许多开发者觉得安全测试是最难自动化的部分。其实这主要是因为没有合适的测试工具。今天给大家介绍10款好用、开源、免费的安全测试工具,希望对大家有所帮助。1.Nishang如果你喜欢使用PowerShell,你可以试试Nishang。Nishang是有效载荷和脚本的组合,可以使用PowerShell进行渗透、攻击安全和红队测试。测试人员可以在当前渗透测试的各个阶段使用此工具。2.TaipanTaipan是一款自动化的web应用漏洞扫描器,可以自动识别web漏洞。它是一个开放的项目,带有一个兼容并支持其他组件的测试引擎。它的界面类似于webdashboard,可以扫描和管理各种漏洞,下载扫描器代理,在主机上运行并输出PDF格式的报告等。3.NeedleNeedle是iOS的测试框架。它是模块化的,可以简化iOS应用程序安全评估的整体流程,同时提供各种安全测试活动的关键点。除了被安全测试人员使用外,开发人员也用它来加固自己的代码。4.ExerciseinaBoxExcerciseinaBox是一种在线工具,可用于测试您的网络是否容易受到攻击。可提供多种场景,反复演练自身面对安全攻击的应对能力,包括各种需要执行的计划、设置、交付、事后整改等资源。5.PocsuitePocsuite是一个用于概念验证和远程漏洞测试的开发框架。它拥有强大的概念验证引擎,以及各种丰富而强大的特性,非常适合安全研究人员和渗透测试人员使用。6.移动安全框架(MobileSecurityFramework)是一个多功能的自动化移动应用渗透测试框架,可以进行动态分析、静态分析、WebAPT测试、恶意软件分析。在实际测试中,可用于对二进制源代码甚至iOS、Android、Windows等平台移动应用的程序截图进行快速有效的安全分析;也可以在运行时级别,对Android应用进行动态应用测试;还有一个安全扫描器CapFuzz,它可以支持WebAPI的混淆。7.InSpecInSpec是一个软件测试和审计框架,可以分析和解释程序中人类可读语言和机器语言的代码级安全性、合规性和策略要求。在Frida网站上,它允许用户将不同的脚本放入其黑盒进程中,“挂钩”各种功能和加密API,并监控和跟踪那些私人代码。8.DevSlop如果你想全面加强DevOps流水线的安全性,那么DevSlop是一个不错的选择。DevSlop作为OWASP的一个子项目,可以通过不同的模块进行各种深入的研究。其中包括应用程序的漏洞点,各种流水线,以及提供DevSlopShow的能力等。9.FaradayFaraday是多用户渗透测试方法的补充工具,用于数据的专业索引、分发和分析在安全审计过程中产生。使用Faraday,测试人员可以以多用户方式利用社区中的现有工具。并且它还提供了一系列特殊功能来帮助用户改进他们现有的工作流程。值得一提的是,法拉第使用方便,终端与系统上的普通终端没有太大区别。10.TamperTamperChrome是一个浏览器扩展,支持即时更改HTTP请求,并协助进行各种网络安全相关测试。它允许用户深入检查浏览器发送的请求及其响应,目前可用于包括ChromeOS在内的所有操作系统。
