、netbios探測、域控識別等功能。