【.com速译】如今,随着大数据、物联网、人工智能、机器学习等新技术逐渐出现在我们的日常生活中,大量的企业陆续成功完成并实现了数字化转型,各种网络威胁和犯罪也呈指数级增长。根据Statista的数据(如下所示),2019年全球网络安全漏洞造成的损失为2038万美元。而Cybriant.com也认为,网络犯罪将导致2019年全球GDP贬值0.8个百分点(合计约2.1万亿美元)。今年以来,随着疫情对全球经济环境的持续影响,无论是个人还是小微企业,在网络安全威胁面前都将比以往更加脆弱。因此,要想更好地应对“冬天”,就必须提高自身的防御能力。在这里,我将向大家介绍10款优秀的网络安全工具,希望能为大家在加强企业整体安全和规划2021年安全预算时提供参考。什么是渗透测试?在正式介绍之前,让我们先了解一下安全的一个基本概念——渗透测试。是指通过恶意攻击等安全测试手段,对目标系统(如软件、硬件、业务服务、网络环境等)的所有安全风险或漏洞进行仔细排查,并最终在系统安全的基础上进行管理。评估安全局势。正常功能和保护业务数据。值得注意的是,渗透测试是一种非功能测试,执行测试的QA工程师也被称为道德黑客。Top10值得关注的网络安全工具目前,市场上存在付费和开源安全测试工具两大阵营。下面我们一一了解一下:1.NMap是NetworkMapper的缩写。NMap是一个开源和免费的安全扫描工具,可用于安全审计和网络发现。它适用于Windows、Linux、HP-UX、Solaris、BSD(包括MacOS)和AmigaOS。Nmap可用于检测网络上那些可访问的主机,检测其操作系统的类型和版本、它们提供的服务以及有关正在使用的防火墙或包过滤器的信息。因为它既有GUI界面也有命令行,很多网络和系统管理员在日常工作中经常使用它,包括:检查开放端口、维护服务升级计划、发现网络拓扑以及监控主机和服务的正常运行时间等方面.核心功能:识别网络上的主机发现网络映射和库存,维护和管理资产生成网络中主机流量、响应时间和其他指标的分析识别目标主机上的开放端口根据既定的审计安排搜索和利用网络端口漏洞和风险下载链接:https://nmap.org/2。Wireshark作为业界最好的工具之一,可以提供免费、开源的渗透测试服务。通常,您可以将其用作网络协议分析器来捕获和查看目标系统和网络上的流量。它运行在Linux、Windows、Unix、Solaris、MacOS、NetBSD、FreeBSD和其他操作系统上。Wireshark受到教育工作者、安全专家、网络专家和开发人员的使用和喜爱。Wireshark恢复的信息可以通过其图形用户界面(GUI)或TTY模式的TShark工具查看。核心功能:提供丰富的VoIP分析提供实时抓包和离线检测可对上百种协议进行深度检测可运行于多种操作系统及版本可抓取系统或网络数据并通过GUI或TTY方式呈现TShark工具可以读取/写入多种变体捕获文件格式捕获的文件可以用gzip压缩并同时解压缩不同颜色的现实规则可以应用于数据包列表以进行直观和快速的分析可以从蓝牙读取实时数据,PPP/HDLC、Internet、ATM、令牌环、USB等。可以将结果导出为PostScript、CSV、XML或纯文本下载链接:https://www.wireshark.org/3。Metasploit作为一个安全项目,Metasploit可以为用户提供有关安全风险或漏洞的重要信息。开源框架使用户能够通过渗透测试服务了解各种应用程序、平台和操作系统上的最新漏洞和可利用代码。从渗透测试的角度来看,Metasploit可以实现对已知漏洞的扫描、拦截、利用和取证。它提供在Linux、Windows和AppleMacOS上运行的命令行和图形用户界面。虽然Metasploit是一个商业工具,但它带有一个开源的有限试用版。核心功能:为Windows、Linux和MacOSX提供带有命令行和GUI界面的网络发现提供支持基本和手动发现模式的模块化浏览器提供漏洞扫描程序的导入提供信息安全(InfoSec)社区提供免费的社区版本下载链接:https://www.metasploit.com/4。Netsparker作为商业安全测试工具,Netsparker是一款准确、自动化且易于使用的Web应用程序安全扫描程序。该工具可用于自动识别Web应用服务中的跨站点脚本(XSS)和SQL注入等安全风险。通过基于证据的扫描技术,不仅可以生成风险报告,还可以通过概念验证(ProofofConcept)来确认是否存在误报,减少人工验证漏洞的时间。核心功能:提供高级Web服务扫描、漏洞评估、HTTP请求生成器通过基于证据的扫描技术,实现准确的威胁发现完全支持HTML5,可集成软件开发生命周期(SDLC)提供手动测试和报告,可自动化识别定制404错误页面支持反跨站点请求伪造(CSRF)令牌、反CSRF令牌和RESTAPI下载链接:https://www.netsparker.com/5。AcunetixAcunetix是一个全自动的网络漏洞扫描器。它智能检测、识别和报告超过4500个Web应用程序漏洞,包括XSSXXE、SSRF、主机头注入和SQL注入的所有变体。作为商业工具,Acunetix通过其DeepScanCrawler扫描AJAX-heavy(AJAX-heavy)客户端类型的单页应用程序(SPA)和HTML5网站。用户可以使用它将检测到的漏洞导出到问题跟踪器,例如:GitHub、AtlassianJIRA、MicrosoftTFS(TeamFoundationServer)等。核心功能:提供低误报率的高危漏洞检测通过集成的漏洞管理,使组织可以控制各种风险通过自动扫描,深度爬取和审查各种网站兼容流行的WAF和GitHub,JIRA、TFS和其他问题跟踪器集成,提供开源的网络安全扫描和手动测试工具,可以在Linux、Windows和在线环境中运行。下载链接:https://www.acunetix.com/6。Nessus由TenableNetworkSecurityNessus提供支持,由该公司开发和维护,是一种面向安全从业者的漏洞评估解决方案。它可以帮助检测和修复各种操作系统、应用程序甚至设备上的漏洞、恶意软件、配置错误和缺失的补丁。通过在Windows、Linux、Mac和Solaris上运行,用户可以使用它来扫描IP和网站、检查合规性、搜索敏感数据和其他测试。核心特性:提供配置和移动设备的审计轻松自定义报告摘要,突出显示扫描结果,并按主机或漏洞排序识别可被远程攻击者访问的机密数据识别网络中的漏洞主机故障,并确定是否存在缺失补丁下载链接:http://www.tenable.com/products/nessus7。W3af作为一个免费工具,W3af是一个Web应用程序攻击和审计框架。它通过搜索、识别和利用200多个已知的Web应用程序漏洞来控制目标网站的整体风险。这些漏洞包括:跨站点脚本(XSS)、SQL注入、未处理的应用程序错误、可猜测的密钥凭证和PHP错误配置。W3af不仅适用于Mac、Linux和Windows操作系统,还提供控制台和GUI。核心功能:能够在其代码中加入Web和代理服务器,支持代理向HTTP请求的各个部分注入负载支持HTTP基本和摘要认证可以处理cookies,伪造UserAgent支持HTTP响应缓存和DNS缓存可以在一个文件中上传文件分段方式。您可以向请求添加自定义标头。下载链接:http://w3af.org/8。ZedAttackProxyZedAttackProxy(ZAP)是由OWASP测试工具开发的免费开源安全软件。它允许您发现Web应用程序中的一系列安全风险和漏洞。由于支持Unix/Linux、Windows和MacOS,即使您是渗透测试新手,也可以轻松上手使用该工具。核心功能:支持认证、AJAX爬取、自动扫描支持强制浏览和动态SSL证书支持Web套接字和即插即用(Plug-n-hack)可以拦截代理支持REST-basedAPI下载链接:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project9。Burpsuite是一款严格控制的“入侵者”扫描工具。Burpsuite被一些安全测试专家认为:“没有它,渗透测试将无法进行。”虽然它不是免费的,但Burpsuite提供了丰富的功能。通常,可以在MacOSX、Windows和Linux环境中使用它进行测试,例如爬取内容和功能、拦截代理和扫描Web应用程序。核心功能:提供跨平台支持稳定且轻量级几乎可以与所有主流浏览器结合使用可以执行自定义攻击精心设计的用户界面可以辅助抓取网站可以辅助扫描Https/HTTP类型的请求和响应网址:http://portswigger.net/打嗝/10。Sqlninja作为最好的开源渗透测试工具之一,Sqlninja可以使用MicrosoftSQLServer作为后端来检测Web应用程序上的SQL注入威胁和漏洞。此自动化测试工具提供命令行界面,可在Linux和AppleMacOSX上使用。Sqlninja具有描述性特征,包括:计算远程命令、DB指纹及其检测引擎。核心功能:为UDP和TCP提供直接和反向shell支持远程SQLServer的指纹识别如果禁用raw可以自行生成XPcmdshell可以从远程数据库中提取数据允许在远程数据库服务器上进行操作系统级权限提升通过反向扫描,您可以找到可用于反向shell的端口下载链接:http://sqlninja.sourceforge.net/总结了上面列出的十大网络安全测试工具,毫无疑问可以通过严格的渗透测试,减少你的个人数据和隐私被盗,以及被泄露的可能性。同时,它们还可以保护企业的IT基础设施免受网络攻击。当然,这些安全软件工具也需要不断升级维护,才能提供一流的安全服务。原标题:2021年值得关注的10种网络安全工具,作者:SudipSengupta
