40 Alat Ujian Penetrasi Terbaik (Ujian Pen) Vapt pada tahun 2021

Anonim
Alat Uji Penetrasi membantu dalam mengenal pasti kelemahan keselamatan pada rangkaian, pelayan atau aplikasi web. Alat ini sangat berguna kerana ia membolehkan anda mengenal pasti "kerentanan yang tidak diketahui" dalam perisian dan aplikasi rangkaian yang boleh menyebabkan pelanggaran keselamatan. Alat Penilaian Kerentanan dan Uji Penetrasi (VAPT) menyerang sistem anda di dalam rangkaian dan di luar rangkaian seolah-olah penggodam akan menyerangnya. Sekiranya akses tidak dibenarkan, sistem harus diperbetulkan. Berikut adalah senarai 40 Alat Uji Penetrasi teratas

1) Netsparker

Netsparker adalah pengimbas keselamatan aplikasi web yang mudah digunakan yang secara automatik dapat mencari SQL Injection, XSS dan kelemahan lain dalam aplikasi web dan perkhidmatan web anda. Ia tersedia sebagai penyelesaian di tempat dan SAAS. ciri-ciri
  • Pengesanan kerentanan yang tepat dengan Teknologi Pengimbasan Berasaskan Bukti yang unik.
  • Konfigurasi minimum diperlukan. Pengimbas secara automatik mengesan peraturan penulisan semula URL, halaman ralat 404 tersuai.
  • REST API untuk penyatuan yang lancar dengan SDLC, sistem pengesanan pepijat dll
  • Penyelesaian berskala sepenuhnya. Imbas 1,000 aplikasi web hanya dalam 24 jam.

2) Acunetix

Acunetix adalah alat ujian penembusan automatik sepenuhnya. Pengimbas keselamatan aplikasi webnya dengan tepat mengimbas aplikasi HTML5, JavaScript dan Halaman satu. Ia dapat mengaudit aplikasi web yang rumit dan disahkan serta mengeluarkan laporan kepatuhan dan pengurusan terhadap berbagai kerentanan web dan jaringan, termasuk kerentanan di luar jalur.

Ciri-ciri:

  • Mengimbas semua varian kelemahan SQL Injection, XSS, dan 4500+
  • Mengesan lebih daripada 1200 kelemahan teras, tema, dan pemalam
  • Cepat & Skalabel - merangkak ratusan ribu halaman tanpa gangguan
  • Bersepadu dengan WAF dan Penjejak Masalah yang popular untuk membantu dalam SDLC
  • Terdapat Di Premis dan sebagai penyelesaian Cloud.

3) Penceroboh

Penyusup adalah alat ujian penembusan automatik yang kuat yang dapat mengetahui kelemahan keselamatan di seluruh persekitaran IT anda. Menawarkan pemeriksaan keselamatan terkemuka di industri, pemantauan berterusan dan platform yang mudah digunakan, Intruder memastikan perniagaan dari semua saiz selamat dari penggodam.

ciri-ciri

  • Liputan ancaman terbaik di kelas dengan lebih 10,000 pemeriksaan keselamatan
  • Memeriksa kelemahan konfigurasi, patch yang hilang, kelemahan aplikasi (seperti sQL injection & cross-site scripting) dan banyak lagi
  • Analisis automatik dan keutamaan hasil imbasan
  • Antaramuka intuitif, cepat disiapkan dan jalankan imbasan pertama anda
  • Pemantauan keselamatan yang proaktif untuk kelemahan terkini
  • Penyambung AWS, Azure dan Google Cloud
  • Integrasi API dengan saluran paip CI / CD anda

4) Permukaan Indus

Indusface WAS menawarkan ujian Penetrasi manual dan pengimbasan automatik untuk mengesan dan melaporkan kerentanan berdasarkan OWASP 10 teratas dan SANS 25 teratas.

ciri-ciri

  • Crawler mengimbas aplikasi satu halaman
  • Jeda dan sambung semula ciri
  • Laporan pengimbas PT dan automatik manual dipaparkan di papan pemuka yang sama
  • Bukti permintaan konsep tanpa had menawarkan bukti kelemahan yang dilaporkan dan membantu menghilangkan positif palsu dari penemuan imbasan automatik
  • Integrasi WAF pilihan untuk memberikan tampalan maya segera dengan Zero False positif
  • Memperluas liputan perayapan secara automatik berdasarkan data lalu lintas sebenar dari sistem WAF (sekiranya WAF dilanggan dan digunakan)
  • Sokongan 24 × 7 untuk membincangkan panduan pemulihan / POC

5) Perisian Pengesanan Pencerobohan

Perisian Pengesanan Pencerobohan adalah alat yang membolehkan anda mengesan semua jenis ancaman lanjutan. Ini menyediakan pelaporan kepatuhan untuk DSS (Sistem Pendukung Keputusan) dan HIPAA. Aplikasi ini dapat terus memantau serangan dan aktiviti yang mencurigakan.

Ciri-ciri:

  • Kurangkan usaha pengesanan pencerobohan.
  • Menawarkan pematuhan dengan pelaporan yang berkesan.
  • Menyediakan log masa nyata.
  • Ia dapat mengesan IP, aplikasi, akaun dan banyak lagi yang berniat jahat.

6) Traceroute NG

Traceroute NG adalah aplikasi yang membolehkan anda menganalisis jalur rangkaian. Perisian ini dapat mengenal pasti alamat IP, nama host, dan kehilangan paket. Ia memberikan analisis yang tepat melalui antara muka baris perintah

Ciri-ciri:

  • Ia menawarkan analisis jalur rangkaian TCP dan ICMP.
  • Aplikasi ini dapat membuat logfile txt.
  • Menyokong IP4 dan IPV6.
  • Kesan perubahan jalan dan beri anda pemberitahuan.
  • Membolehkan pemeriksaan rangkaian berterusan.

7) ExpressVPN

ExpressVPN selamat melayari internet terhadap agensi tiga huruf dan penipu. Ia menawarkan akses tanpa had ke muzik, media sosial, dan video sehingga program ini tidak pernah mencatat alamat IP, sejarah penyemakan imbas, pertanyaan DNS, atau tujuan lalu lintas.

Ciri-ciri:

  • Pelayan di 160 lokasi dan 94 negara
  • Sambungkan ke VPN tanpa had lebar jalur.
  • Memberi perlindungan dalam talian menggunakan bukti kebocoran dan penyulitan.
  • Tetap selamat dengan menyembunyikan alamat IP dan menyulitkan data rangkaian anda.
  • Bantuan tersedia 24/7 melalui e-mel dan juga sembang langsung.
  • Bayar dengan Bitcoin dan gunakan Tor untuk mengakses laman web tersembunyi.

8) Owasp

Projek Keselamatan Aplikasi Web Terbuka (OWASP) adalah organisasi bukan untung di seluruh dunia yang memfokuskan pada peningkatan keselamatan perisian. Projek ini mempunyai pelbagai alat untuk menguji pelbagai persekitaran dan protokol perisian. Alat utama projek termasuk

  1. Zed Attack Proxy (ZAP - alat ujian penembusan bersepadu)
  2. Pemeriksaan Ketergantungan OWASP (mengimbas kebergantungan projek dan memeriksa kelemahan yang diketahui)
  3. Projek Persekitaran Ujian Web OWASP (koleksi alat dan dokumentasi keselamatan)

Panduan ujian OWASP memberikan "amalan terbaik" untuk ujian penembusan aplikasi web yang paling biasa

Pautan Owasp

9) WireShark

Wireshark adalah alat pentest analisis rangkaian yang sebelumnya dikenali sebagai Ethereal. Ia menangkap paket dalam masa nyata dan memaparkannya dalam format yang boleh dibaca oleh manusia. Pada dasarnya, ia adalah penganalisis paket rangkaian- yang memberikan perincian minit mengenai protokol rangkaian anda, penyahsulitan, maklumat paket, dll. Ia adalah sumber terbuka dan boleh digunakan pada Linux, Windows, OS X, Solaris, NetBSD, FreeBSD dan banyak lagi sistem lain. Maklumat yang diperoleh melalui alat ini dapat dilihat melalui GUI atau mod TTY TShark Utility.

Ciri WireShark merangkumi

  • Analisis tangkapan langsung dan luar talian
  • Analisis VoIP yang kaya
  • Fail tangkapan yang dimampatkan dengan gzip dapat dinyahkompres dengan cepat
  • Output dapat dieksport ke XML, PostScript, CSV atau teks biasa
  • Pelbagai platform: Berjalan di windows, Linux, FreeBSD, NetBSD dan banyak lagi
  • Data langsung boleh dibaca dari internet, PPP / HDLC, ATM, Blue-gigi, USB, Token Ring, dll.
  • Sokongan penyahsulitan untuk banyak protokol yang merangkumi IPsec, ISAKMP, SSL / TLS, WEP, dan WPA / WPA2
  • Untuk analisis intuitif cepat, peraturan pewarnaan dapat diterapkan pada paket
  • Baca / Tulis banyak format fail tangkapan yang berbeza

Muat turun Wireshark

10) w3af

w3af adalah kerangka serangan dan audit aplikasi web. Ia mempunyai tiga jenis pemalam; penemuan, audit dan serangan yang berkomunikasi antara satu sama lain untuk sebarang kelemahan di laman web, misalnya plugin penemuan di w3af mencari url yang berbeza untuk menguji kerentanan dan meneruskannya ke plugin audit yang kemudian menggunakan URL ini untuk mencari kelemahan.

Ia juga boleh dikonfigurasi untuk dijalankan sebagai proksi MITM. Permintaan yang dicegat dapat dikirim ke generator permintaan dan kemudian pengujian aplikasi web manual dapat dilakukan dengan menggunakan parameter variabel. Ia juga mempunyai fitur untuk mengeksploitasi kerentanan yang ditemuinya.

Ciri W3af

  • Sokongan proksi
  • Cache respons HTTP
  • Cache DNS
  • Memuat naik fail menggunakan berbilang bahagian
  • Pengendalian kuki
  • Pengesahan asas dan intisari HTTP
  • Ejen pengguna memalsukan
  • Tambahkan tajuk utama untuk permintaan

pautan muat turun w3af

11) Metaspoilt

Ini adalah Rangka Kerja yang paling popular dan maju yang boleh digunakan untuk pentest. Ini adalah alat sumber terbuka berdasarkan konsep 'exploit' yang bermaksud anda melewati kod yang melanggar langkah-langkah keselamatan dan memasuki sistem tertentu. Sekiranya dimasukkan, ia menjalankan 'payload', kod yang melakukan operasi pada mesin sasaran, sehingga menciptakan kerangka yang sempurna untuk ujian penembusan. Ini adalah ujian alat pengujian yang hebat sama ada IDS berjaya mencegah serangan yang kita lalui

Metaspoilt dapat digunakan pada jaringan, aplikasi, pelayan, dll. Ia memiliki baris perintah dan antarmuka yang dapat diklik GUI, berfungsi di Apple Mac OS X, bekerja di Linux dan Microsoft Windows.

Ciri-ciri Metaspoilt

  • Antara muka baris arahan asas
  • Import pihak ketiga
  • Memaksa kasar secara manual
  • Memaksa kasar secara manual
  • ujian penembusan laman web

Pautan muat turun Metaspoilt

12) Kali

Kali hanya berfungsi pada Mesin Linux. Ini membolehkan anda membuat cadangan dan jadual pemulihan yang sesuai dengan keperluan anda. Ini mempromosikan cara cepat dan mudah untuk mencari dan mengemas kini pangkalan data terbesar koleksi ujian penembusan keselamatan sehingga kini. Ini adalah alat terbaik yang tersedia untuk menghidu dan menyuntik paket. Kepakaran dalam protokol dan rangkaian TCP / IP dapat bermanfaat semasa menggunakan alat ini.

ciri-ciri

  • Penambahan sokongan 64 bit membolehkan keretakan kata laluan kekerasan
  • Back Track dilengkapi dengan alat pra-muat untuk mengendus LAN dan WLAN, pengimbasan kerentanan, retak kata laluan, dan forensik digital
  • Backtrack berintegrasi dengan beberapa alat terbaik seperti Metaspoilt dan Wireshark
  • Selain alat rangkaian, ia juga merangkumi pidgin, xmms, Mozilla, k3b, dll.
  • Laluan belakang menyokong KDE dan Gnome.

Pautan muat turun Kali

13) Rangka kerja Samurai:

Rangka Kerja Pengujian Web Samurai adalah perisian pengujian pen. Ia disokong pada VirtualBox dan VMWare yang telah dikonfigurasikan untuk berfungsi sebagai persekitaran pengujian pen web.

Ciri-ciri:

  • Ia adalah sumber terbuka, percuma untuk menggunakan alat
  • Ini mengandungi yang terbaik dari sumber terbuka dan alat percuma yang menumpukan pada pengujian dan menyerang laman web
  • Ini juga termasuk wiki yang telah dikonfigurasikan untuk menubuhkan pusat maklumat pusat semasa ujian pen

Pautan muat turun: https://sourceforge.net/projects/samurai/files/

14) Pesawat udara:

Aircrack adalah alat pentesting tanpa wayar yang berguna. Ia memecahkan sambungan tanpa wayar yang rentan. Ia dikuasakan oleh Kunci penyulitan WEP WPA dan WPA 2.

Ciri-ciri:

  • Lebih banyak kad / pemandu disokong
  • Sokong semua jenis OS dan platform
  • Serangan WEP baru: PTW
  • Sokongan untuk serangan kamus WEP
  • Sokongan untuk serangan Fragmentasi
  • Kelajuan pengesanan yang ditingkatkan

Pautan muat turun: https://www.aircrack-ng.org/downloads.html

15) ZAP:

ZAP adalah salah satu alat ujian keselamatan sumber terbuka yang paling popular. Ia dikendalikan oleh ratusan sukarelawan antarabangsa. Ini dapat membantu pengguna untuk mencari kerentanan keselamatan dalam aplikasi web selama fasa pengembangan dan pengujian.

Ciri-ciri:

  • Ini membantu Mengenal pasti lubang keselamatan yang terdapat dalam aplikasi web dengan mensimulasikan serangan sebenar
  • Pengimbasan pasif menganalisis tindak balas dari pelayan untuk mengenal pasti masalah tertentu
  • Ia mencuba akses kekerasan ke fail dan direktori.
  • Ciri labah-labah membantu membina struktur hierarki laman web
  • Membekalkan data yang tidak sah atau tidak dijangka untuk menghancurkannya atau menghasilkan hasil yang tidak dijangka
  • Alat yang berguna untuk mengetahui port terbuka di laman web sasaran
  • Ini menyediakan shell Java interaktif yang dapat digunakan untuk menjalankan skrip BeanShell
  • Ia sepenuhnya bertaraf antarabangsa dan menyokong 11 bahasa

Pautan muat turun: https://github.com/zaproxy/zaproxy/wiki

16) Sqlmap:

Sqlmap adalah alat ujian penembusan sumber terbuka. Ia mengotomatisasi keseluruhan proses mengesan dan memanfaatkan kekurangan suntikan SQL. Ia dilengkapi dengan banyak mesin dan ciri pengesanan untuk ujian penembusan yang ideal.

Ciri-ciri:

  • Sokongan penuh untuk enam teknik suntikan SQL
  • Membolehkan sambungan terus ke pangkalan data tanpa melalui suntikan SQL
  • Sokongan untuk menghitung pengguna, hash kata laluan, hak istimewa, peranan, pangkalan data, jadual, dan lajur
  • Pengecaman kata laluan secara automatik yang diberikan dalam format hash dan sokongan untuk memecahkannya
  • Sokong untuk membuang jadual pangkalan data sepenuhnya atau lajur tertentu
  • Pengguna juga dapat memilih rangkaian watak dari setiap entri lajur
  • Membolehkan mewujudkan hubungan TCP antara sistem yang terjejas dan pelayan pangkalan data
  • Sokongan untuk mencari nama, jadual atau lajur tertentu di semua pangkalan data dan jadual
  • Membolehkan untuk melaksanakan perintah sewenang-wenang dan mengambil output standard mereka di pelayan pangkalan data

Pautan muat turun: https://github.com/sqlmapproject/sqlmap

17) Sqlninja:

Sqlninja adalah alat ujian penembusan. Ini bertujuan untuk memanfaatkan kelemahan SQL Injection pada aplikasi web. Ia menggunakan Microsoft SQL Server sebagai back-end. Ini juga menyediakan akses jarak jauh pada pelayan DB yang rentan, bahkan dalam lingkungan yang sangat bermusuhan.

Ciri-ciri:

  • Cap jari SQL terpencil
  • Pengekstrakan data, berdasarkan masa atau menggunakan terowong DNS
  • Membolehkan Integrasi dengan Metasploit3, untuk mendapatkan akses grafik ke pelayan DB jauh
  • Muat naik boleh dilaksanakan hanya menggunakan permintaan HTTP biasa melalui VBScript atau debug.exe
  • Bindshell langsung dan terbalik, baik untuk TCP dan UDP
  • Pembuatan xp cmdshell tersuai jika yang asli tidak tersedia di w2k3 menggunakan penculikan token

Pautan muat turun: http://sqlninja.sourceforge.net/download.html

18) BeEF:

Rangka Kerja Eksploitasi Penyemak Imbas. Ini adalah alat pentesting yang memfokuskan pada penyemak imbas web. Ia menggunakan GitHub untuk mengesan masalah dan menjadi tuan rumah repositori gitnya.

Ciri-ciri:

  • Ia memungkinkan untuk memeriksa postur keselamatan sebenar dengan menggunakan vektor serangan sisi pelanggan
  • BeEF membolehkan menghubungkan dengan satu atau lebih penyemak imbas web. Ia kemudian dapat digunakan untuk melancarkan modul arahan yang diarahkan dan serangan lebih lanjut pada sistem.

Pautan muat turun: http://beefproject.com

19) Dradis:

Dradis adalah kerangka sumber terbuka untuk ujian penembusan. Ia membolehkan mengekalkan maklumat yang dapat dikongsi di antara peserta ujian pen. Maklumat yang dikumpulkan membantu pengguna untuk memahami apa yang selesai dan apa yang perlu dilengkapkan.

Ciri-ciri:

  • Proses yang mudah untuk penghasilan laporan
  • Sokongan untuk lampiran
  • Kerjasama yang lancar
  • Integrasi dengan sistem dan alat yang ada menggunakan pemalam pelayan
  • Platform bebas

Pautan muat turun: https://dradisframework.com/ce

20) Cepat 7:

Nexpose Rapid 7 adalah perisian pengurusan kerentanan yang berguna. Ia memantau pendedahan secara real-time dan menyesuaikan diri dengan ancaman baru dengan data baru yang membantu pengguna bertindak pada masa kesan.

Ciri-ciri:

  • Dapatkan Paparan Risiko Masa Nyata
  • Ia membawa penyelesaian inovatif dan progresif yang membantu pengguna menyelesaikan tugas mereka
  • Ketahui Tempat Fokus
  • Manfaatkan Lebih Banyak Program Keselamatan Anda

Pautan muat turun: https://www.rapid7.com/products/nexpose/download/

21) Hping:

Hping adalah alat ujian pen penganalisis paket TCP / IP. Antara muka ini diilhamkan untuk arahan ping (8) UNIX. Ia menyokong protokol TCP, ICMP, UDP, dan RAW-IP.

Ciri-ciri:

  • Membolehkan ujian firewall
  • Pengimbasan port lanjutan
  • Ujian rangkaian, menggunakan protokol, TOS, pemecahan yang berbeza
  • Penemuan MTU jalan manual
  • Jejak lanjutan dengan semua protokol yang disokong
  • Jari cap OS jarak jauh & meneka masa
  • TCP / IP tumpukan pengauditan

Pautan muat turun: https://github.com/antirez/hping

22) SuperScan:

Superscan adalah alat ujian penembusan sumber tertutup Windows sahaja yang percuma. Ini juga merangkumi alat rangkaian seperti ping, traceroute, whois dan HTTP HEAD.

Ciri:

  • Kelajuan imbasan yang unggul
  • Sokongan untuk julat IP tanpa had
  • Pengesanan host yang lebih baik menggunakan pelbagai kaedah ICMP
  • Berikan sokongan untuk pengimbasan TCP SYN
  • Penjanaan laporan HTML ringkas
  • Pengimbasan port sumber
  • Meraih sepanduk yang luas
  • Pangkalan data penerangan senarai pelabuhan terbina dalam yang besar
  • Pengacakan pesanan imbasan IP dan port
  • Keupayaan penghitungan hos Windows yang luas

Pautan muat turun: https://superscan.en.softonic.com/

23) Pengimbas ISS:

Pengimbas Internet IBM adalah alat ujian pen yang menjadi asas kepada keselamatan rangkaian yang berkesan untuk perniagaan apa pun.

Ciri-ciri:

  • Pengimbas Internet meminimumkan risiko perniagaan dengan mencari titik lemah dalam rangkaian
  • Ini memungkinkan untuk mengautomatikkan imbasan dan menemui kelemahan
  • Pengimbas Internet mengurangkan risiko dengan mengenal pasti kelemahan keselamatan, atau kerentanan, dalam rangkaian
  • Pengurusan Kerentanan Lengkap
  • Pengimbas Internet dapat mengenal pasti lebih daripada 1,300 jenis peranti rangkaian

Pautan muat turun : https://www.ibm.com/products/trials

24) Scapy:

Scapy adalah alat ujian pen yang kuat dan interaktif. Ia dapat menangani banyak tugas klasik seperti mengimbas, menyiasat, dan menyerang di rangkaian.

Ciri-ciri:

  • Ia melakukan beberapa tugas khusus seperti mengirim bingkai yang tidak sah, menyuntikkan 802.11 bingkai. Ia menggunakan pelbagai teknik penggabungan yang sukar dilakukan dengan alat lain
  • Ini membolehkan pengguna membina tepat paket yang mereka mahukan
  • Mengurangkan bilangan baris yang ditulis untuk melaksanakan kod tertentu

Pautan muat turun: https://scapy.net/

25) Besi WASP:

IronWASP adalah perisian sumber terbuka untuk ujian kerentanan aplikasi web. Ia dirancang agar dapat disesuaikan agar pengguna dapat membuat pengimbas keselamatan tersuai yang menggunakannya.

Ciri-ciri:

  • Berasaskan GUI dan sangat mudah digunakan
  • Ia mempunyai mesin pengimbas yang kuat dan berkesan
  • Sokongan untuk merakam urutan Login
  • Melaporkan dalam format HTML dan RTF
  • Memeriksa lebih daripada 25 jenis kerentanan web
  • Sokongan pengesanan Positif dan Negatif Palsu
  • Ia menyokong Python dan Ruby
  • Diperluas menggunakan pemalam atau modul di Python, Ruby, C # atau VB.NET

Pautan muat turun: http://ironwasp.org/download.html

26) Ettercap:

Ettercap adalah alat ujian pen yang komprehensif. Ia menyokong pembedahan aktif dan pasif. Ini juga merangkumi banyak ciri untuk analisis rangkaian dan host.

Ciri-ciri:

  • Ia menyokong pemecahan aktif dan pasif banyak protokol
  • Ciri keracunan ARP untuk menghidu LAN yang dihidupkan antara dua host
  • Karakter dapat disuntik ke pelayan atau pelanggan sambil mengekalkan sambungan langsung
  • Ettercap mampu menghidu sambungan SSH dalam dupleks penuh
  • Membolehkan menghidu data HTTP SSL yang diamankan walaupun sambungan dibuat menggunakan proksi
  • Membolehkan pembuatan plugin tersuai menggunakan API Ettercap

Muat turun pautan: https://www.ettercap-project.org/downloads.html

27) Bawang Keselamatan:

Security Onion adalah alat ujian penembusan. Ini digunakan untuk pengesanan pencerobohan, dan pemantauan keselamatan rangkaian. Ia mempunyai wizard Penyediaan yang mudah digunakan yang membolehkan pengguna membina sekumpulan sensor yang diedarkan untuk perusahaan mereka.

Ciri-ciri:

  • Ia dibina berdasarkan model pelayan pelanggan yang diedarkan
  • Pemantauan Keselamatan Rangkaian membolehkan pemantauan untuk peristiwa berkaitan keselamatan
  • Ia menawarkan tangkapan paket penuh
  • Sistem pengesanan pencerobohan berasaskan rangkaian dan host
  • Ia memiliki mekanisme bawaan untuk membersihkan data lama sebelum peranti penyimpanan memenuhi kapasitinya

Pautan muat turun: https://securityonion.net/

28) Pemeriksa Perisian Peribadi:

Pemeriksa Perisian Peribadi adalah penyelesaian keselamatan komputer sumber terbuka. Alat ini dapat mengenal pasti kelemahan dalam aplikasi pada PC atau Pelayan.

Ciri-ciri:

  • Ia tersedia dalam lapan bahasa yang berbeza
  • Mengautomasikan kemas kini untuk program yang tidak selamat
  • Ia merangkumi ribuan program dan secara automatik mengesan program yang tidak selamat
  • Alat ujian pen ini secara automatik dan secara berkala mengimbas PC untuk program yang rentan
  • Mengesan dan memberitahu program yang tidak dapat dikemas kini secara automatik

Pautan muat turun: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager

29) HconSTF:

HconSTF adalah alat Uji Penembusan Sumber Terbuka berdasarkan teknologi penyemak imbas yang berbeza. Ia membantu setiap profesional keselamatan untuk membantu dalam ujian Penembusan. Ia mengandungi alat web yang kuat dalam melakukan XSS, SQL injection, CSRF, Trace XSS, RFI, LFI, dll.

Ciri-ciri:

  • Set alat yang dikategorikan dan komprehensif
  • Setiap pilihan dikonfigurasi untuk ujian penembusan
  • Dikonfigurasikan khas dan ditingkatkan untuk mendapatkan anonimiti yang kukuh
  • Berfungsi untuk penilaian ujian aplikasi web
  • Sistem Operasi yang mudah digunakan & kolaboratif

Pautan muat turun: http://www.hcon.in/

30) Aplikasi Keselamatan IBM:

IBM Security AppScan membantu meningkatkan keselamatan aplikasi web dan keselamatan aplikasi mudah alih. Ini meningkatkan keselamatan aplikasi dan memperkuat pematuhan peraturan. Ini membantu pengguna mengenal pasti kelemahan keselamatan dan menghasilkan laporan.

Ciri-ciri:

  • Dayakan Pembangunan dan QA untuk melakukan pengujian semasa proses SDLC
  • Kawal aplikasi yang boleh diuji oleh setiap pengguna
  • Sebarkan laporan dengan mudah
  • Meningkatkan keterlihatan dan memahami risiko perusahaan dengan lebih baik
  • Fokus untuk mencari dan menyelesaikan masalah
  • Kawal akses maklumat

Pautan muat turun: http://www-03.ibm.com/software/products/en/appscan

31) Arachni:

Arachni adalah alat berasaskan rangka kerja Ruby sumber terbuka untuk penguji & pentadbir penembusan. Ia digunakan untuk menilai keselamatan aplikasi web moden.

Ciri-ciri:

  • Ini adalah alat serba boleh, jadi ia merangkumi sebilangan besar kes penggunaan. Ini bermula dari utiliti pengimbas baris perintah sederhana hingga grid pengimbas berprestasi tinggi global
  • Pilihan untuk Pelbagai penggunaan
  • Ia menawarkan asas kod yang dapat diperiksa dan diperiksa untuk memastikan tahap perlindungan tertinggi
  • Ia boleh disatukan dengan persekitaran penyemak imbas dengan mudah
  • Ia menawarkan laporan yang sangat terperinci dan tersusun

Pautan muat turun: https://sourceforge.net/projects/safe3wvs/files

32) Melindungi Web:

Websecurify adalah persekitaran ujian keselamatan yang kuat. Ia adalah antara muka mesra pengguna yang mudah dan senang digunakan. Ia menawarkan gabungan teknologi ujian kerentanan automatik dan manual.

Ciri-ciri:

  • Teknologi pengujian dan pengimbasan yang baik
  • Mesin ujian yang kuat untuk mengesan URL
  • Ia boleh diperluas dengan banyak tambahan yang ada
  • Ia tersedia untuk semua platform desktop dan mudah alih utama

Pautan muat turun: https://www.websecurify.com/

33) Vega:

Vega adalah pengimbas keselamatan web sumber terbuka dan platform ujian pen untuk menguji keselamatan aplikasi web.

Ciri-ciri:

  • Ujian Keselamatan Automatik, Manual, dan Hibrid
  • Ia membantu pengguna mencari kelemahan. Ini mungkin skrip silang laman, skrip lintas tapak tersimpan, suntikan SQL buta, suntikan shell, dll.
  • Ia boleh masuk ke laman web secara automatik apabila diberikan bukti kelayakan pengguna
  • Ia berjalan dengan berkesan pada Linux, OS X, dan Windows
  • Modul pengesanan Vega ditulis dalam JavaScript

Pautan muat turun: https://subgraph.com/vega/download/index.en.html

34) Wapiti:

Wapiti adalah satu lagi alat ujian penembusan yang terkenal. Ia membolehkan pengauditan keselamatan aplikasi web. Ia menyokong kaedah GET dan POST HTTP untuk pemeriksaan kerentanan.

Ciri-ciri:

  • Menghasilkan laporan kerentanan dalam pelbagai format
  • Ia dapat menangguhkan dan meneruskan imbasan atau serangan
  • Cara cepat dan mudah untuk mengaktifkan dan mematikan modul serangan
  • Sokong proksi HTTP dan HTTPS
  • Ia membolehkan mengekang skop imbasan
  • Penghapusan parameter secara automatik dalam URL
  • Import kuki
  • Ia boleh mengaktifkan atau menyahaktifkan pengesahan sijil SSL
  • Ekstrak URL dari fail SWF Flash

Pautan muat turun: https://sourceforge.net/projects/wapiti/files/

35) Kismet:

Kismet adalah sistem pengesan rangkaian tanpa wayar dan sistem pengesanan pencerobohan. Ia berfungsi dengan rangkaian Wi-Fi tetapi dapat dikembangkan melalui pemalam kerana memungkinkan untuk menangani jenis rangkaian lain.

Ciri-ciri:

  • Membolehkan pembalakan PCAP standard
  • Senibina modular pelanggan / Pelayan
  • Senibina pemalam untuk mengembangkan ciri teras
  • Sokongan sumber tangkapan berganda
  • Mengedarkan penghidu jarak jauh melalui tangkapan jarak jauh yang ringan
  • Output XML untuk penyatuan dengan alat lain

Pautan muat turun: https://www.kismetwireless.net/downloads/

36) Kali Linux:

Kali Linux adalah alat ujian pena sumber terbuka yang dikendalikan dan dibiayai oleh Offensive Security.

Ciri-ciri:

  • Penyesuaian penuh ISO Kali dengan live-build untuk membuat gambar Kali Linux yang disesuaikan
  • Ia mengandungi sekumpulan koleksi pakej Meta yang menggabungkan kumpulan alat yang berbeza
  • ISO of Doom dan Resepi Kali Lain
  • Penyulitan Cakera pada Raspberry Pi 2
  • USB Langsung dengan Kedai Kegigihan Pelbagai

Pautan muat turun: https://www.kali.org/

37) Keselamatan Burung Nuri:

Parrot Security adalah alat ujian pen. Ia menawarkan makmal mudah alih sepenuhnya untuk pakar keselamatan dan forensik digital. Ia juga membantu pengguna melindungi privasi mereka dengan tanpa nama dan alat kripto.

Ciri-ciri:

  • Ia merangkumi peralatan lengkap berorientasikan keselamatan untuk melakukan ujian penembusan, audit keselamatan dan banyak lagi.
  • Ia dilengkapi dengan perpustakaan yang telah dipasang dan berguna dan dikemas kini
  • Menawarkan pelayan cermin di seluruh dunia yang kuat
  • Membolehkan pembangunan yang didorong oleh masyarakat
  • Menawarkan Cloud OS yang berasingan yang direka khas untuk pelayan

Pautan muat turun: https://www.parrotsec.org/download/

38) OpenSSL:

Kit alat ini dilesenkan di bawah lesen gaya Apache. Ini adalah projek sumber percuma dan terbuka yang menyediakan kit alat lengkap untuk protokol TLS dan SSL.

Ciri-ciri:

  • Ia ditulis dalam bahasa C, tetapi pembungkus tersedia untuk banyak bahasa komputer
  • Perpustakaan merangkumi alat untuk menghasilkan kunci peribadi RSA dan Permintaan Tandatangan Sijil
  • Sahkan fail CSR
  • Buang Frasa Laluan sepenuhnya dari Key
  • Buat Kunci Peribadi baru dan benarkan Permintaan Tandatangan Sijil

Pautan muat turun: https://www.openssl.org/source/

39) Mendengkur:

Snort adalah sistem pengesanan pencerobohan sumber terbuka dan ujian pen. Ia menawarkan kelebihan kaedah pemeriksaan berdasarkan protokol dan anomali. Alat ini membantu pengguna mendapatkan perlindungan maksimum dari serangan malware.

Ciri-ciri:

  • Snort terkenal kerana dapat mengesan ancaman dengan tepat pada kelajuan tinggi
  • Lindungi ruang kerja anda dari serangan yang muncul dengan cepat
  • Snort dapat digunakan untuk membuat penyelesaian keselamatan rangkaian unik yang disesuaikan
  • Uji sijil SSL URL tertentu
  • Ia dapat memeriksa sama ada cipher tertentu diterima di URL
  • Sahkan Pihak Berkuasa Penandatangan Sijil
  • Keupayaan mengemukakan positif / negatif palsu

Pautan muat turun: https://www.snort.org/downloads

40) Kotak Belakang:

BackBox adalah projek Komuniti Sumber Terbuka dengan objektif untuk meningkatkan budaya keselamatan di persekitaran IT. Ia tersedia dalam dua variasi berbeza seperti Backbox Linux dan Backbox Cloud. Ia merangkumi beberapa alat keselamatan dan analisis yang paling terkenal / digunakan.

Ciri-ciri:

  • Alat ini berguna untuk mengurangkan keperluan sumber syarikat dan mengurangkan kos menguruskan pelbagai keperluan peranti rangkaian
  • Ia adalah alat ujian pen automatik sepenuhnya. Jadi, tidak perlu ejen dan konfigurasi rangkaian untuk membuat perubahan. Untuk melakukan konfigurasi automatik berjadual
  • Akses Selamat ke Peranti
  • Organisasi dapat menjimatkan masa kerana tidak perlu mengesan peranti rangkaian individu
  • Menyokong Enkripsi Fail Kredensial dan Konfigurasi
  • Sandaran Sendiri dan Storan Jauh Automatik
  • Menawarkan Kawalan Akses Berasaskan IP
  • Tidak perlu menulis perintah kerana dilengkapi dengan Perintah yang Dikonfigurasikan

Pautan muat turun: https://www.backbox.org/download/

41) THC Hydra:

Hydra adalah alat uji keropok masuk dan pena selari. Ia sangat pantas dan fleksibel, dan modul baru mudah ditambahkan. Alat ini membolehkan penyelidik dan perunding keselamatan mencari akses tanpa izin.

Ciri-ciri:

  • Suite alat pertukaran memori sepenuh masa bersama dengan penjanaan, peluasan, penukaran dan pencarian jadual pelangi
  • Ia menyokong jadual pelangi dari mana-mana algoritma hash
  • Sokong meja pelangi mana-mana charset
  • Sokong meja pelangi dalam format fail padat atau mentah
  • Pengiraan pada sokongan pemproses pelbagai teras
  • Berjalan pada sistem operasi Windows dan Linux
  • Format fail jadual pelangi bersatu pada semua OS yang disokong
  • Sokong antara muka pengguna GUI dan baris arahan

Pautan muat turun: https://github.com/vanhauser-thc/thc-hydra

42) Makluman Monitor Reputasi:

Open Threat Exchange Reputation Monitor adalah perkhidmatan percuma. Ini membolehkan para profesional mengesan reputasi organisasi mereka. Dengan bantuan alat ini, perniagaan dan organisasi dapat mengesan IP awam dan reputasi domain aset mereka.

Ciri-ciri:

  • Memantau awan, awan hibrid, dan infrastruktur di tempat
  • Menyampaikan kecerdasan ancaman berterusan untuk terus mengemas kini mengenai ancaman ketika muncul
  • Memberi arahan pengesanan ancaman yang paling komprehensif dan tindak balas insiden yang boleh ditindaklanjuti
  • Menyebarkan dengan cepat, mudah, dan dengan sedikit usaha
  • Mengurangkan TCO berbanding penyelesaian keselamatan tradisional

Pautan muat turun: https://cybersecurity.att.com/products/usm-anywhere/free-trial

43) John the Ripper:

John the Ripper yang dikenali sebagai JTR adalah alat memecahkan kata laluan yang sangat popular. Ia digunakan terutamanya untuk melakukan serangan kamus. Ini membantu mengenal pasti kelemahan kata laluan yang lemah dalam rangkaian. Ia juga menyokong pengguna dari serangan brute force dan pelangi.

Ciri-ciri:

  • John the Ripper adalah perisian Sumber terbuka dan percuma
  • Modul pemeriksaan kekuatan kata laluan proaktif
  • Ia membolehkan penyemakan imbas dokumentasi dalam talian
  • Sokongan untuk banyak jenis hash dan cipher tambahan
  • Membolehkan melayari dokumentasi dalam talian termasuk ringkasan perubahan antara dua versi

Pautan muat turun: https://www.openwall.com/john/

44) Pengimbas Safe3:

Safe3WVS adalah salah satu alat ujian kerentanan web yang paling kuat. Ia dilengkapi dengan teknologi merangkak labah-labah web, terutamanya portal web. Ini adalah alat terpantas untuk mencari masalah seperti suntikan SQL, kelemahan muat naik dan banyak lagi.

Ciri-ciri:

  • Sokongan penuh untuk pengesahan Asas, Digest dan HTTP.
  • Labah-labah web pintar secara automatik membuang halaman web berulang
  • Penganalisis JavaScript automatik memberikan sokongan untuk mengekstrak URL dari Ajax, Web 2.0 dan aplikasi lain
  • Sokongan untuk mengimbas suntikan SQL, kelemahan muat naik, laluan admin dan kerentanan senarai direktori

Pautan muat turun: https://sourceforge.net/projects/safe3wvs/files/latest/download

45) CloudFlare:

CloudFlare adalah CDN dengan ciri keselamatan yang mantap. Ancaman dalam talian bermula dari spam komen dan perayapan bot yang berlebihan hingga serangan berbahaya seperti suntikan SQL. Ini memberikan perlindungan terhadap spam komentar, perayapan bot berlebihan, dan serangan berbahaya.

Ciri:

  • Ia adalah rangkaian perlindungan DDoS kelas perusahaan
  • Firewall aplikasi web membantu dari kecerdasan kolektif seluruh rangkaian
  • Mendaftar domain menggunakan CloudFlare adalah cara paling selamat untuk melindungi daripada rampasan domain
  • Ciri Pembatasan Kadar melindungi sumber kritikal pengguna. Ini menyekat pengunjung dengan jumlah permintaan yang mencurigakan.
  • CloudFlare Orbit menyelesaikan masalah keselamatan untuk peranti IOT

Pautan muat turun: https://www.cloudflare.com/

46) Peta Zen

Zenmap adalah perisian Pengimbas Keselamatan Nmap rasmi. Ini adalah aplikasi sumber bebas dan terbuka pelbagai platform. Ia mudah digunakan untuk pemula tetapi juga menawarkan ciri canggih untuk pengguna berpengalaman.

Ciri-ciri:

  • Paparan hasil interaktif dan grafik
  • Ini merangkum perincian mengenai satu host atau imbasan lengkap dalam paparan yang mudah.
  • Ia bahkan dapat membuat peta topologi rangkaian yang ditemui.
  • Ia dapat menunjukkan perbezaan antara dua imbasan.
  • Ini membolehkan pentadbir untuk mengesan hos atau perkhidmatan baru yang muncul di rangkaian mereka. Atau menjejaki perkhidmatan sedia ada yang turun

Pautan muat turun: https://nmap.org/download.html

Alat lain yang mungkin berguna untuk ujian penembusan adalah

  • Acunetix: Ini adalah pengimbas kerentanan web yang disasarkan pada aplikasi web. Alat ini mahal berbanding yang lain dan menyediakan kemudahan seperti ujian skrip lintas tapak, laporan pematuhan PCI, suntikan SQL, dll.
  • Retina: Ia lebih seperti alat pengurusan kerentanan daripada alat ujian pra
  • Nessus: Ia menumpukan pada pemeriksaan kepatuhan, pencarian data sensitif, imbasan IP, pengimbasan laman web, dll.
  • Netsparker: Alat ini dilengkapi dengan pengimbas aplikasi web yang kuat yang mengenal pasti kelemahan dan mencadangkan penyelesaian. Terdapat percubaan terhad percuma yang tersedia tetapi selalunya ia adalah produk komersial. Ia juga membantu mengeksploitasi suntikan SQL dan LFI (Local File Induction)
  • Kesan TERAS: Perisian ini boleh digunakan untuk penembusan peranti mudah alih, pengecaman kata laluan dan retak, rangkaian merancang penembusan dll. Ia adalah salah satu alat yang mahal dalam pengujian perisian
  • Burpsuite: Seperti perisian lain, ini juga merupakan produk komersial. Ia berfungsi dengan memintas proksi, pengimbasan aplikasi web, merangkak kandungan dan fungsi dan lain-lain. Kelebihan menggunakan Burpsuite ialah anda dapat menggunakannya di persekitaran windows, Linux dan Mac OS X.