沈雅

滲透測試，是專業(yè)安全人員為找出系統(tǒng)中的漏洞而進(jìn)行的操作。工欲善其事，必先利其器，今天給大家介紹7個便捷、快速的滲透測試工具。

Metasploit

Metasploit是網(wǎng)絡(luò)安全專業(yè)人士和白帽子黑客的首選，有許多大神將自己的知識發(fā)布在這各平臺。它有許多滲透測試工具的集合，由PERL提供支持，可用于模擬需要的任何類型滲透測試。因此最大優(yōu)點(diǎn)是能跟得上不斷發(fā)展的變化。而且，Metasploit支持定制，只有4個步驟，非常方便使用。

Netsparker Security Scanner

它是用來做滲透測試的Web自動化應(yīng)用工具，能識別滲透測試人員要知道的內(nèi)容，并做出正確判斷，從SQL注入到跨站點(diǎn)腳本，因此可以用它來處理整個網(wǎng)站，包括Web服務(wù)和Web應(yīng)用。而且，它能同時掃描1 000個Web應(yīng)用，還允許用戶自定義安全掃描，非常強(qiáng)大且高效。

BeEF

BeEF工具有利于移動的客戶，因?yàn)樗捎脕頇z查Web瀏覽器，對抗Web攻擊。BeEF用GitHub找漏洞，它探索了Web邊界和客戶端系統(tǒng)之外的缺陷。重要的是，它是專門針對Web瀏覽器的，能夠查看單個源上下文中的漏洞。

Wireshark

Wireshark是網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)包分析器，能實(shí)時消除安全漏洞。如果要用來分析基于Web的應(yīng)用上發(fā)布到表單的信息和數(shù)據(jù)所固有的安全風(fēng)險，那么它很適合。它可從藍(lán)牙、幀中繼、Ipsec、Kerberos和基于以太網(wǎng)的任何連接等收集實(shí)時數(shù)據(jù)，最棒的功能，還是分析結(jié)果的產(chǎn)生方式，并且整個應(yīng)用通俗易懂。滲透測試者可以使用它進(jìn)行顏色編碼，以便更深入地調(diào)查，并隔離重要的單個數(shù)據(jù)包。

John the Ripper

這是一個很流行的密碼破解工具，是滲透測試儀工具包中的一個必要補(bǔ)充。它可以用來確定數(shù)據(jù)庫中的未知弱點(diǎn)，通過從傳統(tǒng)字典中找到的復(fù)雜和流行的單詞列表，獲取文本字符串樣本，并用與正在生成的密碼相同的格式，對其進(jìn)行加密來達(dá)到目的。

W3AF

W3AF滲透測試套件的目標(biāo)是查找、分析和利用基于Web的應(yīng)用中可能存在的任何安全漏洞。它有包含用戶代理偽造，請求的自定義標(biāo)頭，DNS緩存中毒或DNS欺騙以及許多其他攻擊類型。使用W3AF，參數(shù)和變量可以快速保存到會話管理器文件中，即它們能快速重新配置，并用于Web應(yīng)用上的其他滲透測試，很節(jié)省時間。而且測試結(jié)果以圖形和文本格式顯示，也很好理解。

Acunetix Scanner

這個自動化工具能幫助快速完成滲透測試，它能審計(jì)復(fù)雜的管理報(bào)告和問題，處理許多網(wǎng)絡(luò)的漏洞，還能夠包含帶外漏洞。它有很高的檢測率，涵蓋了超過4 500個弱點(diǎn)。此外，這個工具包含AcuSensor技術(shù)、手動滲透工具和內(nèi)置漏洞測試，可快速抓取數(shù)千個網(wǎng)頁，也能在本地或通過云解決方案運(yùn)行。