Security Testing 简明教程

Security Testing - Automation Tools

有各种工具可用于执行应用程序安全性测试。某些工具可以执行端到端安全性测试,而某些工具则专门用于检测系统中的特定类型缺陷。

Open Source Tools

某些开源安全性测试工具如下所示−

S.No.

Tool Name

1

Zed Attack Proxy 提供自动化扫描程序和其他用于检测安全缺陷的工具。 https://www.zaproxy.org/

2

OWASP WebScarab 用 Java 开发,用于分析 HTTP 和 Https 请求。 https://www.owasp.org/index.php

3

OWASP Mantra 支持多语言安全性测试框架链接:https://www.owasp.org/index.php/OWASP_Mantra_- Security_Framework[https://www.owasp.org/index.php/OWASP_Mantra -_Security_Framework]

4

Burp Proxy 用于拦截和修改流量的工具,且可与自定义 SSL 证书配合使用。 https://www.portswigger.net/Burp/

5

Firefox Tamper Data 使用 tamperdata 查看和修改 HTTP/HTTPS 标题和 post 参数。

6

Firefox Web Developer Tools Web Developer 扩展会为浏览器增加各种 Web 开发者工具。 https://addons.mozilla.org/en-US/firefox

7

Cookie Editor 允许用户添加、删除、编辑、搜索、保护和阻止 cookie https://chrome.google.com/webstore

Specific Tool Sets

以下工具有助于我们检测系统中的特定类型漏洞−

S.No.

Link

1

OWASP SQLiX − SQL Injection https://www.owasp.org/index.php

2

Sqlninja − SQL Injection http://sqlninja.sourceforge.net/

3

SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/

4

sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/

5

SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools

6

THC-Hydra − Brute Force Password https://www.kali.org/tools/hydra/

7

Brutus − Brute Force Password https://www.hackercoolmagazine.com/brutus-password-cracker-complete-guide/

8

Ncat − Brute Force Password https://nmap.org/ncat/

9

OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/

10

Metasploit − Testing Buffer Overflow https://www.metasploit.com/

Commercial Black Box Testing tools

以下是一些商业的黑盒测试工具,它们有助于我们发现所开发的应用程序中的安全问题。

S.No

Tool

1

NGSSQuirreL NGSSQuirreL Tool

2

IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/

3

Acunetix Web Vulnerability Scanner https://www.acunetix.com/

4

NTOSpider https://www.ntobjectives.com/products/ntospider.php

5

SOAP UI https://www.soapui.org/Security/getting-started.html

6

Netsparker https://www.mavitunasecurity.com/netsparker/

7

HP WebInspect http://www.hpenterprisesecurity.com/products

Commercial Source Code Analyzers

这些分析器检查、检测和报告易受漏洞利用的源代码中的弱点 -

S.No

Tool

1

Parasoft C/C++ test https://www.parasoft.com/cpptest/

2

HP Fortify http://www.hpenterprisesecurity.com/products

3

Appscan http://www-01.ibm.com/software/rational/products

4

Veracode https://www.veracode.com

5

Armorize CodeSecure http://www.armorize.com/codesecure/

6

GrammaTech https://www.grammatech.com/