常用渗透性测试工具(Tools for penetration testing)
原文:http://hi.baidu.com/limpid/item/14a2df166adfa8cb38cb3068
对一个应用项目进行渗透性测试一般要经过三个步骤。
第一步,用一些侦测工具进行踩点,获得目标的基本信息。
第二步通过漏洞扫描工具这类自动化测试工具获取目标的漏洞列表,从而缩小测试的范围。
第三步利用一些灵活的代理,请求伪造和重放工具,根据测试人员的经验和技术去验证或发现应用的漏洞。
在此过程中需要利用一些工具,这些工具包括:
1、Metasploit:开源的,2004年发展起来的一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台。它是一个高级的开源平台,可以用于开发、测试、利用漏洞代码等。它集成了许多漏洞利用程序,这方面可以参考http://metasploit.com:55555/。它使得编写自己的漏洞利用程序更加轻松。详细信息请查看:http://metasploit.com/
2、nessus: 开源的,古老的,一种用来自动检测和发现已知安全问题的强大工具。详细信息:http://nmap.org/
3、Nmap: 开源的,古老的,端口扫描的工具,它能检测主机系统有哪些tcp/udp端口目前正处于打开状态。详细信息:http://nmap.org/。
4、webinspect:很著名的,可惜被HP收购了。可以发现Web漏洞,包括SQL注入。通过截获浏览器端的http request和http response,然后通过修改内容参数,编码去伪造请求,按照某种规则重放请求,借此发现web 应用的漏洞。更多信息:http://www.webinspect.net/
5、paros:开源的,对web应用进行安全评估的工具。praos也是通过代理,对客户端和服务器端的请求和响应进行拦截、保存、并可以进行伪造和重放,从而发现Web应用的漏洞。详细信息:http://www.parosproxy.org/
上面包括了渗透测试的常用工具,当然,如果需要还有一些其他的选择,如Immunity CANVAS、Core Impact等商业化的工具,条件就是你有钱。
常用渗透性测试工具(Tools for penetration testing)的更多相关文章
- [liu yanling]常用的测试工具
常用的测试工具 1. 功能测试工具——QTP 2. 性能测试工具——LoadRunner 3. 测试管理工具——TestDirector 4. 白盒测试工具——Nunit,Junit,C++Test, ...
- 多测师讲解常用的测试工具分为10类_高级讲师肖sir
我们将常用的测试工具分为10类. 1. 测试管理工具 2. 接口测试工具 3. 性能测试工具 4. C/S自动化工具 5.白盒测试工具 6.代码扫描工具 7.持续集成工具 8.网络测试工具 9.app ...
- 常用VPS测试工具整理
来源: http://www.vpser.net/manage/vps-test-tool.html 购买VPS前主要是使用一些网络测试工具如ping.tracert.WinMTR之类的工具进行测试, ...
- WEB前端常用的测试工具
一.QUnit 前端测试工具 QUnit是一个强大的JavaScript单元测试框架,该框架是由jQuery团队的成员所开发,并且是jQuery的官方测试套件.Qunit是Jquery的单元测试框架, ...
- linux web站点常用压力测试工具httperf
一.工具下载&&安装 软件获取 ftp://ftp.hpl.hp.com/pub/httperf/ 这里使用的是如下的版本 ftp://ftp.hpl.hp.com/pub/httpe ...
- Android常用客户端测试工具
Emmagee GT iTest PowerTutor 网速限制 Root Explorer ApkEditor 陆续添加...
- 22 | 从0到1:API测试怎么做?常用API测试工具简介
- yb课堂之压力测试工具Jmeter5.X 实战《二十二》
目前常用的测试工具对比 LoadRunner 性能稳定,压测结果及细粒度大,可以自定义脚本进行压力,但是太过于重大,功能比较繁多 Apache AB(单接口压测最方便) 模拟多线程并发请求,ab命令对 ...
- monkey测试工具与常用的linux命令
Monkey测试工具 说明:monkey是一个安卓自带的命令行工具,可以模拟用户向应用发起一定的伪随机事件.主要用于对app进行稳定性测试与压力测试. 实现:首先需要安装一个ADB工具,安装完之后,需 ...
随机推荐
- (转)ASP.NET 2.0中的partial
1. 什么是局部类型? C# 2.0 引入了局部类型的概念.局部类型允许我们将一个类.结构或接口分成几个部分,分别实现在几个 不同的.cs文件中. 局部类型适用于以下情况: (1) 类型特别大,不宜放 ...
- UGUI之UI的深度问题
学过NGUI的都知道,NGUI的深度是通过值来控制的.Panel也是UI也是,如果空间太多,布局复杂UI深度的值会变得很混乱.所以在NGUI中设置UI深度时一定要多加思考.然而在UGUI控制显示顺序的 ...
- react-native-router-flux 下部导航
github url:https://github.com/aksonov/react-native-router-flux API: https://github.com/aksonov/react ...
- 单点登录CAS使用记(三):实现自定义验证用户登录
问题: CAS自带的用户验证逻辑太过简单,如何像正常网站一样,通过验证DB中的用户数据,来验证用户以及密码的合法性呢? 方案1:CAS默认的JDBC扩展方案: CAS自带了两种简单的通过JDBC方式验 ...
- C/C++默认浮点型
代码: #include <iostream> #include <cstdio> using namespace std; void test(int a){ cout< ...
- STL 之 vector 用法
一.头文件 #include<vector> 二.常用方法: // 在这个向量的尾部插入x的考贝,平均时间为常数,最坏时间为O(n): 1: void push_back(const T& ...
- css与div小结
前些时间学习css与div的课程 什么是css呢 Css 级联样式表或层叠样式表(Cascading Style Sheet) 是能够真正做到 网页表现与内容分离的一种样式设计语言.相对于传统HTML ...
- linux笔记2.19
压缩一般使用 tar -cvzf etcbackup.tar.gz /etc 寻找文件 locate(快速查找:新添加的得用updatedb更新后才能找到) find: find . -name ...
- Razor视图引擎
在MVC3.0版本的时候,微软终于引入了第二种模板引擎:Razor.在这之前,我们一直在使用WebForm时代沿留下来的ASPX引擎或者第三方的NVelocity模板引擎. (1)Razor文件类型: ...
- 零基础创建RCP工程
一.环境搭建 1. 安装java jdk,我选择的是jdk 1.7版本,配置环境变量: 2. 下载并安装java EE: 二.创建工程 1. 打开File-> New ->other -& ...