安全測試學習--常用工具

一、網絡漏洞掃描器：Burp Suite

Burp Suite在某種程度上很像Maltego，因爲它也有一堆幫助滲透測試者和黑客的工具。Burp Suite中有兩個常用應用，一個叫"Burp Suite Spider"，它可以通過監測cookie、初始化這些web應用的連接列舉並繪製出一個網站的各個頁面以及它的參數；另一個叫"Intruder"，它可以自動執行web應用攻擊。同樣，如果你是網絡安全研究員或者正在進行滲透測試，Burp Suite也是一個必學工具。

Burp Suite學習資料

視頻：https://www.concise-courses.com/hacking-tools/videos/category/7/burp-suite

書籍：https://www.concise-courses.com/books/burp-suite/

相似工具：https://www.concise-courses.com/hacking-tools/web-vulnerability-scanners/

二、網絡漏洞掃描器：Acunetix

Acunetix是一款非常受歡迎並且非常使用的自動漏洞掃描器，Acunetix通過抓取和掃描網站和Web應用的SQL注入、XSS、XXE、SSRF和主機頭攻擊和其他500多個web漏洞。更新！Acunetic愛好者發佈了一個100%免費的視頻課程，所以你可以有效的學習如何使用這個非常棒的網絡漏洞掃描器啦！更多關於Acunetix信息的鏈接以及註冊Acunetix。

Acunetix學習資料

視頻：https://www.concise-courses.com/learn/how-to-scan-for-vulnerabilities/

書籍：https://www.concise-courses.com/books/

三、端口掃描器：Nmap

Nmap是"Network Mapper"的縮寫，衆所周知，它是一款非常受歡迎的免費開源黑客工具。Nmap被用於發現網絡和安全審計。據數據統計，全世界成千上萬的系統管理員使用nmap發現網絡、檢查開放端口、管理服務升級計劃，以及監視主機或服務的正常運行時間。Nmap是一種使用原始IP數據包的工具，以非常創新的方式決定網絡上有哪些主機，主機上的哪些服務（應用名稱和版本）提供什麼數據、什麼操作系統、什麼類型、什麼版本的包過濾/防火牆正在被目標使用。使用nmap有什麼好處，其中一個就是管理員用戶能夠確定網絡是否需要打包。所有的黑客電影中都出現了nmap的身影，尤其是最近的Mr.Robot系列中。

Nmap學習資料

視頻：https://www.concise-courses.com/hacking-tools/videos/category/2/nmap

書籍：https://www.concise-courses.com/books/nmap/

相似工具：https://www.concise-courses.com/hacking-tools/port-scanners/

四、安全漏洞掃描工具AppScan

一款安全漏洞掃描工具，支持Web和移動，現在安全測試做漏洞掃描非常適用，它相當於是"探索"和"測試"的過程，最終生成很直觀的測試報告，有助於研發人員分析和修復通常安全測試工具用這個，掃描一些安全漏洞，用起來比較方便，網上資料比較多，適合很多測試同學用，資料廣闊，大家可以嘗試下。
官網：https://www.ibm.com/developerworks/downloads/r/appscan/
參考：https://www.cnblogs.com/benpao1314/p/8065720.html

五、滲透測試工具sqlmap

一個開源的滲透測試工具，可以用來進行自動化檢測，利用SQL注入漏洞，獲取數據庫服務器的權限。它具有功能強大的檢測引擎,針對各種不同類型數據庫的滲透測試的功能選項，包括獲取數據庫中存儲的數據，訪問操作系統文件甚至可以通過外帶數據連接的方式執行操作系統命令。
官方網站：http://sqlmap.org/，
下載地址：https://github.com/sqlmapproject/sqlmap/zipball/master
演示視頻：https://asciinema.org/a/46601
教程：http://www.youtube.com/user/inquisb/videos
參考：https://www.freebuf.com/sectool/164608.html

六、漏洞評估系統OpenVAS

一個開放式漏洞評估系統，也可以說它是一個包含着相關工具的網絡掃描器。其核心部件是一個服務器，包括一套網絡漏洞測試程序，可以檢測遠程系統和應用程序中的安全問題。OpenVas服務端只允許安裝在Linux系統上，接下來我們來介紹一下使用二進制搭建OpenVas的方法以及基礎的使用。
官網：http://www.openvas.org/
參考：https://www.freebuf.com/column/158357.html

七、漏洞掃描程序nessus

一款號稱是世界上最流行的漏洞掃描程序，全世界有超過75000個組織在使用它。該工具提供完整的電腦漏洞掃描服務，並隨時更新其漏洞數據庫。Nessus不同於傳統的漏洞掃描軟件，Nessus可同時在本機或遠端上遙控，進行系統的漏洞分析掃描。Nessus也是滲透測試重要工具之一。所以，本章將介紹安裝、配置並啓動Nessus。
官網：https://www.tenable.com/downloads/nessus
參考：https://www.cnblogs.com/cheyunhua/p/8084459.html

八、安全審計工具zap

OWASP Zed攻擊代理（ZAP）是世界上最受歡迎的免費安全審計工具之一，由數百名國際志願者*積極維護。它可以幫助您在開發和測試應用程序時自動查找Web應用程序中的安全漏洞。
官網：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
參考：https://www.fujieace.com/kali-linux/owasp-zed-zap.html

內容來源參考：https://blog.csdn.net/lb245557472/article/details/88572607