安全测试 - 自动化工具

有多种工具可用于执行应用程序的安全测试。很少有工具可以执行端到端安全测试，而有些工具则专门用于发现系统中特定类型的缺陷。

开源工具

一些开源安全测试工具如下：

编号	工具名称
1	Zed 攻击代理提供自动扫描仪和其他工具来发现安全漏洞。 https://www.owasp.org
2	OWASP 网络圣甲虫用 Java 开发，用于分析 Http 和 Https 请求。 https://www.owasp.org/index.php
3	OWASP 咒语支持多语言安全测试框架 https://www.owasp.org/index.php/OWASP_Mantra__-_Security_Framework
4	打嗝代理用于拦截和修改流量的工具，可与自定义 SSL 证书配合使用。 https://www.portswigger.net/Burp/
5	Firefox 篡改数据使用 tamperdata 查看和修改 HTTP/HTTPS 标头和 post 参数 https://addons.mozilla.org/en-US
6	Firefox 网络开发工具 Web Developer 扩展向浏览器添加了各种 Web 开发人员工具。 https://addons.mozilla.org/en-US/firefox
7	Cookie 编辑器允许用户添加、删除、编辑、搜索、保护和阻止 cookie https://chrome.google.com/webstore

特定工具集

以下工具可以帮助我们发现系统中特定类型的漏洞 -

编号	关联
1	DOMinator Pro - DOM XSS 测试 https://dominator. Mindsecurity.com/
2	OWASP SQLiX - SQL 注入 https://www.owasp.org/index.php
3	Sqlninja - SQL 注入 http://sqlninja.sourceforge.net/
4	SQLInjector - SQL 注入 https://sourceforge.net/projects/safe3si/
5	sqlpowerinjector - SQL 注入 http://www.sqlpowerinjector.com/
6	SSL Digger - 测试 SSL https://www.mcafee.com/us/downloads/free-tools
7	THC-Hydra - 暴力密码 https://www.thc.org/thc-Hydra/
8	Brutus - 暴力密码 http://www.hoobie.net/brutus/
9	Ncat - 暴力破解密码 https://nmap.org/ncat/
10	OllyDbg - 测试缓冲区溢出 http://www.ollydbg.de/
11	Spike - 测试缓冲区溢出 https://www.immunitysec.com/downloads/SPIKE2.9.tgz
12	Metasploit - 测试缓冲区溢出 https://www.metasploit.com/

商业黑盒测试工具

以下是一些商业黑盒测试工具，可以帮助我们发现我们开发的应用程序中的安全问题。

序列号	工具
1	NGSS松鼠 https://www.nccgroup.com/en/our-services
2	IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/
3	Acunetix Web 漏洞扫描程序 https://www.acunetix.com/
4	网络蜘蛛 https://www.ntobjectives.com/products/ntospider.php
5	肥皂用户界面 https://www.soapui.org/Security/getting-started.html
6	网火花 https://www.mavitunasecurity.com/netsparker/
7	惠普网络检测 http://www.hpenterprisesecurity.com/products

免费源代码分析器

序列号	工具
1	OWASP 视野 https://www.owasp.org/index.php
2	OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform
3	搜索数字 https://www.bishopfox.com/resources/tools
4	FXCOP https://www.owasp.org/index.php/FxCop
5	夹板 http://splint.org/
6	Boon https://www.cs.berkeley.edu/~daw/boon/
7	W3af http://w3af.org/
8	缺陷查找器 https://www.dwheeler.com/flawfinder/
9	查找错误 http://findbugs.sourceforge.net/

商业源代码分析器

这些分析器检查、检测和报告源代码中容易出现漏洞的弱点 -

序列号	工具
1	Parasoft C/C++ 测试 https://www.parasoft.com/cpptest/
2	惠普强化 http://www.hpenterprisesecurity.com/products
3	应用扫描 http://www-01.ibm.com/software/rational/products
4	维拉科德 https://www.veracode.com
5	装甲代码安全 http://www.armorize.com/codesecure/
6	语法科技 https://www.grammatech.com/