有多種工具可用於執行應用程式的安全性測試。很少有工具可以執行端到端安全測試,而有些工具專門用於發現系統中的特定型別的缺陷。
一些開源安全測試工具如下 -
| 編號 | 工具名稱 | 描述/簡介 | 網站/網址 |
|---|---|---|---|
| 1 | Zed Attack Proxy | 提供自動掃描器和其他工具,以發現安全漏洞。 | https://www.owasp.org |
| 2 | OWASP WebScarab | 使用Java開發,用於分析Http和Https請求。 | https://www.owasp.org/index.php |
| 3 | OWASP Mantra | 支援多語言安全測試框架 | 網址:點選 |
| 4 | Burp Proxy | 用於攔截和修改流量的工具,適用於使用自定義SSL證書。 | https://www.portswigger.net/Burp/ |
| 5 | Firefox Tamper Data | 使用tamperdata檢視和修改HTTP/HTTPS檔頭並行布引數 |
https://addons.mozilla.org/en-US |
| 6 | Firefox Web Developer Tools | Web Developer擴充套件將各種Web開發人員工具新增到瀏覽器中。 | https://addons.mozilla.org/en-US/firefox |
| 7 | Cookie Editor | 允許使用者新增,刪除,編輯,搜尋,保護和阻止cookie | https://chrome.google.com/webstore |
以下工具可以幫助我們發現系統中特定型別的漏洞 -
| 編號 | 工具名稱 | 描述/簡介 | 網站/網址 |
|---|---|---|---|
| 1 | DOMinator Pro | 測試DOM XSS | https://dominator.mindedsecurity.com/ |
| 3 | OWASP SQLiX | SQL隱碼攻擊 | https://www.owasp.org/index.php |
| 4 | Sqlninja | SQL隱碼攻擊 | http://sqlninja.sourceforge.net/ |
| 5 | SQLInjector | SQL隱碼攻擊 | https://sourceforge.net/projects/safe3si/ |
| 6 | sqlpowerinjector | SQL隱碼攻擊 | http://www.sqlpowerinjector.com/ |
| 7 | SSL Digger | 測試SSL | https://www.mcafee.com/us/downloads/free-tools |
| 8 | THC-Hydra | 暴力密碼 | https://www.thc.org/thc-hydra/ |
| 9 | Brutus | 暴力密碼 | http://www.hoobie.net/brutus/ |
| 10 | Ncat | 暴力密碼 | https://nmap.org/ncat/ |
| 11 | OllyDbg | 測試緩衝區溢位 | http://www.ollydbg.de/ |
| 12 | Spike | 測試緩衝區溢位 | https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
| 13 | Metasploit | 測試緩衝區溢位 | https://www.metasploit.com/ |
以下是一些商業黑箱測試工具,可幫助我們發現應用程式中的安全問題。
| 編號 | 測試工具 | 網站 |
|---|---|---|
| 1 | NGSSQuirreL | https://www.nccgroup.com/en/our-services |
| 2 | IBM AppScan | https://www-01.ibm.com/software/awdtools/appscan/ |
| 3 | Acunetix Web Vulnerability Scanner | https://www.acunetix.com/ |
| 4 | NTOSpider | https://www.ntobjectives.com/products/ntospider.php |
| 5 | SOAP UI | https://www.soapui.org/Security/getting-started.html |
| 6 | Netsparker | https://www.mavitunasecurity.com/netsparker/ |
| 7 | HP WebInspect | http://www.hpenterprisesecurity.com/products |
| 編號 | 工具 | 網站 |
|---|---|---|
| 1 | OWASP Orizon | https://www.owasp.org/index.php |
| 2 | OWASP O2 | https://www.owasp.org/index.php/OWASP_O2_Platform |
| 3 | SearchDiggity | https://www.bishopfox.com/resources/tools |
| 4 | FXCOP | https://www.owasp.org/index.php/FxCop |
| 5 | Splint | http://splint.org/ |
| 6 | Boon | https://www.cs.berkeley.edu/~daw/boon/ |
| 7 | W3af | http://w3af.org/ |
| 8 | FlawFinder | https://www.dwheeler.com/flawfinder/ |
| 9 | FindBugs | http://findbugs.sourceforge.net/ |
這些分析器檢查,檢測和報告原始碼中容易出現漏洞的弱點 -
| 編號 | 工具 | 網站 |
|---|---|---|
| 1 | Parasoft C/C++ test | https://www.parasoft.com/cpptest/ |
| 2 | HP Fortify | http://www.hpenterprisesecurity.com/products |
| 3 | Appscan | http://www-01.ibm.com/software/rational/products |
| 4 | Veracode | https://www.veracode.com |
| 5 | Armorize CodeSecure | http://www.armorize.com/codesecure/ |
| 6 | GrammaTech | https://www.grammatech.com/ |