# 2020 年 40 種最佳滲透測試（筆測試）Vapt 工具 > 原文： [https://www.guru99.com/top-5-penetration-testing-tools.html](https://www.guru99.com/top-5-penetration-testing-tools.html) Penetration [Testing](/software-testing.html) tools help in identifying security weaknesses ing a network, server or web application. These tools are very useful since they allow you to identify the "unknown vulnerabilities" in the software and networking applications that can cause a security breach. Vulnerability Assessment and Penetration Testing (VAPT) Tools attack your system within the network and outside the network as if an hacker would attack it. If the unauthorized access is possible, the system has to be corrected. **Here is a list of top 40 Penetration Testing Tools** ### 1） [Netsparker](https://bit.ly/2Mt9Z1W)  [Netsparker](https://bit.ly/2Mt9Z1W) is an easy to use web application security scanner that can automatically find SQL Injection, XSS and other vulnerabilities in your web applications and web services. It is available as on-premises and SAAS solution. **Features** * 借助獨特的基于證明的掃描技術，可以徹底準確地檢測漏洞。 * 所需的配置最少。 掃描程序會自動檢測 URL 重寫規則，自定義 404 錯誤頁面。 * REST API，用于與 SDLC，錯誤跟蹤系統等進行無縫集成。 * 完全可擴展的解決方案。 只需 24 小時即可掃描 1,000 個 Web 應用程序。  * * * ### 2） [Acunetix](https://bit.ly/2nZOxmC) [Acunetix](https://bit.ly/2nZOxmC) is a fully automated penetration testing tool. Its web application security scanner accurately scans HTML5, JavaScript and Single-page applications. It can audit complex, authenticated webapps and issues compliance and management reports on a wide range of web and network vulnerabilities, including out-of-band vulnerabilities.  **功能**： * 掃描 SQL 注入，XSS 和 4500 多個其他漏洞的所有變體 * 檢測 1200 多個 WordPress 核心，主題和插件漏洞 * 快速&可擴展–無需中斷即可抓取數十萬個頁面 * 與流行的 WAF 和問題跟蹤器集成以幫助 SDLC * 在本地和作為云解決方案可用。  * * * ### 3）[表面](https://bit.ly/2FJX2eN) [Indusface](https://bit.ly/2FJX2eN) WAS offers manual Penetration testing and automated scanning to detect and report vulnerabilities based on OWASP top 10 and SANS top 25\.  **功能** * 搜尋器掃描單頁應用程序 * 暫停和恢復功能 * 手動 PT 和自動掃描儀報告顯示在同一儀表板上 * 無限的概念驗證請求可提供已報告漏洞的證據，并有助于從自動掃描結果中消除誤報 * 可選的 WAF 集成可提供零誤報的即時虛擬補丁 * 根據來自 WAF 系統的實際流量數據自動擴展爬網范圍（如果已訂閱和使用 WAF） * 24×7 全天候討論補救指南/ POC  * * * ### 4） [ImmuniWeb](https://bit.ly/326Z4ii) [ImmuniWeb](https://bit.ly/326Z4ii) 是 Web 和移動應用程序滲透測試和安全等級的全球提供商。 ImmuniWeb AI 平臺通過屢獲殊榮的 AI 技術來增強人工測試，以加速和擴展安全測試。 ImmuniWeb 在 Gartner，Forrester 和 IDC 的認可下，進行了快速，可擴展且支持 DevSecOps 的滲透測試，大大超越了傳統的滲透測試方法。  **Features:** * 快速交付 SLA * 零誤報 SLA * SANS 前 25 名全覆蓋 * OWASP 十大全面報道 * PCI DSS 6.5.1-6.5.11 全面覆蓋 * 量身定制的修復準則 * 24/7 與我們的安全分析師聯系 * 與 SDLC & CI / CD 工具集成 * 通過 WAF 一鍵式虛擬補丁  * * * ### 5） [PureVPN](https://bit.ly/2PDpQJN) [PureVPN](https://bit.ly/2PDpQJN) 是道德黑客武器庫中必不可少的工具。 您可能需要它來檢查不同地理位置的目標，模擬非個性化的瀏覽行為，匿名文件傳輸等。  **功能**： * 沒有高安全性和匿名性的 Log VPN * 跨大洲的 2000 多個服務器的極快速度 * 它位于香港，不存儲任何數據。 * 拆分隧道和 5 個同時登錄 * 24/7 支持 * 支持 Windows，Mac，Android，Linux，iPhone 等 * 300,000+個 IP * 端口轉發，專用 IO 和 P2P 保護 * 31 天退款保證  * * * ### 6）貓頭鷹  開放 Web 應用程序安全性項目（ [OWASP](https://www.owasp.org/index.php/OWASP_Web_Testing_Environment_Project) ）是一個全球性的非營利組織，致力于改善軟件的安全性。 該項目有多種工具可以對各種軟件環境和協議進行筆式測試。 該項目的旗艦工具包括 1. [Zed 攻擊代理](https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project)（ZAP –一種集成的滲透測試工具） 2. [OWASP 依賴關系檢查](https://www.owasp.org/index.php/OWASP_Dependency_Check)（它掃描項目依賴關系并檢查已知漏洞） 3. [OWASP Web 測試環境項目](https://www.owasp.org/index.php/OWASP_Web_Testing_Environment_Project)（安全工具和文檔的集合） **OWASP 測試指南提供了“最佳實踐”來滲透測試最常見的 Web 應用程序** [Owasp 鏈接](https://www.owasp.org/index.php/Category:OWASP_Testing_Project) * * * ### 7）WireShark  [Wireshark](https://www.wireshark.org/) 是以前稱為 Ethereal 的網絡分析滲透測試工具。 它實時捕獲數據包并以人類可讀的格式顯示它們。 基本上，它是一個網絡數據包分析器-提供有關您的網絡協議，解密，數據包信息等的詳細信息。它是一個開放源代碼，可以在 Linux，Windows，OS X，Solaris，NetBSD，FreeBSD 和許多其他操作系統上使用 其他系統。 可以通過 GUI 或 TTY 模式下的 TShark Utility 查看通過此工具檢索的信息。 WireShark 功能包括 * 實時捕獲和離線分析 * 豐富的 VoIP 分析 * 使用 gzip 壓縮的捕獲文件可以即時解壓縮 * 輸出可以導出為 XML，PostScript，CSV 或純文本 * 多平臺：在 Windows，Linux，FreeBSD，NetBSD 和許多其他操作系統上運行 * 可以從 Internet，PPP / HDLC，ATM，藍牙，USB，令牌環等讀取實時數據。 * 對許多協議的解密支持，包括 IPsec，ISAKMP，SSL / TLS，WEP 和 WPA / WPA2 * 為了快速直觀地分析，可以將著色規則應用于數據包 * 讀取/寫入許多不同的捕獲文件格式 [Wireshark 下載](https://www.wireshark.org/) * * * ### 8）w3af  [w3af](http://w3af.org/take-a-tour) 是一個 Web 應用程序攻擊和審核框架。 它具有三種類型的插件： 可以針對站點中的任何漏洞進行通信的發現，審計和攻擊，例如 w3af 中的發現插件會尋找不同的 URL 來測試漏洞，并將其轉發給審計插件，然后審計插件將使用這些 URL 搜索漏洞。 也可以將其配置為作為 MITM 代理運行。 攔截的請求可以發送到請求生成器，然后可以使用可變參數執行手動 Web 應用程序測試。 它還具有利用其發現的漏洞的功能。 **W3af 功能** * 代理支持 * HTTP 響應緩存 * DNS 緩存 * 使用分段上傳文件 * Cookie 處理 * HTTP 基本和摘要身份驗證 * 用戶代理偽造 * 向請求添加自定義標頭 [w3af 下載鏈接](http://w3af.org/take-a-tour) * * * ### 9）變質  這是可用于滲透測試的最流行和最先進的框架。 這是一個基于“漏洞利用”概念的開源工具，這意味著您傳遞的代碼違反了安全措施，并進入了某個系統。 如果輸入，它將運行“有效負載”，即在目標計算機上執行操作的代碼，從而為滲透測試創建了理想的框架。 這是一個很好的測試工具，用于測試 IDS 是否成功阻止了我們繞過它的攻擊 [Metaspoilt](http://www.metasploit.com/) 可以在網絡，應用程序，服務器等上使用。它具有命令行和 GUI 可單擊的界面，可以在 Apple Mac OS X 上運行，可以在 [Linux](/unix-linux-tutorial.html) 和 Microsoft Windows 上運行。 **后掠物**的功能 * 基本命令行界面 * 第三方進口 * 手動蠻力 * 手動蠻力 * 網站滲透測試 [Metaspoilt 下載鏈接](http://www.metasploit.com/) * * * ### 10 倍  [Kali](https://www.kali.org/) 僅在 Linux 機器上工作。 它使您能夠創建適合您需要的備份和恢復計劃。 它促進了一種快速簡便的方法來查找和更新迄今為止最大的安全滲透測試集合數據庫。 它是可用于數據包嗅探和注入的最佳工具。 使用此工具時，TCP / IP 協議和網絡方面的專業知識可能會有所幫助。 **功能** * 附加的 64 位支持允許暴力破解密碼 * Back Track 隨附了預裝的工具，用于 LAN 和 WLAN 嗅探，漏洞掃描，密碼破解和數字取證 * Backtrack 集成了一些最佳工具，例如 Metaspoilt 和 Wireshark * 除網絡工具外，它還包括 pidgin，xmms，Mozilla，k3b 等。 * 回溯支持 KDE 和 Gnome。 [次下載鏈接](https://www.kali.org/) * * * ### 11）武士框架： [Samurai](https://sourceforge.net/projects/samurai/files/) Web 測試框架是筆測試軟件。 已預先配置為充當 Web 筆測試環境的 VirtualBox 和 VMWare 支持該工具。 **Features:** * 它是開源的，免費使用的工具 * 它包含最佳的開源和免費工具，這些工具側重于測試和攻擊網站 * 它還包括一個預配置的 Wiki，用于在筆測期間建立中央信息存儲 **下載鏈接**： [https://sourceforge.net/projects/samurai/files/](https://sourceforge.net/projects/samurai/files/) * * * ### 12）空襲：  [Aircrack](https://www.aircrack-ng.org/downloads.html) 是一款便捷的無線滲透測試工具。 它會破解易受攻擊的無線連接。 它由 WEP WPA 和 WPA 2 加密密鑰提供支持。 **Features:** * 支持更多卡/驅動程序 * 支持所有類型的操作系統和平臺 * 新的 WEP 攻擊：PTW * 支持 WEP 詞典攻擊 * 支持碎片攻擊 * 改善追蹤速度 **下載鏈接**： [https://www.aircrack-ng.org/downloads.html](https://www.aircrack-ng.org/downloads.html) * * * ### 13）ZAP：  [ZAP](https://github.com/zaproxy/zaproxy/wiki) 是最流行的開源安全測試工具之一。 它由數百名國際志愿者維護。 它可以幫助用戶在開發和測試階段發現 Web 應用程序中的安全漏洞。 **Features:** * 它可以通過模擬實際攻擊來幫助識別 Web 應用程序中存在的安全漏洞 * 被動掃描分析服務器的響應以識別某些問題 * 它嘗試強行訪問文件和目錄。 * 爬蟲功能有助于構建網站的層次結構 * 提供無效或意外的數據以使其崩潰或產生意外的結果 * 查找目標網站上開放端口的有用工具 * 它提供了一個交互式 Java Shell，可用于執行 BeanShell 腳本 * 它已完全國際化并支持 11 種語言 **下載鏈接**： [https://github.com/zaproxy/zaproxy/wiki](https://github.com/zaproxy/zaproxy/wiki) * * * ### 14）Sqlmap：  [Sqlmap](https://github.com/sqlmapproject/sqlmap) 是一個開源滲透測試工具。 它可以自動檢測和利用 SQL 注入漏洞的整個過程。 它帶有許多檢測引擎和功能，可實現理想的滲透測試。 **Features:** * 全面支持六種 SQL 注入技術 * 允許直接連接到數據庫而無需通過 SQL 注入 * 支持枚舉用戶，密碼哈希，特權，角色，數據庫，表和列 * 自動識別以哈希格式給出的密碼并支持破解 * 支持完全轉儲數據庫表或特定列的轉儲 * 用戶還可以從每列的條目中選擇一系列字符 * 允許在受影響的系統和數據庫服務器之間建立 TCP 連接 * 支持搜索所有數據庫和表中的特定數據庫名稱，表或特定列 * 允許執行任意命令并在數據庫服務器上檢索其標準輸出 **下載鏈接**： [https://github.com/sqlmapproject/sqlmap](https://github.com/sqlmapproject/sqlmap) * * * ### 15）Sqlninja：  [Sqlninja](http://sqlninja.sourceforge.net/download.html) 是一種滲透測試工具。 旨在利用 Web 應用程序上的 SQL Injection 漏洞。 它使用 Microsoft SQL Server 作為后端。 即使在非常惡劣的環境中，它也可以在易受攻擊的數據庫服務器上提供遠程訪問。 **Features:** * 遠程 SQL 的指紋 * 基于時間的數據提取或使用 DNS 隧道 * 允許與 Metasploit3 集成，以獲得對遠程數據庫服務器的圖形訪問 * 通過 VBScript 或 debug.exe 僅使用常規 HTTP 請求上載可執行文件 * 直接和反向綁定外殼，用于 TCP 和 UDP * 如果使用令牌綁架在 w2k3 上無法使用原始 xp cmdshell，則創建一個自定義 xp cmdshell **下載鏈接**： [http://sqlninja.sourceforge.net/download.html](http://sqlninja.sourceforge.net/download.html) * * * ### 16）牛肉：  瀏覽器開發框架。 這是一個針對 Web 瀏覽器的滲透測試工具。 它使用 GitHub 跟蹤問題并托管其 git 存儲庫。 **Features:** * 它允許使用客戶端攻擊向量來檢查實際的安全狀態 * BeEF 允許掛鉤一個或多個 Web 瀏覽器。 然后可以將其用于啟動定向命令模塊和對系統的進一步攻擊。 **下載鏈接**： [http://beefproject.com](http://beefproject.com) * * * ### 17）部族;  [Dradis](https://dradisframework.com/ce) 是用于滲透測試的開源框架。 它允許維護可以在筆測參與者之間共享的信息。 收集的信息可幫助用戶了解完成的內容和需要完成的內容。 **Features:** * 輕松生成報告的過程 * 支持附件 * 無縫協作 * 使用服務器插件與現有系統和工具集成 * 平臺無關 **下載鏈接**： [https://dradisframework.com/ce](https://dradisframework.com/ce) * * * ### 18）快速 7：  Nexpose [Rapid 7](https://www.rapid7.com/products/nexpose/download/) 是有用的漏洞管理軟件。 它實時監控暴露情況，并通過新數據適應新威脅，幫助用戶在發生影響時立即采取行動。 **Features:** * 實時了解風險 * 它帶來了創新且先進的解決方案，可幫助用戶完成工作 * 知道重點在哪里 * 為您的安全計劃帶來更多 **下載鏈接**： [https://www.rapid7.com/products/nexpose/download/](https://www.rapid7.com/products/nexpose/download/) * * * ### 19）Hping： [Hping](https://github.com/antirez/hping) 是一種 TCP / IP 數據包分析器筆測試工具。 該接口的靈感來自 ping（8）UNIX 命令。 它支持 TCP，ICMP，UDP 和 RAW-IP 協議。 **Features:** * 允許防火墻測試 * 高級端口掃描 * 網絡測試，使用不同的協議，TOS，分段 * 手動路徑 MTU 發現 * 具有所有受支持協議的高級 traceroute * 遠程操作系統指紋&正常運行時間猜測 * TCP / IP 堆棧審核 **下載鏈接**： [https://github.com/antirez/hping](https://github.com/antirez/hping) * * * ### 20）SuperScan：  [Superscan](https://www.mcafee.com/in/downloads/free-tools/termsofuse.aspx) 是一個免費的僅 Windows 封閉源滲透測試工具。 它還包括網絡工具，例如 ping，traceroute，whois 和 HTTP HEAD。 **功能**： * 優越的掃描速度 * 支持無限的 IP 范圍 * 使用多種 ICMP 方法改進了主機檢測 * 提供對 TCP SYN 掃描的支持 * 簡單的 HTML 報告生成 * 源端口掃描 * 廣泛的橫幅抓取 * 大型內置端口列表描述數據庫 * IP 和端口掃描順序隨機化 * 廣泛的 Windows 主機枚舉功能 **下載鏈接**： [https://www.mcafee.com/in/downloads/free-tools/termsofuse.aspx](https://www.mcafee.com/in/downloads/free-tools/termsofuse.aspx) * * * ### 21）ISS 掃描儀：  IBM Internet Scanner 是一種筆測試工具，為任何企業提供有效的網絡安全性奠定了基礎。 **Features:** * Internet 掃描儀通過發現網絡中的薄弱點來最大程度地降低業務風險 * 它允許自動執行掃描并發現漏洞 * Internet Scanner 通過識別網絡中的安全漏洞或漏洞來降低風險 * 完整的漏洞管理 * Internet 掃描儀可以識別 1300 多種類型的聯網設備 **下載鏈接**： [https://www-01.ibm.com/software/info/trials](https://www-01.ibm.com/software/info/trials) * * * ### 22）Scapy： [Scapy](http://secdev.org/projects/scapy/) 是功能強大的交互式筆測試工具。 它可以處理許多經典任務，例如網絡上的掃描，探測和攻擊。 **Features:** * 它執行一些特定的任務，例如發送無效幀，注入 802.11 幀。 它使用各種組合技術，這是其他工具難以做到的 * 它允許用戶準確地構建他們想要的數據包 * 減少執行特定代碼的行數 **下載鏈接**： [http://secdev.org/projects/scapy/](http://secdev.org/projects/scapy/) * * * ### 23）IronWASP：  [IronWASP](http://ironwasp.org/download.html) 是用于 Web 應用程序漏洞測試的開源軟件。 它被設計為可自定義的，以便用戶可以使用它創建其自定義安全掃描程序。 **Features:** * 基于 GUI 且非常易于使用 * 它具有強大而有效的掃描引擎 * 支持記錄登錄順序 * 以 HTML 和 RTF 格式報告 * 檢查 25 種以上的網絡漏洞 * 錯誤肯定和否定檢測支持 * 它支持 Python 和 Ruby * 可使用 Python，Ruby，C＃或 VB.NET 中的插件或模塊進行擴展 **下載鏈接**： [http://ironwasp.org/download.html](http://ironwasp.org/download.html) * * * ### 24）Ettercap：  [Ettercap](https://ettercap.github.io/ettercap/downloads.html) 是一種全面的筆測試工具。 它支持主動和被動解剖。 它還包括許多用于網絡和主機分析的功能。 **Features:** * 它支持許多協議的主動和被動解剖 * ARP 中毒功能，可嗅探兩臺主機之間的交換局域網 * 可以在保持實時連接的同時將角色注入服務器或客戶端 * Ettercap 能夠嗅探全雙工的 SSH 連接 * 即使使用代理建立連接，也允許嗅探 HTTP SSL 安全數據 * 允許使用 Ettercap 的 API 創建自定義插件 **下載鏈接**： [https://ettercap.github.io/ettercap/downloads.html](https://ettercap.github.io/ettercap/downloads.html) * * * ### 25）安全洋蔥：  [安全洋蔥](https://securityonion.net/)是一種滲透測試工具。 它用于入侵檢測和網絡安全監視。 它具有易于使用的設置向導，允許用戶為其企業構建大量的分布式傳感器。 **Features:** * 它建立在分布式客戶端-服務器模型上 * 網絡安全監視允許監視與安全相關的事件 * 它提供完整的數據包捕獲 * 基于網絡和基于主機的入侵檢測系統 * 它具有內置的機制，可以在存儲設備容量滿之前清除舊數據。 **下載鏈接**： [https://securityonion.net/](https://securityonion.net/) * * * ### 26）個人軟件檢查器： [個人軟件檢查器](http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector)是一種開源計算機安全解決方案。 該工具可以識別 PC 或服務器上應用程序中的漏洞。 **Features:** * 提供八種不同的語言 * 自動執行不安全程序的更新 * 它涵蓋了數千個程序，并自動檢測不安全的程序 * 這款筆測試工具會自動并定期掃描 PC 是否存在漏洞程序 * 檢測并通知無法自動更新的程序 **下載鏈接**： [http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector](http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector) * * * ### 27）HconSTF：  [HconSTF](http://www.hcon.in/) 是基于不同瀏覽器技術的開源滲透測試工具。 它可以幫助任何安全專業人員協助進行滲透測試。 它包含的 Web 工具在執行 XSS，SQL 注入，CSRF，Trace XSS，RFI，LFI 等方面功能強大。 **Features:** * 分類全面的工具集 * 每個選項都配置用于滲透測試 * 經過特殊配置和增強，以獲得可靠的匿名性 * 適用于 Web 應用程序測試評估 * 易于使用的&協作操作系統 **下載鏈接**： [http://www.hcon.in/](http://www.hcon.in/) * * * ### 28）IBM Security AppScan：  [IBM Security AppScan](http://www-03.ibm.com/software/products/en/appscan) 幫助增強 Web 應用程序安全性和移動應用程序安全性。 它提高了應用程序安全性并增強了法規遵從性。 它可以幫助用戶識別安全漏洞并生成報告。 **Features:** * 使開發和質量檢查能夠在 SDLC 流程中執行測試 * 控制每個用戶可以測試的應用程序 * 輕松分發報告 * 提高知名度并更好地了解企業風險 * 專注于發現和解決問題 * 控制信息的訪問 **下載鏈接**： [http://www-03.ibm.com/software/products/zh/appscan](http://www-03.ibm.com/software/products/en/appscan) * * * ### 29）Arachni： [Arachni](https://sourceforge.net/projects/safe3wvs/files) 是面向滲透測試人員&管理員的基于 Ruby 框架的開源工具。 它用于評估現代 Web 應用程序的安全性。 **Features:** * 它是一種多功能工具，因此涵蓋了大量用例。 范圍從簡單的命令行掃描儀實用程序到全球高性能的掃描儀網格 * 多種部署選項 * 它提供可驗證，可檢查的代碼庫，以確保最高級別的保護 * 它可以輕松地與瀏覽器環境集成 * 提供高度詳細和結構合理的報告 **下載鏈接**： [https://sourceforge.net/projects/safe3wvs/files](https://sourceforge.net/projects/safe3wvs/files) * * * ### 30）Websecurify：  [Websecurify](https://www.websecurify.com/) 是功能強大的安全測試環境。 這是一個用戶友好的界面，簡單易用。 它提供了自動和手動漏洞測試技術的組合。 **Features:** * 良好的測試和掃描技術 * 強大的測試引擎可檢測 URL * 它可以通過許多可用附件進行擴展 * 它適用于所有主要的臺式機和移動平臺 **下載鏈接**： [https://www.websecurify.com/](https://www.websecurify.com/) * * * ### 31）維加 [Vega](https://subgraph.com/vega/download/index.en.html) 是一個開源 Web 安全掃描程序和筆測試平臺，用于測試 Web 應用程序的安全性。 **Features:** * 自動化，手動和混合安全性測試 * 它可以幫助用戶發現漏洞。 它可能是跨站點腳本，存儲的跨站點腳本，盲目 SQL 注入，shell 注入等。 * 提供用戶憑據后，它可以自動登錄網站 * 它可以在 Linux，OS X 和 Windows 上有效運行 * Vega 檢測模塊是用 JavaScript 編寫的 **下載鏈接**： [https://subgraph.com/vega/download/index.en.html](https://subgraph.com/vega/download/index.en.html) * * * ### 32）Wapiti：  [Wapiti](https://sourceforge.net/projects/wapiti/files/) 是另一種著名的滲透測試工具。 它允許審核 Web 應用程序的安全性。 它同時支持 GET 和 POST HTTP 方法進行漏洞檢查。 **Features:** * 生成各種格式的漏洞報告 * 它可以暫停并恢復掃描或攻擊 * 激活和停用攻擊模塊的快速簡便方法 * 支持 HTTP 和 HTTPS 代理 * 它可以限制掃描范圍 * 自動刪除網址中的參數 * 進口餅干 * 它可以激活或停用 SSL 證書驗證 * 從 Flash SWF 文件中提取 URL **下載鏈接**： [https://sourceforge.net/projects/wapiti/files/](https://sourceforge.net/projects/wapiti/files/) * * * ### 33）基斯梅特  [Kismet](https://www.kismetwireless.net/downloads/) 是無線網絡檢測器和入侵檢測系統。 它適用于 Wi-Fi 網絡，但可以通過插件擴展，因為它可以處理其他網絡類型。 **Features:** * 允許標準 PCAP 記錄 * 客戶端/服務器模塊化架構 * 插件架構可擴展核心功能 * 多捕獲源支持 * 通過輕量級遠程捕獲進行分布式遠程嗅探 * XML 輸出以與其他工具集成 **下載鏈接**： [https://www.kismetwireless.net/downloads/](https://www.kismetwireless.net/downloads/) * * * ### 34）Linux 時報：  [Kali Linux](https://www.kali.org/) 是一種開放式源代碼筆測試工具，由 Offensive Security 維護和資助。 **Features:** * 通過實時構建完全定制 Kali ISO，以創建定制的 Kali Linux 映像 * 它包含一堆元數據包集合，這些集合匯總了不同的工具集 * 厄運和其他加里食譜的 ISO * Raspberry Pi 2 上的磁盤加密 * 具有多個持久性存儲的實時 USB **下載鏈接**： [https://www.kali.org/](https://www.kali.org/) * * * ### 35）鸚鵡安全性：  [Parrot Security](https://www.parrotsec.org/download/) 是一種筆測試工具。 它為安全和數字取證專家提供了完全便攜式的實驗室。 它還通過匿名和加密工具幫助用戶保護其隱私。 **Features:** * 它包括完整的面向安全的工具庫，以執行滲透測試，安全審核等。 * 它帶有預裝的，有用的和更新的庫 * 提供功能強大的全球鏡像服務器 * 允許社區驅動的發展 * 提供專門為服務器設計的單獨的 Cloud OS **下載鏈接**： [https://www.parrotsec.org/download/](https://www.parrotsec.org/download/) * * * ### 36）OpenSSL：  該工具包已獲得 Apache 樣式許可的許可。 它是一個免費的開源項目，為 TLS 和 SSL 協議提供功能齊全的工具包。 **Features:** * 它是用 C 編寫的，但是包裝器可用于許多計算機語言 * 該庫包括用于生成 RSA 私鑰和證書簽名請求的工具 * 驗證 CSR 文件 * 從密鑰中完全刪除密碼短語 * 創建新的私鑰并允許證書簽名請求 **下載鏈接**： [https://www.openssl.org/source/](https://www.openssl.org/source/) * * * ### 37）噴鼻息：  [Snort](https://www.snort.org/downloads) 是一個開源入侵檢測和筆測試系統。 它提供了基于簽名協議和基于異常的檢查方法的優勢。 此工具可幫助用戶最大程度地保護其免受惡意軟件攻擊。 **Features:** * Snort 因能夠高速準確檢測威脅而聲名狼藉 * 快速保護您的工作區免受新興攻擊 * Snort 可用于創建定制的獨特網絡安全解決方案 * 測試特定 URL 的 SSL 證書 * 它可以檢查 URL 是否接受特定密碼 * 驗證證書簽名者授權 * 提交假陽性/陰性的能力 **下載鏈接**： [https://www.snort.org/downloads](https://www.snort.org/downloads) * * * ### 38）底箱：  [BackBox](https://backbox.org/download) 是一個開源社區項目，旨在增強 IT 環境中的安全文化。 它有兩種不同的版本，例如 Backbox Linux 和 Backbox Cloud。 它包括一些最常用/最常用的安全和分析工具。 **Features:** * 它是減少公司資源需求并降低管理多個網絡設備需求的成本的有用工具 * 它是全自動的筆測試工具。 因此，無需進行任何代理，也無需進行網絡配置即可進行更改。 為了執行計劃的自動配置 * 安全訪問設備 * 由于無需跟蹤單個網絡設備，因此組織可以節省時間 * 支持憑證和配置文件加密 * 自我備份和自動遠程存儲 * 提供基于 IP 的訪問控制 * 無需編寫命令，因為它已預配置了命令 **下載鏈接**： [https://backbox.org/download](https://backbox.org/download) * * * ### 39）THC 九頭蛇： [Hydra](https://github.com/vanhauser-thc/thc-hydra) 是并行的登錄餅干和筆測試工具。 它非常快速且靈活，并且易于添加新模塊。 該工具使研究人員和安全顧問可以找到未經授權的訪問。 **Features:** * 完整的時間記憶權衡工具套件以及彩虹表的生成，排序，轉換和查找 * 它支持任何哈希算法的 Rainbow 表 * 支持任何字符集的彩虹表 * 支持緊湊或原始文件格式的 Rainbow 表 * 計算對多核處理器的支持 * 在 Windows 和 Linux 操作系統上運行 * 所有受支持的操作系統上的統一 Rainbow 表文件格式 * 支持 GUI 和命令行用戶界面 **下載鏈接**： [https://github.com/vanhauser-thc/thc-hydra](https://github.com/vanhauser-thc/thc-hydra) * * * ### 40）名譽監控警報： 開放式威脅交換[信譽監視器](https://www.alienvault.com/try-it-free?utm_internal=sb_freetrial_modal)是一項免費服務。 它使專業人員可以跟蹤其組織的聲譽。 借助此工具，企業和組織可以跟蹤其資產的公共 IP 和域信譽。 **Features:** * 監控云，混合云和本地基礎架構 * 提供持續的威脅情報，以在出現威脅時保持最新狀態 * 提供最全面的威脅檢測和可行的事件響應指令 * 快速，輕松，省力地部署 * 與傳統安全解決方案相比，降低了總擁有成本 **下載鏈接**： [https://www.alienvault.com/try-it-free?utm_internal=sb_freetrial_modal](https://www.alienvault.com/try-it-free?utm_internal=sb_freetrial_modal) * * * ### 41）開膛手約翰  [開膛手約翰](https://www.openwall.com/john/)被稱為 JTR，是一種非常流行的密碼破解工具。 它主要用于執行字典攻擊。 它有助于識別網絡中的弱密碼漏洞。 它還支持用戶免受暴力攻擊和彩虹破解攻擊。 **Features:** * 開膛手約翰是免費的開源軟件 * 主動式密碼強度檢查模塊 * 它允許在線瀏覽文檔 * 支持許多其他哈希和密碼類型 * 允許在線瀏覽文檔，包括兩個版本之間的更改摘要 **下載鏈接**： [https://www.openwall.com/john/](https://www.openwall.com/john/) * * * ### 42）Safe3 掃描儀： [Safe3WVS](https://sourceforge.net/projects/safe3wvs/files/latest/download) 是功能最強大的 Web 漏洞測試工具之一。 它帶有網絡蜘蛛爬網技術，尤其是網絡門戶。 它是查找 SQL 注入，上傳漏洞等問題的最快工具。 **Features:** * 完全支持基本，摘要和 HTTP 身份驗證。 * 智能網絡蜘蛛自動刪除重復的網頁 * 自動 JavaScript 分析器支持從 Ajax，Web 2.0 和任何其他應用程序中提取 URL。 * 支持掃描 SQL 注入，上傳漏洞，管理路徑和目錄列表漏洞 **下載鏈接**： [https://sourceforge.net/projects/safe3wvs/files/latest/download](https://sourceforge.net/projects/safe3wvs/files/latest/download) * * * ### 43）CloudFlare：  [CloudFlare](https://www.cloudflare.com/) 是具有強大安全功能的 CDN。 在線威脅的范圍從垃圾評論和過度的爬蟲程序到 SQL 注入等惡意攻擊。 它提供了針對垃圾評論，過多的爬網程序和惡意攻擊的保護。 **Feature:** * 它是企業級 DDoS 防護網絡 * Web 應用程序防火墻可從整個網絡的集體智能中提供幫助 * 使用 CloudFlare 注冊域是防止域劫持的最安全方法 * 限速功能可以保護用戶的重要資源。 它以可疑數量的請求速率阻止訪問者。 * CloudFlare Orbit 解決了物聯網設備的安全問題 **下載鏈接**： [https://www.cloudflare.com/](https://www.cloudflare.com/) * * * ### 44）Zenmap  [Zenmap](https://nmap.org/download.html) 是官方的 Nmap Security Scanner 軟件。 它是一個多平臺的免費開放源代碼應用程序。 它對于初學者來說易于使用，但也為經驗豐富的用戶提供高級功能。 **Features:** * 交互式和圖形結果查看 * 它在方便的顯示中總結了有關單個主機或完整掃描的詳細信息。 * 它甚至可以繪制發現的網絡的拓撲圖。 * 它可以顯示兩次掃描之間的差異。 * 它允許管理員跟蹤出現在其網絡上的新主機或服務。 或跟蹤出現故障的現有服務 **下載鏈接**： [https://nmap.org/download.html](https://nmap.org/download.html) 對于滲透測試可能有用的其他工具是 * **Acunetix**：這是一個針對 Web 應用程序的 Web 漏洞掃描程序。 與其他工具相比，它是一種昂貴的工具，并提供跨站點腳本測試，PCI 遵從性報告， [SQL](/sql.html) 注入等功能。 * **Retina**：它更像是漏洞管理工具，而不是預先測試的工具 * **Nessus**：它專注于合規性檢查，敏感數據搜索，IP 掃描，網站掃描等。 * **Netsparker**：該工具帶有一個強大的 Web 應用程序掃描程序，該掃描程序可以識別漏洞并提出解決方案。 有免費的有限試用版，但大多數情況下它是商業產品。 它還有助于利用 SQL 注入和 LFI（本地文件歸納） * **核心影響**：該軟件可用于移動設備滲透，密碼識別和破解，網絡設計滲透等。它是軟件測試中昂貴的工具之一 * **Burpsuite**：與其他軟件一樣，該軟件也是商業產品。 它可以通過攔截代理，Web 應用程序掃描，爬網內容和功能等來工作。使用 Burpsuite 的優點是您可以在 Windows，Linux 和 Mac OS X 環境中使用它。