Python實戰社羣
Java實戰社羣
長按識別下方二維碼,按需求添加
掃碼關注添加客服
進Python社羣▲
掃碼關注添加客服
進Java社羣▲
來源丨遊俠安全網
作者丨Sudip Sengupta
原文標題丨10 Cyber Security Tools to Watch Out for in 2021
如今,隨着大數據、物聯網、人工智能、機器學習等新技術逐漸出現在我們的日常生活中,隨着大量公司陸續成功地完成並實現了數字化轉型,各種網絡威脅與犯罪也在呈指數級增加。根據Statista的統計(如下圖所示),在2019年,網絡安全漏洞造成了全球2038萬美元的損失。而Cybriant.com也認爲,網絡犯罪導致世界GDP在2019年折損0.8個百分點(總計約2.1萬億美元)。
今年,隨着疫情對於全球經濟環境的持續影響,無論是個人、還是小微企業,在面對網絡安全威脅時,會變得比以前更加脆弱。因此,爲了更好地應對“寒冬”,我們勢必需要提高自身的防禦能力。在此,我將向您介紹10大優秀的網絡安全工具,希望能夠爲您在對本企業的安全總體加固,以及計劃2021年的安全預算時提供參考。
什麼是滲透測試?
在正式介紹之前,讓我們首先來了解一個安全基本概念--滲透測試。它是指通過使用惡意攻擊等安全性測試方法,仔細檢查目標系統(如:軟件、硬件、業務服務、以及網絡環境等)的所有安全風險或漏洞,在評估安全態勢的基礎上,最終管理系統的各項正常功能,並保護業務數據。值得注意的是,滲透測試是一種非功能性測試,執行測試的QA工程師也被稱爲道德黑客。
值得關注的10大網安工具
目前,市場上有付費和開源兩大陣營的安全測試工具,下面我們來逐一進行了解:
1. NMap
作爲Network Mapper的縮寫,NMap是一個開源且免費的安全掃描工具,可被用於安全審計和網絡發現。它能夠工作在Windows、Linux、HP-UX、Solaris、BSD(包括Mac OS)、以及AmigaOS上。Nmap可用於探測網絡中那些可訪問的主機,檢測它們操作系統的類型和版本,正在提供的服務,以及正在使用的防火牆或數據包過濾器的信息等。由於它既帶有GUI界面,又提供命令行,因此許多網絡與系統管理員經常將它運用到自己的日常工作中,其中包括:檢查開放的端口,維護服務的升級計劃,發現網絡拓撲,以及監視主機與服務的正常運行時間等方面。
核心功能:
識別網絡上的主機
發現網絡映射與清單,維護和管理資產
產生針對網絡中主機流量、響應時間等指標的分析
根據既定的審計安排,識別目標主機上的開放端口
搜索和利用網絡中的漏洞以及風險
下載鏈接:https://nmap.org/
2. Wireshark
作爲業界最好的工具之一,Wireshark可以提供免費且開源的滲透測試服務。通常,您可以把它當作網絡協議分析器,以捕獲並查看目標系統與網絡中的流量。它可以在Linux、Windows、Unix、Solaris、Mac OS、NetBSD、FreeBSD、以及其他操作系統上運行。Wireshark廣受教育工作者、安全專家、網絡專業人員、以及開發人員的使用和喜愛。那些經由Wireshark還原的信息,可以被其圖形用戶界面(GUI)或TTY模式的TShark工具來查看。
核心功能:
提供豐富的VoIP分析
提供實時捕獲和離線檢查
能夠深入檢查數百種協議
可以運行在多種操作系統及其版本上
可以捕獲系統或網絡數據,並通過GUI或TTY模式的TShark工具呈現
能夠讀/寫多種變體捕獲文件(variant capture file)的格式
可以通過gzip來壓縮已捕獲的文件,並能同時解壓縮
可以將不同顏色的現實規則應用到數據包列表上,以進行直觀、快速的分析
可以從藍牙、PPP/HDLC、互聯網、ATM、令牌環、USB等途徑讀取實時數據
可以將結果導出爲PostScript、CSV、XML或純文本
下載鏈接:https://www.wireshark.org/
3. Metasploit
作爲一個安全項目,Metasploit可爲用戶提供有關安全風險或漏洞等方面的重要信息。該開源的框架可以通過滲透測試服務,讓用戶獲悉各種應用程序、平臺和操作系統上的最新漏洞,以及可以被利用的代碼。從滲透測試角度來看,Metasploit可以實現對已知漏洞的掃描,偵聽,利用,以及證據的收集。它提供可在Linux、Windows以及Apple Mac OS上運行的命令行和圖形用戶界面。雖然Metasploit是一種商業工具,但它附帶有一個開源的有限試用版。
核心功能:
提供網絡發現
具有命令行和GUI界面
適用於Windows、Linux和Mac OS X
提供模塊化的瀏覽器
支持基本發掘和手動發掘兩種模式
提供漏洞掃描器的導入
·爲信息安全(InfoSec)社區提供免費的社區版
下載鏈接:https://www.metasploit.com/
4.Netsparker
作爲一款商業化的安全測試工具,Netsparker是一個精確、自動化且易用的Web應用安全掃描程序。該工具可以被用於自動化地識別Web應用服務中的跨站點腳本(XSS)和SQL注入等安全風險。通過基於證據的掃描技術,它不僅可以生成風險報告,還能夠通過概念證明(Proof of Concept),來確認是否有誤報,並能減少手動驗證漏洞的時間。
核心功能:
提供高級Web服務掃描、漏洞評估、HTTP請求生成器
通過以證據爲核心的掃描技術,實現精確的威脅發現
全面支持HTML5,能夠整合軟件開發生命週期(SDLC)
提供手動測試與報告
可自動識別定製的404錯誤頁面
支持反跨站點請求僞造(CSRF)令牌、反CSRF令牌、以及REST API
下載鏈接:https://www.netsparker.com/
5. Acunetix
Acunetix是一款全自動化的Web漏洞掃描程序。它可以智能地檢測、識別並報告超過4500種Web應用漏洞,其中包括XSS XXE、SSRF、主機頭部注入(Host Header Injection)和SQL注入的所有變體。作爲一種商業工具,Acunetix通過其DeepScan Crawler來掃描重AJAX(AJAX-heavy)客戶端類型的單頁面應用(SPA)和HTML5網站。用戶可以利用它將檢測到的漏洞導出至諸如:GitHub、Atlassian JIRA、Microsoft TFS(Team Foundation Server)等問題跟蹤器中。
核心功能:
提供針對高風險漏洞的檢測,且誤報率較低
通過集成漏洞管理,以便組織控制各類風險
通過自動化掃描,來深入爬取和審查各種網站
能夠與時下流行的WAF,以及GitHub、JIRA、TFS等問題跟蹤器相集成
提供開源Web安全掃描和手動測試工具
可以在Linux、Windows、以及在線環境中運行
下載鏈接:https://www.acunetix.com/
6. Nessus
由Tenable Network Security公司開發和維護的Nessus,是針對安全從業人員的漏洞評估解決方案。它能夠協助檢測和修復各種操作系統、應用程序、乃至設備上的漏洞、惡意軟件、配置錯誤、以及補丁的缺失。通過運行在Windows、Linux、Mac、Solaris上,用戶可以用它來進行IP與網站的掃描,合規性檢查,敏感數據搜索等測試。
核心功能:
提供針對配置和移動設備的審計
可以簡單地定製報告摘要,突出顯示掃描結果,並能夠按照主機或漏洞進行排序
能夠識別可被遠程攻擊者訪問到的機密數據系統的漏洞
可以識別網絡中的主機故障,並判定是否缺少補丁
下載鏈接:http://www.tenable.com/products/nessus
7. W3af
作爲一個免費工具,W3af是一個Web應用攻擊和審計框架。它通過搜索、識別和利用200多種已知的Web應用漏洞,來掌控目標網站的總體風險。這些漏洞包括:跨站點腳本(XSS)、SQL注入、未處理的應用錯誤、可被猜測的密鑰憑據、以及PHP錯誤配置等。W3af不但適用於Mac、Linux和Windows OS,而且提供控制檯和圖形用戶界面。
核心功能:
能夠將Web和代理服務器納入其代碼中,並支持代理
能夠將有效的負載,注入到HTTP請求的各個部分
支持HTTP的基礎和摘要式身份驗證
可以處理Cookie,僞造UserAgent
支持HTTP響應緩存和DNS緩存
能夠使用分段的方式上傳文件
可以向請求添加自定義的頭部
下載鏈接:http://w3af.org/
8. Zed Attack Proxy
Zed Attack Proxy(ZAP)是由OWASP開發的免費且開源的安全測試工具。它可以讓您在Web應用中發現一系列安全風險與漏洞。由於支持Unix/Linux、Windows和Mac OS,即使您是滲透測試的新手,也能輕鬆地上手該工具。
核心功能:
支持認證、AJAX爬取、自動化掃描
支持強制瀏覽和動態SSL證書
支持Web套接字與即插即用(Plug-n-hack)
可以攔截代理
支持基於REST的API
下載鏈接:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
9. Burpsuite
作爲一個嚴控“入侵者”掃描工具,Burpsuite被部分安全測試專家認爲:“如果沒有它,滲透測試將無法開展。”雖然不是免費,但是Burpsuite提供豐富的功能。通常,人們可以在Mac OS X、Windows和Linux環境中使用它,以實現爬取內容和功能,攔截代理,以及掃描Web應用等測試目的。
核心功能:
提供跨平臺支持
穩定且輕量級
可以與幾乎所有的主流瀏覽器協同使用
可執行自定義的攻擊
用戶界面設計精良
可以協助爬取網站
可以協助掃描Https/HTTP類型的請求和響應
網站:http://portswigger.net/burp/
10. Sqlninja
作爲最好的開源滲透測試工具之一,Sqlninja可以利用Microsoft SQL Server作爲後端,來檢測Web應用上的SQL注入威脅和漏洞。該自動化測試工具提供命令行界面,可以在Linux和Apple Mac OS X上被使用。Sqlninja具有包括:對遠程命令進行計數,DB指紋識別,及其檢測引擎等描述性功能。
核心功能:
爲UDP和TCP提供直接和反向shell
支持遠程SQL Server的指紋
如果原始被禁用,則可以自生成XP cmdshell
可以從遠程數據庫中提取數據
可以在遠程數據庫服務器上進行操作系統級別的提權
能夠通過反向掃描,來尋找可用於反向shell的端口
下載鏈接:http://sqlninja.sourceforge.net/
總結:
上述所列的10大網絡安全測試工具,無疑能夠通過嚴格的滲透測試,減少您的個人數據與隱私被盜,以及被泄露的可能。與此同時,它們也能夠爲企業規避網絡攻擊,進而保護IT基礎架構。當然,這些安全軟件工具也需要持續升級和維護,以提供一流的安全性服務。
版權申明:內容來源網絡,版權歸原創者所有。除非無法確認,都會標明作者及出處,如有侵權煩請告知,我們會立即刪除並表示歉意。祝願每一位讀者生活愉快!謝謝!
程序員專欄 掃碼關注填加客服 長按識別下方二維碼進羣
近期精彩內容推薦: 朋友入職中軟一個月(外包華爲)就離職了! 再見,胡阿姨!再見,共享單車! 一代經典銷聲匿跡:WinXP徹底再見了! 2021年1月編程語言排行榜
在看點這裏好文分享給更多人↓↓