//from:
http://safe.csdn.net/page/608cf0c7-e53f-40fa-ac92-6fcc2db4366b
【賽迪網-IT技術報道】我們在這裏談論的是一些用於創建安全工具和漏洞利用程序的安全平臺。安全專家們可以藉此執行滲透測試,系統管理員們可以驗證補丁是否已經安裝,產品的廠商們可以執行迴歸測試。
一、Metasploit Framework
在2004年發佈的時候,Metsploit在安全領域颳起了一陣風暴。還沒有什麼其它新的工具能夠如此受人矚目,而Metasploit Framework卻能在這一舞臺獨領風騷,甚至比許多其它發展了十幾年的的好工具更加出色。Metasploit是一個緩衝區溢出測試使用的輔助工具,也可以說是一個漏洞利用和測試平臺。它是一個高級的開源平臺,可以用於開發、測試、利用漏洞代碼等。它集成了許多漏洞利用程序,這方面你可以參考http://metasploit.com:55555/。它使得你編寫自己的漏洞利用程序更加輕鬆。
二、Core Impact
這是一個自動化的綜合性的滲透測試工具。它並不便宜,不過卻被廣泛地認爲是一款最強大的漏洞利用程序。它最值得炫耀的是其大型的、可定期更新的專業漏洞利用程序的數據庫。它可以完美地利用一臺計算機的漏洞,然後通過此計算機建立一個加密通道,可以達到並利用其它計算機的漏洞。
這個軟件可以容許我們:
·確認服務器和桌面操作系統和服務中的真實漏洞
·度量終端用戶對社會工程攻擊的響應
·定位並示範特定的Web應用程序中的漏洞
·測試並調整信息安全防禦架構
·驗證系統更新、修改、補丁的安全性
·建立漏洞管理的審計跟蹤
IMPACT可以給我們所需要的用以有效地保障客戶記錄、財務數據和知識產權的重要信息。這有助於保護你組織的名聲,維持網絡的穩定性和生產效率,並確保與企業和政府的相關規定保持一致。
不過,如果你負擔不起Impact,可以考慮Canvas或前面的Metsploit。筆者認爲最好這三個軟件都採用。
三、Canvas
Canvas是一個使得其它的安全產品容易部署的平臺。Immunity的Canvas爲滲透測試人員和安全專家們開發了大量的漏洞程序,還有一個自動化的漏洞利用系統 ,以及一個綜合性的、可靠的漏洞部署框架。你可以購買可選擇的VisualSploit Plugin插件,這是一個支持圖形用戶界面漏洞利用程序的拖放插件。
總之,這三款工具各有千秋,可根據自己的需要選用之。