年度評選結果列表如下:
01 – Unhide
02 – OWASP ZAP – Zed Attack Proxy Project
03 – Lynis
04 – BeEF – The Browser Exploitation Framework
05 – OWASP Xenotix XSS Exploit Framework
06 – PeStudio
07 – OWASP Offensive (Web) Testing Framework
08 – Brakeman
09 – WPScan
10 – nmap
ToolsWatch.org讀者投票選出的2014十大安全工具
01 – Unhide
Unhide 是一個查尋隱藏了進程和端口的Rootkits/LKMs或其它隱藏技術的探測鑑定工具。Unhide可以運行於linux/Unix和windows系統。
鏈接: http://www.unhide-forensics.info
評論:
“非常完整好用的工具.輕鬆找到隱藏文件和端口等”
“linux 系統裏找容易程序的工具,怒贊!”
“基於unix的系統裏,查找rootkits的好工具”
02 – OWASP ZAP – Zed Attack Proxy Project
Zed Attack Proxy (ZAP)是一個簡單易用的集成滲透測試工具,專門掃描網站漏洞。
Zed Attack Proxy是一款網站應用程序漏洞掃描工具,它是專爲有多年安全經驗的人員來設計的,當然對於開發人員和功能性測試人員,Zed Attack Proxy也是不二之選。
設計的思路是不管安全從業經驗深淺的人都可以用,並且這個產品的開發和測試都是滲透行業新人
ZAP提供了自動化掃描的同時,也支持手動查找漏洞。
鏈接: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
評論:
“開源易用覆蓋廣”
“每週更新,簡單易用”
“穩定,經常改進。可視化好,並且支持WebSockets”
03 – Lynis
Lynis是一款安全審計工具,用來測試和收集基於Unix的系統的安全信息。這款工具的使用者是安全和系統審計人員,網絡專家和系統運維。
Lynis在系統上執行深度本地掃描,因此比基於網絡的漏洞掃描更加深入。 通過bootloader開始,直到安裝文件包。分析之後,他向管理員展示掃描結果,包括系統加固方案。
鏈接: https://cisofy.com/download/lynis/
評論:
“幫我加固系統很多次,真愛!”
“很棒的審計工具!簡單且免費”
“有助於快速達到安全”
04 – BeEF – The Browser Exploitation Framework
BeEF 是The Browser Exploitation Framework的簡寫。他是一款針對web瀏覽器的滲透工具
針對客戶端的攻擊與日俱增,包括移動客戶端。BeEF allows允許專業滲透人員通過使用客戶端攻擊向量,來評估目標環境的真實安全狀況。與別個不同, BeEF 繞過其他選擇,只針對web瀏覽器。BeEF hook了web瀏覽器,用他們來控制命令模塊兒,以及對系統展開後續攻擊測試。
評論:
“類似功能的工具只此一款,再無其他”
“對於驗證瀏覽器內部威脅和漏洞,沒有能超越它的了”
“BeEF 除了集成攻擊,清晰的以圖片方式展示了訪問一個惡意網站之後可能發生的事情”
05 – OWASP Xenotix XSS Exploit Framework
OWASP Xenotix XSS Exploit Framework是一款先進的跨站腳本漏洞(XSS)檢測和開發框架。 Xenotix通過使用真實的瀏覽器引擎執行掃描,識別payload的反饋,來確保零誤報的XSS檢測。Xenotix掃描模塊有3個智能fuzzzer集成,來縮短掃描時間,輸出更好的報告。
鏈接: https://www.owasp.org/index.php/OWASP_Xenotix_XSS_Exploit_Framework
評論:
“他幫助我來驗證我在Web-app Vulnerability Assesments發現的所有XSS漏洞。”
“XSS很可怕,Xenotix 也能檢測移動設備的XSS。它還簡化了整個掃描。”
“他的交互設計很簡便,掃描規則多的超乎想象。總之,他是我認爲最好用的XSS掃描器。”
06 – PeStudio
PeStudio是一款獨特的工具,執行靜態校驗32位和64-bit爲的可執行文件。PEStudio針對個人非商業用途是免費的。
惡意可執行程序通常隱藏其惡意行爲,避免被查出。因此,惡意程序通常呈現存在異常並且可疑的狀態。PEStudio的目標就是檢測這些異常,評估被分析的可執行文件的可信度。由於這些被分析的可執行文件並沒有執行,你可以無風險的檢測未知以及惡意的可執行文件。
評論:
“易用的好工具,預先高效檢測惡意程序的意圖”
“靜態PE分析的最佳工具”
“最快最強的惡意軟件分析工具。神器的作者,日更。在我的日常分析中特別有用。”
07 – OWASP Offensive (Web) Testing Framework
OWASP OWTF, Offensive (Web) Testing Framework 是一款 OWASP+PTES集成,試圖組合很多好工具,使檢測更有效,絕大部分用python編寫。工具存在的意義是把滲透測試中手工的重複性勞動變成自動化的。例如:花費時間記住如何使用“X工具”, 分析“X工具”的輸出結果,手動導入“Y工具”等等。
鏈接: https://www.owasp.org/index.php/OWASP_OWTF
評論:
“輕鬆自動化的管理多個工具。”
“很炫,他可以集成所有owasp的檢測工具”
“幫我節約了很多執行重複任務的時間”
08 – Brakeman
Brakeman 是一款應用於Ruby on Rails的安全掃描器。不同於許多web安全掃描器,Brakeman檢測源代碼。這意味着你不需要實際搭建起來。
Brakeman掃描代碼之後,會生成一個所有檢出的安全問題的報告。
鏈接: http://brakemanscanner.org
評論:
“免費,高質量,經常更新。實測發現,它顯而易見的比很多昂貴的商業產品更好。真的是太棒了。”
“安全漏洞掃描最好的開源工具之一”
“ruby贊一個,幫助發現可能的安全風險。”
09 – WPScan
WPScan是一款黑盒檢測WordPress漏洞的掃描器。
評論:
“很多WordPress搭建的網站,仍然存在漏洞,通過WPScan這種專業的掃描WordPress安全隱患的工具,可以減少安全測試者話費的時間。不需要自己寫payload,只要讓WPScan自動檢測就好。”
“團隊做了一個新的WPScan漏洞特徵庫(wpvulndb.com)。所有人都可以使用。”
“持續更新。WordPress安全最好的工具。”
10 – Nmap
Nmap (“Network Mapper”) 是一款免費的開源的(license)通用的網絡發掘和安全審計工具。很多系統和網絡管理員發現它還適用於網絡盤點,管理服務升級模塊,監控主機或者服務運行時間,以及很多其他任務。Nmap使用原始IP數據包來確定網絡上的可用主機,他們提供的服務、運行的系統、在用的防火牆,以及很多其他特徵。
鏈接: http://nmap.org
評論
“人人愛的端口掃描器”
“枚舉端口,發現弱點”
“滲透人員必備利器”
用戶投票的其他工具:
-
Arachni: [http://www.arachni-scanner.com]
-
ArchAssault: [https://archassault.org]
-
Bellator: [http://sourceforge.net/projects/bellator]
-
Burp Suite Professional: [http://portswigger.net/Burp]
-
GoLismero: [http://www.golismero.com]
-
Iron OWASP: [http://ironwasp.org]
-
Kautilya: [https://github.com/samratashok/Kautilya]
-
Metasploit: [http://www.metasploit.com]
-
OWASP O-Saft: [https://www.owasp.org/index.php/O-Saft]
-
Pipal: [http://digi.ninja/projects/pipal.php]
-
ThreadFix: [http://www.denimgroup.com/resources-threadfix]
-
Veil Framework: [https://www.veil-framework.com]
-
Volatility: [https://github.com/volatilityfoundation/volatility]
-
w3af: [http://w3af.org]
-
YASAT: [http://yasat.sourceforge.net]
本文由 360安全播報 翻譯,轉載請註明“轉自360安全播報”,並附上鍊接。