目录
1. Excercise in a Box
2. Needle
3. DevSlop
4.移动安全框架(Mobile Security Framework)
5. Frida
6. Nishang
7.Tamper
8.InSpec
9. Faraday
10. Pocsuite
11. Taipan
12.Pacu
13. Secure Guilld
总结
1. Excercise in a Box
Excercise in a Box是由英国国家网络安全中心(National Cyber Security Center所推出的在线工具。它可以帮助用户获悉自己的应用是否容易遭受到网络攻击。
同时,该工具可以提供各种场景,以便贵组织在安全的环境中,根据自己所设定的允许的时间,反复演练自身面对安全攻击事件的响应能力,可以说,它汇聚了您需要执行的各种计划、设置、交付、以及事后整改活动等一切资源。
2. Needle
作为iOS版的测试框架,Needle星由美国生帽公司(Black Hat USA)所推出的。它是一种模块化的开源框架,其目标是为了简化针对OS应用安全评估的整体过程。同时,该工具能够为您提供各种安全测试活动的关键要点。
除了面向专业的安全测试人员,开发人员也可以用它来加固自己编写出的程序代码。
3. DevSlop
随着技术应用的发展,以及用户对于产品质量与服务性能要求的提升,您可能会接到类似于针对那些采用了微服务,API以及客装化生用程电的副试仟备
这些实现技术方面的选代,迫使安全人员重新审视自己的传统测试方式。作为OWASP的一个子项目SlappyDe vOps(或称为DevSlop]能够通过不同的模块开展各项深入研究。其中包括了:应用程序的易受攻击点,各种管道以及提供DaySlogShow的相关功能。
可以说:如果您正在考虎全面地加国DeyOps管道安全性的话,那么DeySico就是一款非常不错的入门级工耳与资源。
4.移动安全框架(Mobile Security Framework)
移动安全框架被业界称为:一种多功能的自动化移动应用类渗透测试框架,它可以执行动态分析,静态分析 Web APT测试,以及恶意软件等方面的分析。
在实际测试中,它可以被用于针对0S、Android和Windows等平台移动应用内部的二进制源代码,乃至于程序看圆,采取快速,有效的安全性分析,同时,它还可以在运行时(runtime)级别,对Android应用程序进行动态应用没试,另外,它还拥有针对WebAPl的特殊安全扫描程序-CapFuzz,并能够支持WebAPI的模糊处理
5. Frida
Frida是面向逆向工程师、开发人员,以及安全研究人员的一种动态工具包。同时,它也是一种实现了成用程内钩子(hooking]的工具包和框架
在Frida网站上,它要求用户将自己的不同脚本放入其黑盒进程中,以便“钩取各种功能与cryptoAPI,并监视与跟踪那些私有的程序代码,显然,它并不需要任何应用的源代码。
6. Nishang
如果你的默认安全脚本语言是PowerShel的话,那么请选用Nishang框架。作为有效负载与脚本的结合,Nisha ng允许用户使用PowerShell来进行渗透式、攻击性安全、以及红队(Red Teaming,译者注:是在传统渗透测试的基础上,更着重于针对企业人员,业务系统,供应链,办公系统,物理安全等方面真实脑弱点的攻击评估,规试、用户可以在当的渗透测试的各个阶段使用到该工具
7.Tamper
作为浏览器的扩展程序,TamperChrome允许用户即时地更改HTTP请求,并能等协助进行各项网络安全的相关测试,目前,它适用于包括Chrome OS在内的所有操作系统。同时,它还允许用户深入地检查浏览量所发送的请求及其响应,
8.InSpec
InSpec是一种高级的软件测试和审核框架。作为其础架构的开源式框架,该工具能够针对程序中的人类可读(h uman-readable)语言和机器语言,分析和阐程代码级别的安全性,合规性,以及策略需求
9. Faraday
作为集成式渗透测试环境(lntegrated Penetration-Test Environment,IPE)。Faraday它是一种多用户渗透测试方式的补足工具,它可以被用于针对那些在安全审核过程中所产生的数据,进行专业的索引,分发和分析
在实际使用过程中,测试人员能够以多用户的方式,充分利用到社区里现有的各类工具,这也是Faraday的开发目的所在,由于在设计之初就已经考虑到了简单性,因此用户在使用过程中,会发现Faraday的终确与系统上的常用终端并无太大的区别。另外,该工具还提供了一系列特殊功能,以协助用户改善其现有的工作流程
10. Pocsuite
Pocsuite星一种概念验证(proof-of-concept)和远程漏洞测试的开发框架,对于安全研究人员和渗透测试人员来说,该工具具有强大的概念验证引维,以及各种细分的功能
11. Taipan
作为一种自动化的Web应用类漏洞扫描程序,Taipan能够方便用户自动化地进行Web漏洞的识别,Taipan是一种开放式的项目,它包含了能够等客与支持其他组件的测试可警,该工身的果面学似干一个Web仪去板,用户可以在其中扫描并管理各类舞洞,下载扫描器代理程序,以及在特定的主机上运行并输出PDF格式的报告。
12.Pacu
Ppmu是一种AWS的开发狂塑,它的主要功能是针对Amazgn的Wab Sarvicas进行各师安全性测试
13. Secure Guilld
众所周知,测试人员从来不缺少五花八门的工具图谱,安全测试也同样如此。如果您是刚刚入门、或初次开展安全类测试的话,那么请不要放过对于Secure Guild的试用。该资源是一种专门致力于讨论安全测试相关问题的在线会议服务。该平台不但能够为您答疑解感,还可以让您学到各种安全测试的知识与技能。
总结
感谢每一个认真阅读我文章的人!!!
我个人整理了我这几年软件测试生涯整理的一些技术资料,包含:电子书,简历模块,各种工作模板,面试宝典,自学项目等。欢迎大家点击下方名片加入群聊免费领取,群里还有大佬帮忙解答问题,千万不要错过哦。
