【.com快译】如今,随着DevOps(也包括DevSecOps)逐渐将安全测试加入到我们的管道中。有时人们认为与安全相关的测试是最难自动化的部分。此类测试通常缺少易于使用的简单工具。事实上,这主要是因为测试人员没有找到合适的资源。本文将为您介绍13款顶级易用、免费和开源的安全测试工具。一、ExerciseinaBoxExcerciseinaBox是英国国家网络安全中心(NationalCyber??SecurityCenter)推出的在线工具。它可以帮助用户了解他们的应用程序是否容易受到网络攻击。同时,该工具可以提供多种场景,让您的组织可以按照您设定的允许时间,在安全的环境中反复演练面对安全攻击的应对能力。这基本上是您进行计划、设置、交付和事后纠正活动所需的一切,可以这么说。2.Needle是iOS版本的测试框架。Needle由BlackHatUSA推出。它是一个模块化的开源框架,其目标是简化iOS应用程序安全评估的整体过程。同时,该工具可以为您提供各种安全测试活动的要点。除了专业的安全测试人员,开发者也可以用它来加强自己编写的程序代码。3.DevSlop随着技术应用的发展和用户对产品质量和服务性能要求的提高,您可能会收到类似微服务、API、容器等应用的测试任务。这些技术迭代迫使安全人员重新审视他们的传统测试方法。SloppyDevOps(或DevSlop)作为OWASP的一个子项目,可以通过不同的模块进行各种深入的研究。其中包括:应用程序的漏洞点、各种管道以及提供DevSlopShow的相关功能。可以说:如果你正在考虑全面加固DevOps流水线的安全,那么DevSlop是一个非常好的入门级工具和资源。4.移动安全框架(MobileSecurityFramework)移动安全框架(https://dzone.com/articles/three-essential-mobile-security-measures)被业界称为:一个多功能的自动化移动应用渗透测试框架.它可以执行动态分析、静态分析、WebAPT测试和恶意软件分析。在实际测试中,可以对iOS、Android、Windows等平台的移动应用程序内部的二进制源代码,甚至是程序截图进行快速有效的安全分析。同时,它还可以在运行时(runtime)级别对Android应用进行动态应用测试。此外,它还有一个专门针对WebAPI的安全扫描器——CapFuzz,可以支持对WebAPI的混淆。5.FridaFrida是一个面向逆向工程师、开发人员和安全研究人员的动态工具包。同时,它也是一个实现应用程序挂钩的工具包和框架。在Frida网站上,它要求用户将自己的不同脚本放入其黑盒进程中,以“挂钩”各种功能和加密API,并监控和跟踪那些私人程序代码。显然,它不需要任何应用程序源代码。6.Nishang如果你默认的安全脚本语言是PowerShell,那么请选择Nishang框架。Nishang作为载荷和脚本的组合,允许用户使用PowerShell进行渗透、进攻安全、红队(RedTeaming,译者注:在传统渗透测试的基础上,更侧重于企业人员、业务系统、供应链、办公系统、物理安全等真实漏洞攻击评估。)测试。用户可以在当前渗透测试的各个阶段使用该工具。7.Tamper是浏览器的一个扩展,TamperChrome允许用户实时更改HTTP请求,并可以协助进行各种网络安全相关的测试。目前,它适用于包括Chrome操作系统在内的所有操作系统。同时,它还允许用户深入检查浏览器发送的请求及其响应。8.InSpecInSpec是一个先进的软件测试和审计框架。作为基础设施的开源框架,该工具分析和解释程序中人类可读语言和机器语言的代码级安全性、合规性和策略要求。9.Faraday作为集成渗透测试环境(IntegratedPenetration-TestEnvironment,IPE),Faraday是多用户渗透测试的补充工具。它可用于安全审计期间生成的数据的专业索引、分发和分析。在实际使用中,测试人员可以以多用户的方式充分利用社区中的各种工具,这也是智原开发的目的。由于在设计之初就考虑到了简洁性,用户在使用过程中会发现智原的终端与系统上常用的终端没有太大区别。此外,该工具还提供了一系列特殊功能来帮助用户改进他们现有的工作流程。10.PocsuitePocsuite是一个用于概念验证和远程漏洞测试的开发框架。对于安全研究人员和渗透测试人员,该工具具有强大的概念验证引擎以及各种利基功能。11.Taipan是一个自动化的网络应用程序漏洞扫描程序。Taipan可以方便用户自动识别web漏洞。Taipan是一个开放项目,其中包含一个兼容并支持其他组件的测试引擎。该工具的界面类似于Web仪表板,用户可以在其中扫描和管理各种漏洞、下载扫描器代理、在特定主机上运行并以PDF格式输出报告。12.PacuPacu是一个AWS开发框架。它的主要功能是对Amazon的WebServices进行各种安全测试。13.SecureGuild众所周知,测试人员从来不缺各种工具图谱,安全测试同样如此。如果您是刚刚入门,或者是第一次进行安全测试,请不要错过SecureGuild的试用。该资源是一种在线会议服务,专门用于讨论与安全测试相关的问题。该平台不仅可以解答您的疑问,还可以让您学习各种安全测试知识和技能。原标题:顶级免费安全测试工具,作者:TaqiAhmed
