常用渗透性测试工具(Tools for penetration testing)
原文:http://hi.baidu.com/limpid/item/14a2df166adfa8cb38cb3068
对一个应用项目进行渗透性测试一般要经过三个步骤。
第一步,用一些侦测工具进行踩点,获得目标的基本信息。
第二步通过漏洞扫描工具这类自动化测试工具获取目标的漏洞列表,从而缩小测试的范围。
第三步利用一些灵活的代理,请求伪造和重放工具,根据测试人员的经验和技术去验证或发现应用的漏洞。
在此过程中需要利用一些工具,这些工具包括:
1、Metasploit:开源的,2004年发展起来的一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台。它是一个高级的开源平台,可以用于开发、测试、利用漏洞代码等。它集成了许多漏洞利用程序,这方面可以参考http://metasploit.com:55555/。它使得编写自己的漏洞利用程序更加轻松。详细信息请查看:http://metasploit.com/
2、nessus: 开源的,古老的,一种用来自动检测和发现已知安全问题的强大工具。详细信息:http://nmap.org/
3、Nmap: 开源的,古老的,端口扫描的工具,它能检测主机系统有哪些tcp/udp端口目前正处于打开状态。详细信息:http://nmap.org/。
4、webinspect:很著名的,可惜被HP收购了。可以发现Web漏洞,包括SQL注入。通过截获浏览器端的http request和http response,然后通过修改内容参数,编码去伪造请求,按照某种规则重放请求,借此发现web 应用的漏洞。更多信息:http://www.webinspect.net/
5、paros:开源的,对web应用进行安全评估的工具。praos也是通过代理,对客户端和服务器端的请求和响应进行拦截、保存、并可以进行伪造和重放,从而发现Web应用的漏洞。详细信息:http://www.parosproxy.org/
上面包括了渗透测试的常用工具,当然,如果需要还有一些其他的选择,如Immunity CANVAS、Core Impact等商业化的工具,条件就是你有钱。
常用渗透性测试工具(Tools for penetration testing)的更多相关文章
- [liu yanling]常用的测试工具
常用的测试工具 1. 功能测试工具——QTP 2. 性能测试工具——LoadRunner 3. 测试管理工具——TestDirector 4. 白盒测试工具——Nunit,Junit,C++Test, ...
- 多测师讲解常用的测试工具分为10类_高级讲师肖sir
我们将常用的测试工具分为10类. 1. 测试管理工具 2. 接口测试工具 3. 性能测试工具 4. C/S自动化工具 5.白盒测试工具 6.代码扫描工具 7.持续集成工具 8.网络测试工具 9.app ...
- 常用VPS测试工具整理
来源: http://www.vpser.net/manage/vps-test-tool.html 购买VPS前主要是使用一些网络测试工具如ping.tracert.WinMTR之类的工具进行测试, ...
- WEB前端常用的测试工具
一.QUnit 前端测试工具 QUnit是一个强大的JavaScript单元测试框架,该框架是由jQuery团队的成员所开发,并且是jQuery的官方测试套件.Qunit是Jquery的单元测试框架, ...
- linux web站点常用压力测试工具httperf
一.工具下载&&安装 软件获取 ftp://ftp.hpl.hp.com/pub/httperf/ 这里使用的是如下的版本 ftp://ftp.hpl.hp.com/pub/httpe ...
- Android常用客户端测试工具
Emmagee GT iTest PowerTutor 网速限制 Root Explorer ApkEditor 陆续添加...
- 22 | 从0到1:API测试怎么做?常用API测试工具简介
- yb课堂之压力测试工具Jmeter5.X 实战《二十二》
目前常用的测试工具对比 LoadRunner 性能稳定,压测结果及细粒度大,可以自定义脚本进行压力,但是太过于重大,功能比较繁多 Apache AB(单接口压测最方便) 模拟多线程并发请求,ab命令对 ...
- monkey测试工具与常用的linux命令
Monkey测试工具 说明:monkey是一个安卓自带的命令行工具,可以模拟用户向应用发起一定的伪随机事件.主要用于对app进行稳定性测试与压力测试. 实现:首先需要安装一个ADB工具,安装完之后,需 ...
随机推荐
- C# 连接SQL数据库
感觉很有必要总结一下 一:C# 连接SQL数据库 Data Source=myServerAddress;Initial Catalog=myDataBase;User Id=myUsername;P ...
- 如何搭建DHCP及DHCP中继服务器
当局域网中有大量的主机时,如果逐台设置ip地址.默认网关.dns服务器地址时等网络参数,显然是一个费力也未必讨好的方法,这时使用DHCP的方式分发ip地址,能够动态配置各客户机的网络地址参数,大大减轻 ...
- Jenkins学习之——(3)将项目发送到tomcat
本章节将讲解如何将项目发送到tomcat,实现自动部署. 我只将一个测试的maven项目托管到github上的,不了解git获github的朋友自己百度一下,我也写了一些关于git的文章,希望大家可以 ...
- PHP XML Parser
安装 XML Parser 函数是 PHP 核心的组成部分.无需安装即可使用这些函数. PHP XML Parser 函数 PHP:指示支持该函数的最早的 PHP 版本. 函数 描述 PHP utf8 ...
- Java反射 - 2(对象复制,父类域,内省)
为什么要复制对象?假设有个类Car,包含name,color2个属性,那么将car1对象复制给car2对象,只需要car2.setName(car1.getName)与car2.setColor(ca ...
- java的注释
最近在做java项目开始关注和注意一些java规范,目的只是为了让自己和别人更容易理解自己写的代码和复用. 一个重要的原则就是:问你自己,你如果从来没有见过这段代码,你要快速地知道这段代码是干什么的, ...
- 企业管理系统开发笔记(4)---后台登录_MVC过滤器
在asp.net时代,我们通常需要在后台的每个页面进行判断用户是否登录的状态,不管是通过session还是通过windows身份验证还是表单验证方式等等方法来对用户登录进行判断跳转.但是在mvc时代, ...
- 全排列算法之Perm算法实现
题目描述: 给定一个由不同的小写字母组成的字符串,输出这个字符串的所有全排列. 我们假设对于小写字母有'a' < 'b' < … < 'y' < 'z',而且给定的字符 ...
- recovery编译汉化源码开源地址
本Recovery基于xiaolu开源的不完全汉化版源码,进行完全汉化,并合并Philz的最新源码. 汉化耗费我将近一整天的精力,纯手打,可能有遗漏或翻译不准的地方,请到微博反馈 本Rec完全开源,便 ...
- Windows10关闭快速启动