什么是渗透测试?用来测试软件是否存在例如安全方面的漏洞,如果已经存在,会不会被入侵。
渗透测试流程:
1、列出软件或系统潜在的安全漏洞。
2、根据漏洞的严重性进行排列。
3、在内网和外网环境下对软件或系统进行安全测试。
4、如果入侵测试成功,需要在修复漏洞后重新进行测试,直至漏洞完全修复。
测试工具:主要有2类,扫描工具和攻击工具。扫描工具主要是为了找到系统或软件中的漏洞,攻击工具用来进行系统或软件的渗透测试。
排名前20名的测试工具:
1、Metasploit。目前用的最多的测试工具,利用的原理是一旦绕过系统安全策略后就会加载特殊代码,达到测试的目的。该软件为跨平台的商业软件,有命令行和GUI图形界面,可以用作网络应用、网络、服务器的测试。
2、Wireshark网络分析工具。该软件为跨平台开源软件,具有GUI图形界面和TTY模式,用来分析网络协议、数据包信息、加密信息等。
3、w3af网络应用攻击审计工具。跨平台免费软件,具有快速HTTP请求、整合WEB代理服务器、注入各类HTTP请求等功能,命令行界面。
展开全文
4、CORE Impact是Windows平台上的商业软件,可以用作移动设备测试、网络设备测试、密码认证和破解等测试。具有命令行和GUI图形界面,价格昂贵。
5、Back Track是Linux平台上的测试软件,网络数据包嗅探和注入最好的测试工具之一,专业化程度高。
6、Netsparker是一款Windows平台上功能强大的网络应用漏洞扫描工具,还具有建议修复等功能,还可以用来检测SQL注入和本地文件包含(LFI)攻击。具有命令行和GUI图形界面,是一款商业软件。
7、Nessus是一款功能强大的漏洞扫描工具,特别是系统或软件的合规检查、敏感数据搜索、IP地址扫描、网站扫描等。
8、Burpsuite是一款性价比高的跨平台基础扫描工具,主要用于代理解析、网络内容抓取、网络应用扫描等。
9、Cain & Abel是一款免费的Windows平台上,用于破解密钥的测试工具,可以利用网络嗅探、字典攻击、暴力密码攻击、缓存暴露、路由协议分析来获取密钥。
10、Zed Attack Proxy (ZAP)是一款跨平台的免费漏洞扫描工具,具有代理解析、各种扫描工具、圈套程序等功能。
11、Acunetix是一款针对网络应用漏洞的扫描工具,具有SQL注入、跨站脚本测试、PCI合规报告、漏洞查找的功能,但价格昂贵。
12、John The Ripper是一款密码破译工具,来源于UNIX平台,目前破译密钥速度最快软件之一,密码哈希值和强度检测代码也可以整合在软件中,有基础班和专业版之分。
13、Retina是一款针对整个公司网络的商业测试工具,来自于Retina论坛社区,它不仅仅是渗透测试工具,还具有漏洞管理功能。
14、Sqlmap是一款跨平台的开源渗透测试工具,主要用于数据库的SQL注入和入侵测试,只有命令行界面。
15、Canvas是一款免费的跨平台,含有400多个漏洞检测和各种加载选项的测试工具,对网络应用、无线系统网络等适用,具有命令行和GUI图形界面。
16、Social Engineer Toolkit是一款跨平台的开源软件,利用人的因素进行渗透测试,可以模拟人类发送电子邮件、JAVA插件等攻击方式,只有命令行界面。
17、Sqlninja是一款跨平台的开源软件,功能强大,主要利用SQL注入来获取数据库权限的测试工具,只有命令行界面。
18、Nmap是一款跨平台开源软件,主要用来分析网络,严格来说不算测试工具,它具有在网络中寻找主机、网络服务、操作系统信息、数据包过滤、防火墙过滤等功能。
19、BeEF是一款跨平台开源浏览器漏洞测试工具,主要用于测试通过浏览器发起的各种网络攻击。
20、Dradis是一款跨平台开源的网络应用,可以在渗透测试中,利用插件将各种测试结果汇总起来。
最后也欢迎大家补充~
更多有趣的科技文章,欢迎关注我们:http://www.wttech.org/