1) Netsparker
Netsparker je snadno použitelný skener zabezpečení webových aplikací, který dokáže ve vašich webových aplikacích a webových službách automaticky vyhledat SQL Injection, XSS a další chyby zabezpečení. Je k dispozici jako místní řešení a řešení SAAS. Funkce
- Detekce mrtvé přesné zranitelnosti s jedinečnou technologií skenování založenou na důkazech.
- Je vyžadována minimální konfigurace. Skener automaticky detekuje pravidla přepisování URL, vlastní 404 chybové stránky.
- REST API pro bezproblémovou integraci s SDLC, systémy pro sledování chyb atd.
- Plně škálovatelné řešení. Naskenujte 1 000 webových aplikací za pouhých 24 hodin.
2) Acunetix
Acunetix je plně automatizovaný nástroj pro testování penetrace. Jeho skener zabezpečení webových aplikací přesně skenuje aplikace HTML5, JavaScript a jednostránkové aplikace. Může auditovat složité ověřené webové aplikace a vydávat zprávy o shodě a správě u široké škály zranitelností webu a sítě, včetně zranitelností mimo pásmo.
Funkce:
- Vyhledává všechny varianty SQL Injection, XSS a dalších 4500 zranitelností
- Zjistí více než 1 200 zranitelností jádra, motivů a pluginů WordPress
- Rychlé a škálovatelné - procházejí stovky tisíc stránek bez přerušení
- Integruje se s populárními WAF a sledovači problémů, aby pomohl v SDLC
- K dispozici v prostorách a jako cloudové řešení.
3) Vetřelec
Intruder je výkonný automatizovaný nástroj pro testování penetrace, který odhaluje slabiny zabezpečení v celém vašem IT prostředí. Díky špičkovým bezpečnostním kontrolám v oboru, nepřetržitému monitorování a snadno použitelné platformě chrání Intruder firmy všech velikostí před hackery.
Funkce
- Nejlepší pokrytí hrozeb ve své třídě s více než 10 000 bezpečnostními kontrolami
- Kontroly slabých míst konfigurace, chybějících oprav, slabých stránek aplikací (jako je například SQL injection a skriptování mezi weby) a další
- Automatická analýza a stanovení priorit výsledků skenování
- Intuitivní rozhraní, rychlé nastavení a spuštění prvních skenů
- Proaktivní monitorování zabezpečení pro nejnovější chyby zabezpečení
- AWS, Azure a Google Cloud konektory
- Integrace API s vaším potrubím CI / CD
4) Indusface
Indusface WAS nabízí manuální testování penetrace a automatické skenování pro detekci a hlášení zranitelností na základě OWASP top 10 a SANS top 25.
Funkce
- Prohledávač skenuje jednostránkové aplikace
- Funkce pozastavení a obnovení
- Na stejném palubním panelu se zobrazují zprávy o ručním PT a automatickém skeneru
- Neomezený důkaz požadavků na koncept nabízí důkazy o hlášených zranitelnostech a pomáhá eliminovat falešně pozitivní výsledky automatizovaného skenování
- Volitelná integrace WAF pro zajištění okamžitého virtuálního záplatování s kladnou hodnotou Zero False
- Automaticky rozšiřuje pokrytí procházením na základě skutečných dat o provozu ze systémů WAF (v případě, že je WAF přihlášen a používán)
- Podpora 24 × 7 k projednání pokynů k nápravě / POC
5) Software pro detekci narušení
Software pro detekci narušení je nástroj, který vám umožní detekovat všechny typy pokročilých hrozeb. Poskytuje hlášení o shodě pro DSS (systém podpory rozhodování) a HIPAA. Tato aplikace může nepřetržitě sledovat podezřelé útoky a aktivitu.
Funkce:
- Minimalizujte úsilí při detekci narušení.
- Nabízí soulad s účinným vykazováním.
- Poskytuje protokoly v reálném čase.
- Dokáže detekovat škodlivé adresy IP, aplikace, účty a další.
6) Traceroute NG
Traceroute NG je aplikace, která umožňuje analyzovat síťovou cestu. Tento software dokáže identifikovat adresy IP, názvy hostitelů a ztrátu paketů. Poskytuje přesnou analýzu prostřednictvím rozhraní příkazového řádku
Funkce:
- Nabízí analýzu síťových cest TCP i ICMP.
- Tato aplikace může vytvořit soubor protokolu txt.
- Podporuje IP4 i IPV6.
- Zjistit změny cesty a upozornit vás.
- Umožňuje nepřetržité snímání sítě.
7) ExpressVPN
ExpressVPN zajišťuje procházení internetu proti agenturám a podvodníkům se třemi písmeny. Nabízí neomezený přístup k hudbě, sociálním médiím a videím, takže tyto programy nikdy nezaznamenávají adresy IP, historii procházení, dotazy DNS ani cíl provozu.
Funkce:
- Servery ve 160 lokalitách a 94 zemích
- Připojte se k síti VPN bez jakéhokoli omezení šířky pásma.
- Poskytuje online ochranu pomocí kontroly úniku a šifrování.
- Zůstaňte v bezpečí skrýváním adresy IP a šifrováním síťových dat.
- Pomoc je k dispozici 24/7 prostřednictvím e-mailu i živého chatu.
- Plaťte bitcoiny a použijte Tor pro přístup ke skrytým webům.
8) Owasp
Open Web Application Security Project (OWASP) je celosvětová nezisková organizace zaměřená na zlepšování zabezpečení softwaru. Projekt má několik nástrojů k testování různých softwarových prostředí a protokolů perem. Mezi stěžejní nástroje projektu patří
- Zed Attack Proxy (ZAP - integrovaný nástroj pro testování penetrace)
- Ověření závislosti OWASP (prohledává závislosti projektu a kontroluje známé chyby zabezpečení)
- OWASP Web Testing Environment Project (sbírka bezpečnostních nástrojů a dokumentace)
Průvodce testováním OWASP poskytuje „osvědčené postupy“ penetračním testům nejběžnější webové aplikace
Owasp odkaz
9) WireShark
Wireshark je nástroj pro analýzu síťové analýzy, dříve známý jako Ethereal. Zachytává pakety v reálném čase a zobrazuje je v čitelném formátu. V zásadě jde o analyzátor síťových paketů - který poskytuje podrobné informace o vašich síťových protokolech, dešifrování, informacích o paketech atd. Je to otevřený zdroj a lze jej použít v systémech Linux, Windows, OS X, Solaris, NetBSD, FreeBSD a mnoha dalších jiné systémy. Informace, které jsou načteny pomocí tohoto nástroje, lze zobrazit pomocí grafického uživatelského rozhraní nebo nástroje TShark v režimu TTY.
Mezi funkce WireShark patří
- Živý záznam a offline analýza
- Bohatá analýza VoIP
- Pořizování souborů komprimovaných pomocí gzip lze dekomprimovat za chodu
- Výstup lze exportovat do XML, PostScript, CSV nebo prostého textu
- Multiplatformní: Běží na Windows, Linux, FreeBSD, NetBSD a mnoha dalších
- Živá data lze číst z internetu, PPP / HDLC, ATM, Blue-tooth, USB, Token Ring atd.
- Podpora dešifrování pro mnoho protokolů, které zahrnují IPsec, ISAKMP, SSL / TLS, WEP a WPA / WPA2
- Pro rychlou intuitivní analýzu lze na paket použít pravidla vybarvení
- Čtení / zápis mnoha různých formátů souborů pro digitalizaci
Stažení Wireshark
10) w3af
w3af je rámec pro útoky a audit webových aplikací. Má tři typy pluginů; objev, audit a útok, které spolu komunikují ohledně jakýchkoli zranitelných míst na webu, například objevovací plugin ve w3af hledá různé adresy URL pro testování zranitelností a předá je auditovacímu pluginu, který pak použije tyto adresy URL k vyhledání zranitelných míst.
Lze jej také nakonfigurovat tak, aby fungoval jako proxy MITM. Zachycený požadavek lze odeslat do generátoru požadavků a poté lze provést ruční testování webových aplikací pomocí proměnných parametrů. Má také funkce pro zneužití zranitelných míst, které najde.
Funkce W3af
- Podpora proxy
- Mezipaměť odpovědí HTTP
- Mezipaměť DNS
- Nahrávání souborů pomocí více částí
- Zpracování souborů cookie
- Základní ověřování a digest HTTP
- Falešný uživatelský agent
- Přidejte k žádostem vlastní záhlaví
odkaz ke stažení w3af
11) Metaspoilt
Toto je nejpopulárnější a nejpokročilejší Framework, který lze použít pro pentest. Jedná se o nástroj s otevřeným zdrojovým kódem založený na konceptu „zneužití“, což znamená, že předáte kód, který porušuje bezpečnostní opatření, a vstoupíte do určitého systému. Pokud je zadáno, spustí 'užitečné zatížení', kód, který provádí operace na cílovém počítači, čímž vytváří dokonalý rámec pro testování penetrace. Je to skvělý testovací testovací nástroj, zda je IDS úspěšný v prevenci útoků, které obcházíme
Metaspoilt lze použít v sítích, aplikacích, serverech atd. Má příkazový řádek a klikatelné rozhraní GUI, pracuje na Apple Mac OS X, pracuje na Linuxu a Microsoft Windows.
Vlastnosti Metaspoilt
- Základní rozhraní příkazového řádku
- Import třetích stran
- Ruční hrubé vynucení
- Ruční hrubé vynucení
- penetrační testování webových stránek
Odkaz ke stažení Metaspoilt
12) Kali
Kali pracuje pouze na Linux Machines. Umožňuje vám vytvořit plán zálohování a obnovy, který odpovídá vašim potřebám. Propaguje rychlý a snadný způsob, jak najít a aktualizovat dosud největší databázi kolekce pro testování penetrace zabezpečení. Jedná se o nejlepší dostupné nástroje pro čichání a vstřikování paketů. Při používání tohoto nástroje může být prospěšná odbornost v protokolu TCP / IP a vytváření sítí.
Funkce
- Přidání 64bitové podpory umožňuje prolomení hesla hrubou silou
- Back Track přichází s předinstalovanými nástroji pro LAN a WLAN čichání, skenování zranitelností, prolomení hesla a digitální forenzní
- Backtrack se integruje s některými nejlepšími nástroji, jako jsou Metaspoilt a Wireshark
- Kromě síťového nástroje obsahuje také pidgin, xmms, Mozilla, k3b atd.
- Podpora zadní stopy KDE a Gnome.
Odkaz ke stažení Kali
13) Samurajský rámec:
Samurai Web Testing Framework je software pro testování pera. Je podporován na VirtualBoxu a VMWare, který byl předem nakonfigurován tak, aby fungoval jako prostředí pro testování webového pera.
Funkce:
- Je to open source, bezplatný nástroj
- Obsahuje to nejlepší z otevřeného zdroje a bezplatné nástroje, které se zaměřují na testování a napadení webu
- Obsahuje také předkonfigurovanou wiki pro nastavení centrálního úložiště informací během testu perem
Odkaz ke stažení: https://sourceforge.net/projects/samurai/files/
14) Aircrack:
Aircrack je šikovný bezdrátový testovací nástroj. Praskne zranitelná bezdrátová připojení. Je napájen šifrovacími klíči WEP WPA a WPA 2.
Funkce:
- Podporováno více karet / ovladačů
- Podpora všech typů OS a platforem
- Nový útok WEP: PTW
- Podpora útoku slovníku WEP
- Podpora útoku fragmentace
- Vylepšená rychlost sledování
Odkaz ke stažení: https://www.aircrack-ng.org/downloads.html
15) ZAP:
ZAP je jedním z nejpopulárnějších nástrojů pro testování zabezpečení s otevřeným zdrojovým kódem. Udržují jej stovky mezinárodních dobrovolníků. To může pomoci uživatelům najít bezpečnostní chyby ve webových aplikacích během fáze vývoje a testování.
Funkce:
- Pomáhá identifikovat bezpečnostní mezery přítomné ve webové aplikaci simulací skutečného útoku
- Pasivní skenování analyzuje odpovědi ze serveru a identifikuje určité problémy
- Pokouší se o hrubou silou přístup k souborům a adresářům.
- Funkce Spidering pomáhá vytvářet hierarchickou strukturu webových stránek
- Poskytnutí neplatných nebo neočekávaných dat pro jejich selhání nebo pro vytvoření neočekávaných výsledků
- Užitečný nástroj pro zjištění otevřených portů na cílovém webu
- Poskytuje interaktivní prostředí Java, které lze použít k provádění skriptů BeanShell
- Je plně internacionalizován a podporuje 11 jazyků
Odkaz ke stažení: https://github.com/zaproxy/zaproxy/wiki
16) Sqlmap:
Sqlmap je nástroj pro testování penetrace open source. Automatizuje celý proces zjišťování a využívání nedostatků SQL Injection. Dodává se s mnoha detekčními motory a funkcemi pro ideální penetrační test.
Funkce:
- Plná podpora pro šest technik vkládání SQL
- Umožňuje přímé připojení k databázi bez předávání pomocí injekce SQL
- Podpora výčtu uživatelů, hodnot hashe hesla, oprávnění, rolí, databází, tabulek a sloupců
- Automatické rozpoznávání hesla zadaného ve hash formátech a podpora jejich prolomení
- Podpora úplného výpisu databázových tabulek nebo konkrétních sloupců
- Uživatelé mohou také vybrat rozsah znaků ze záznamu každého sloupce
- Umožňuje navázat TCP spojení mezi ovlivněným systémem a databázovým serverem
- Podpora vyhledávání konkrétních názvů databází, tabulek nebo konkrétních sloupců ve všech databázích a tabulkách
- Umožňuje provádět libovolné příkazy a načíst jejich standardní výstup na databázovém serveru
Odkaz ke stažení: https://github.com/sqlmapproject/sqlmap
17) Sqlninja:
Sqlninja je nástroj pro testování penetrace. Je zaměřen na zneužití zranitelnosti SQL Injection ve webové aplikaci. Jako back-end používá Microsoft SQL Server. Poskytuje také vzdálený přístup na zranitelný server DB, a to i ve velmi nepřátelském prostředí.
Funkce:
- Otisky prstů vzdáleného SQL
- Extrakce dat, založená na čase nebo pomocí tunelu DNS
- Umožňuje integraci s Metasploit3 pro získání grafického přístupu ke vzdálenému serveru DB
- Nahrání spustitelného souboru pouze pomocí běžných požadavků HTTP prostřednictvím VBScript nebo debug.exe
- Přímý a reverzní bindshell, jak pro TCP, tak pro UDP
- Vytvoření vlastního xp cmdshellu, pokud ten původní není k dispozici na w2k3 pomocí únosu tokenu
Odkaz ke stažení: http://sqlninja.sourceforge.net/download.html
18) HOVĚZÍ:
Rámec využití prohlížeče. Jedná se o nástroj pro testování, který se zaměřuje na webový prohlížeč. Používá GitHub ke sledování problémů a hostování svého úložiště git.
Funkce:
- Umožňuje zkontrolovat skutečnou pozici zabezpečení pomocí vektorů útoku na straně klienta
- BeEF umožňuje připojení pomocí jednoho nebo více webových prohlížečů. Poté může být použit pro spuštění řízených příkazových modulů a další útoky na systém.
Odkaz ke stažení: http://beefproject.com
19) Dradis:
Dradis je open source framework pro penetrační testování. Umožňuje udržovat informace, které mohou být sdíleny mezi účastníky testu perem. Shromážděné informace pomáhají uživatelům pochopit, co je dokončeno a co je třeba dokončit.
Funkce:
- Snadný proces pro generování zpráv
- Podpora příloh
- Bezproblémová spolupráce
- Integrace se stávajícími systémy a nástroji pomocí zásuvných modulů serveru
- Nezávislá na platformě
Odkaz ke stažení: https://dradisframework.com/ce
20) Rapid 7:
Nexpose Rapid 7 je užitečný software pro správu zranitelností. Monitoruje expozice v reálném čase a přizpůsobuje se novým hrozbám s novými daty, která uživatelům pomáhají jednat v okamžiku nárazu.
Funkce:
- Získejte pohled na rizika v reálném čase
- Přináší inovativní a progresivní řešení, která pomáhají uživateli dokončit práci
- Vědět, kam se zaměřit
- Přineste více do svého bezpečnostního programu
Odkaz ke stažení: https://www.rapid7.com/products/nexpose/download/
21) Hping:
Hping je nástroj pro testování pera analyzátoru paketů TCP / IP. Toto rozhraní je inspirováno příkazem ping (8) UNIX. Podporuje protokoly TCP, ICMP, UDP a RAW-IP.
Funkce:
- Umožňuje testování brány firewall
- Pokročilé skenování portů
- Síťové testování, použití různých protokolů, TOS, fragmentace
- Ruční zjišťování MTU cesty
- Pokročilý traceroute se všemi podporovanými protokoly
- Vzdálené otisky prstů a hádání o dostupnosti
- Auditování zásobníků TCP / IP
Odkaz ke stažení: https://github.com/antirez/hping
22) SuperScan:
Superscan je bezplatný nástroj pro penetrační testování uzavřeného zdroje pouze pro Windows. Zahrnuje také síťové nástroje, jako je ping, traceroute, whois a HTTP HEAD.
Vlastnosti:
- Vynikající rychlost skenování
- Podpora neomezeného rozsahu adres IP
- Vylepšená detekce hostitele pomocí více metod ICMP
- Poskytovat podporu pro skenování TCP SYN
- Jednoduché generování HTML reportů
- Skenování zdrojového portu
- Rozsáhlé chytání bannerů
- Velká integrovaná databáze popisů seznamu portů
- Randomizace pořadí skenování IP a portů
- Rozsáhlé možnosti výčtu hostitelů Windows
Odkaz ke stažení: https://superscan.cs.softonic.com/
23) ISS skener:
IBM Internet Scanner je nástroj pro testování pera, který poskytuje základ pro efektivní zabezpečení sítě pro jakékoli podnikání.
Funkce:
- Internetový skener minimalizuje obchodní riziko hledáním slabých míst v síti
- Umožňuje automatizovat skenování a objevovat chyby zabezpečení
- Internetový skener snižuje riziko identifikací bezpečnostních děr nebo zranitelných míst v síti
- Kompletní správa zranitelnosti
- Internetový skener dokáže identifikovat více než 1300 typů síťových zařízení
Odkaz ke stažení : https://www.ibm.com/products/trials
24) Scapy:
Scapy je výkonný a interaktivní nástroj pro testování pera. Dokáže zvládnout mnoho klasických úkolů, jako je skenování, sondování a útoky na síť.
Funkce:
- Provádí některé konkrétní úkoly, jako je odesílání neplatných rámců, vkládání rámců 802.11. Využívá různé kombinující techniky, které je obtížné dělat s jinými nástroji
- Umožňuje uživateli sestavit přesně pakety, které chtějí
- Snižuje počet řádků zapsaných k provedení konkrétního kódu
Odkaz ke stažení: https://scapy.net/
25) IronWASP:
IronWASP je open source software pro testování zranitelnosti webových aplikací. Je navržen tak, aby jej bylo možné přizpůsobit, aby si pomocí něj uživatelé mohli vytvářet své vlastní bezpečnostní skenery.
Funkce:
- GUI založené a velmi snadno použitelné
- Má výkonný a efektivní skenovací modul
- Podpora nahrávání sekvence přihlášení
- Vytváření přehledů ve formátu HTML i RTF
- Zkontroluje více než 25 typů webových zranitelností
- Podpora detekce falešných pozitiv a negativů
- Podporuje Python a Ruby
- Rozšiřitelné pomocí zásuvných modulů nebo modulů v Pythonu, Ruby, C # nebo VB.NET
Odkaz ke stažení: http://ironwasp.org/download.html
26) Ettercap:
Ettercap je komplexní nástroj pro testování pera. Podporuje aktivní a pasivní pitvu. Zahrnuje také mnoho funkcí pro síťovou a hostitelskou analýzu.
Funkce:
- Podporuje aktivní a pasivní disekci mnoha protokolů
- Funkce otravy ARP k čichání na přepnuté síti LAN mezi dvěma hostiteli
- Znaky lze vkládat na server nebo do klienta při zachování živého připojení
- Ettercap je schopen čichat připojení SSH v plném duplexu
- Umožňuje čichání dat zabezpečených protokolem HTTP SSL, i když je připojení prováděno pomocí serveru proxy
- Umožňuje vytváření vlastních doplňků pomocí rozhraní API společnosti Ettercap
Odkaz ke stažení: https://www.ettercap-project.org/downloads.html
27) Bezpečnostní cibule:
Security Onion je nástroj pro testování penetrace. Používá se k detekci narušení a monitorování zabezpečení sítě. Má snadno použitelného průvodce nastavením, který umožňuje uživatelům vybudovat armádu distribuovaných senzorů pro jejich podnik.
Funkce:
- Je postaven na distribuovaném modelu klient-server
- Sledování zabezpečení sítě umožňuje monitorování událostí souvisejících se zabezpečením
- Nabízí úplné zachycení paketů
- Síťové a hostitelské systémy detekce vniknutí
- Má vestavěný mechanismus k vyčištění starých dat před naplněním úložného zařízení do své kapacity
Odkaz ke stažení: https://securityonion.net/
28) Osobní softwarový inspektor:
Personal Software Inspector je open source řešení zabezpečení počítače. Tento nástroj dokáže identifikovat chyby zabezpečení v aplikacích na PC nebo na serveru.
Funkce:
- Je k dispozici v osmi různých jazycích
- Automatizuje aktualizace nezabezpečených programů
- Pokrývá tisíce programů a automaticky detekuje nezabezpečené programy
- Tento nástroj pro testování pera automaticky a pravidelně kontroluje, zda v počítači nejsou zranitelné programy
- Detekuje a upozorňuje na programy, které nelze automaticky aktualizovat
Odkaz ke stažení: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager
29) HconSTF:
HconSTF je nástroj pro testování penetrace otevřeného zdroje založený na různých technologiích prohlížeče. Pomáhá každému bezpečnostnímu profesionálu asistovat při testování penetrace. Obsahuje webové nástroje, které jsou účinné při provádění XSS, SQL injection, CSRF, Trace XSS, RFI, LFI atd.
Funkce:
- Kategorizovaná a komplexní sada nástrojů
- Každá možnost je nakonfigurována pro penetrační testování
- Speciálně nakonfigurovaný a vylepšený pro získání spolehlivé anonymity
- Funguje pro hodnocení testování webových aplikací
- Snadno použitelný a spolupracující operační systém
Odkaz ke stažení: http://www.hcon.in/
30) IBM Security AppScan:
IBM Security AppScan pomáhá zlepšit zabezpečení webových aplikací a zabezpečení mobilních aplikací. Zlepšuje zabezpečení aplikací a posiluje shodu s předpisy. Pomáhá uživatelům identifikovat chyby zabezpečení a generovat zprávy.
Funkce:
- Povolte vývoj a QA provádět testování během procesu SDLC
- Ovládejte, jaké aplikace může každý uživatel testovat
- Snadná distribuce zpráv
- Zvýšení viditelnosti a lepší pochopení podnikových rizik
- Zaměřte se na hledání a řešení problémů
- Řízení přístupu k informacím
Odkaz ke stažení: http://www-03.ibm.com/software/products/en/appscan
31) Arachni:
Arachni je open source nástroj založený na Ruby framework pro testery a administrátory penetrace. Používá se k hodnocení bezpečnosti moderních webových aplikací.
Funkce:
- Je to všestranný nástroj, takže pokrývá velké množství případů použití. To sahá od jednoduchého nástroje pro skenování z příkazového řádku až po globální vysoce výkonnou mřížku skenerů
- Možnost pro více nasazení
- Nabízí ověřitelnou, kontrolovatelnou kódovou základnu, která zajišťuje nejvyšší úroveň ochrany
- Může se snadno integrovat do prostředí prohlížeče
- Nabízí velmi podrobné a dobře strukturované zprávy
Odkaz ke stažení: https://sourceforge.net/projects/safe3wvs/files
32) Websecurify:
Websecurify je výkonné prostředí pro testování zabezpečení. Jedná se o uživatelsky přívětivé rozhraní, které je jednoduché a snadno použitelné. Nabízí kombinaci automatických a manuálních technologií pro testování zranitelnosti.
Funkce:
- Dobrá technologie testování a skenování
- Silný testovací modul pro detekci adres URL
- Je rozšiřitelný o mnoho dostupných doplňků
- Je k dispozici pro všechny hlavní desktopové a mobilní platformy
Odkaz ke stažení: https://www.websecurify.com/
33) Vega:
Vega je open source webový bezpečnostní skener a platforma pro testování pera pro testování bezpečnosti webových aplikací.
Funkce:
- Automatizované, manuální a hybridní testování zabezpečení
- Pomáhá uživatelům najít zranitelná místa. Může to být skriptování mezi weby, uložené skripty mezi weby, slepé vkládání SQL, vkládání prostředí atd.
- Může se automaticky přihlašovat na webové stránky, když je jim poskytnuto pověření uživatele
- Funguje efektivně na Linuxu, OS X a Windows
- Detekční moduly Vega jsou psány v JavaScriptu
Odkaz ke stažení: https://subgraph.com/vega/download/index.cs.html
34) Wapiti:
Wapiti je další slavný nástroj pro testování penetrace. Umožňuje auditovat zabezpečení webových aplikací. Pro kontrolu zranitelnosti podporuje metody GET i POST HTTP.
Funkce:
- Generuje zprávy o zranitelnosti v různých formátech
- Může pozastavit a obnovit skenování nebo útok
- Rychlý a snadný způsob aktivace a deaktivace modulů útoku
- Podpora proxy HTTP a HTTPS
- Umožňuje omezit rozsah skenování
- Automatické odstranění parametru z URL
- Import cookies
- Může aktivovat nebo deaktivovat ověřování certifikátů SSL
- Extrahujte adresy URL ze souborů Flash SWF
Odkaz ke stažení: https://sourceforge.net/projects/wapiti/files/
35) Kismet:
Kismet je bezdrátový síťový detektor a systém detekce narušení. Funguje se sítěmi Wi-Fi, ale lze jej rozšířit pomocí pluginů, protože umožňuje pracovat s jinými typy sítí.
Funkce:
- Umožňuje standardní protokolování PCAP
- Modulární architektura klient / server
- Architektura zásuvných modulů pro rozšíření základních funkcí
- Podpora více zdrojů snímání
- Distribuované vzdálené čichání pomocí lehkého vzdáleného snímání
- Výstup XML pro integraci s dalšími nástroji
Odkaz ke stažení: https://www.kismetwireless.net/downloads/
36) Kali Linux:
Kali Linux je nástroj pro testování pera s otevřeným zdrojovým kódem, který udržuje a financuje společnost Offensive Security.
Funkce:
- Plné přizpůsobení ISO Kali s live-buildem pro vytváření přizpůsobených obrazů Kali Linux
- Obsahuje spoustu kolekcí balíčků Meta, které agregují různé sady nástrojů
- ISO Doom a další recepty Kali
- Šifrování disku na Raspberry Pi 2
- Živé USB s více obchody s perzistencí
Odkaz ke stažení: https://www.kali.org/
37) Zabezpečení papouška:
Parrot Security je nástroj pro testování pera. Nabízí plně přenosnou laboratoř pro odborníky v oblasti bezpečnosti a digitální forenzní analýzy. Pomáhá také uživatelům chránit jejich soukromí pomocí anonymity a krypto nástrojů.
Funkce:
- Zahrnuje kompletní arzenál nástrojů zaměřených na zabezpečení k provádění penetračních testů, bezpečnostních auditů a dalších.
- Dodává se s předinstalovanými a užitečnými a aktualizovanými knihovnami
- Nabízí výkonné celosvětové zrcadlové servery
- Umožňuje komunitní rozvoj
- Nabízí samostatný Cloud OS speciálně navržený pro servery
Odkaz ke stažení: https://www.parrotsec.org/download/
38) OpenSSL:
Tato sada nástrojů je licencována pod licencí ve stylu Apache. Jedná se o bezplatný a otevřený projekt, který poskytuje komplexní sadu nástrojů pro protokoly TLS a SSL.
Funkce:
- Je napsán v jazyce C, ale obálky jsou k dispozici pro mnoho počítačových jazyků
- Knihovna obsahuje nástroje pro generování soukromých klíčů RSA a žádosti o podepsání certifikátu
- Ověřte soubor CSR
- Úplně odstraňte přístupovou frázi z klíče
- Vytvořte nový soukromý klíč a povolte žádost o podpis certifikátu
Odkaz ke stažení: https://www.openssl.org/source/
39) Odfrknout:
Snort je open-source systém detekce narušení a testování pera. Nabízí výhody kontrolních metod založených na protokolu podpisu a anomálii. Tento nástroj pomáhá uživatelům získat maximální ochranu před útoky malwaru.
Funkce:
- Snort získal proslulost díky schopnosti přesně detekovat hrozby při vysokých rychlostech
- Chraňte svůj pracovní prostor před rychle se objevujícími útoky
- Snort lze použít k vytvoření přizpůsobených jedinečných řešení zabezpečení sítě
- Vyzkoušejte certifikát SSL konkrétní adresy URL
- Může zkontrolovat, zda je na adrese URL přijata konkrétní šifra
- Ověřte autoritu podpisového certifikátu
- Schopnost předkládat falešně pozitiva / negativa
Odkaz ke stažení: https://www.snort.org/downloads
40) Zadní schránka:
BackBox je projekt Open Source Community s cílem posílit kulturu zabezpečení v IT prostředí. Je k dispozici ve dvou různých variantách, jako je Backbox Linux a Backbox Cloud. Zahrnuje některé z nejčastěji známých / používaných bezpečnostních a analytických nástrojů.
Funkce:
- Je to užitečný nástroj ke snížení potřeb firemních zdrojů a nižších nákladů na správu více požadavků na síťová zařízení
- Jedná se o plně automatizovaný nástroj pro testování pera. K provádění změn tedy není potřeba žádných agentů ani konfigurace sítě. Za účelem provedení plánované automatizované konfigurace
- Zabezpečený přístup k zařízením
- Organizace mohou ušetřit čas, protože není třeba sledovat jednotlivá síťová zařízení
- Podporuje šifrování pověření a konfiguračních souborů
- Automatické zálohování a automatické vzdálené úložiště
- Nabízí řízení přístupu na základě IP
- Není třeba psát příkaz, protože je dodáván s předkonfigurovanými příkazy
Odkaz ke stažení: https://www.backbox.org/download/
41) THC Hydra:
Hydra je paralelizovaný nástroj pro crackování přihlášení a testování pera. Je velmi rychlý a flexibilní a snadno se přidávají nové moduly. Tento nástroj umožňuje výzkumným pracovníkům a bezpečnostním konzultantům najít neoprávněný přístup.
Funkce:
- Sada nástrojů pro výměnu paměti na plný úvazek spolu s generováním, tříděním, převodem a vyhledáváním duhových stolů
- Podporuje duhovou tabulku libovolného hash algoritmu
- Podporujte duhový stůl jakékoli znakové sady
- Podpora duhové tabulky v kompaktním nebo surovém formátu
- Výpočet podpory vícejádrových procesorů
- Běží na operačních systémech Windows a Linux
- Jednotný formát souboru duhové tabulky ve všech podporovaných OS
- Podpora uživatelského rozhraní GUI a příkazového řádku
Odkaz ke stažení: https://github.com/vanhauser-thc/thc-hydra
42) Upozornění na sledování reputace:
Open Threat Exchange Reputation Monitor je bezplatná služba. Umožňuje profesionálům sledovat reputaci jejich organizace. S pomocí tohoto nástroje mohou podniky a organizace sledovat veřejnou IP a reputaci domény svých aktiv.
Funkce:
- Monitoruje cloud, hybridní cloud a místní infrastrukturu
- Poskytuje nepřetržité informace o hrozbách, aby udržoval aktuální informace o hrozbách, jakmile se objeví
- Poskytuje nejkomplexnější směrnice pro detekci hrozeb a použitelné reakce na incidenty
- Nasazuje se rychle, snadno as menším počtem úsilí
- Snižuje celkové náklady na vlastnictví oproti tradičním bezpečnostním řešením
Odkaz ke stažení: https://cybersecurity.att.com/products/usm-anywhere/free-trial
43) Jan Rozparovač:
John the Ripper známý jako JTR je velmi populární nástroj pro rozbití hesla. Primárně se používá k provádění slovníkových útoků. Pomáhá identifikovat slabé slabiny hesel v síti. Podporuje také uživatele před útoky hrubou silou a duhovými trhlinami.
Funkce:
- John the Ripper je bezplatný software s otevřeným zdrojovým kódem
- Proaktivní modul kontroly síly hesla
- Umožňuje online procházení dokumentace
- Podpora mnoha dalších typů hash a šifry
- Umožňuje procházet dokumentaci online včetně shrnutí změn mezi dvěma verzemi
Odkaz ke stažení: https://www.openwall.com/john/
44) Safe3 skener:
Safe3WVS je jedním z nejsilnějších nástrojů pro testování zranitelnosti webu. Dodává se s technologií procházení webovými pavouky, zejména s webovými portály. Je to nejrychlejší nástroj k vyhledání problémů, jako je vkládání SQL, zranitelnost při nahrávání a další.
Funkce:
- Plná podpora pro ověřování Basic, Digest a HTTP.
- Inteligentní automatický webový pavouk odstraní opakované webové stránky
- Automatický analyzátor JavaScriptu poskytuje podporu pro extrakci adres URL z Ajaxu, Web 2.0 a dalších aplikací
- Podpora skenování injekce SQL, chyba zabezpečení nahrávání, cesta správce a chyba seznamu adresářů
Odkaz ke stažení: https://sourceforge.net/projects/safe3wvs/files/latest/download
45) CloudFlare:
CloudFlare je CDN s robustními bezpečnostními funkcemi. Online hrozby sahají od spamu s komentáři a nadměrného procházení robotů až po škodlivé útoky, jako je vložení SQL. Poskytuje ochranu proti spamu komentářů, nadměrnému procházení robotů a škodlivým útokům.
Vlastnosti:
- Jedná se o síť ochrany DDoS podnikové třídy
- Firewall webových aplikací pomáhá z kolektivní inteligence celé sítě
- Registrace domény pomocí CloudFlare je nejbezpečnější způsob ochrany před únosem domény
- Funkce Omezení rychlosti chrání kritické zdroje uživatele. Blokuje návštěvníky s podezřelým počtem sazeb požadavků.
- CloudFlare Orbit řeší problémy se zabezpečením pro zařízení IOT
Odkaz ke stažení: https://www.cloudflare.com/
46) Zenmap
Zenmap je oficiální software Nmap Security Scanner. Jedná se o multiplatformní bezplatnou a otevřenou aplikaci. Je snadno použitelný pro začátečníky, ale také nabízí pokročilé funkce pro zkušené uživatele.
Funkce:
- Interaktivní a grafické prohlížení výsledků
- Shrnuje podrobnosti o jednom hostiteli nebo úplném skenování na pohodlném displeji.
- Může dokonce nakreslit topologickou mapu objevených sítí.
- Může zobrazit rozdíly mezi dvěma skenováními.
- Umožňuje správcům sledovat nové hostitele nebo služby, které se objevují v jejich sítích. Nebo sledujte stávající služby, které klesají
Odkaz ke stažení: https://nmap.org/download.html
Ostatní nástroje, které by mohly být užitečné pro penetrační testování, jsou
- Acunetix: Jedná se o skener zranitelnosti webu zaměřený na webové aplikace. Je to drahý nástroj ve srovnání s ostatními a poskytuje možnosti, jako je testování skriptů napříč weby, zprávy o shodě s PCI, vkládání SQL atd.
- Retina: Je to spíš jako nástroj pro správu zranitelnosti než nástroj pro předběžné testování
- Nessus: Soustřeďuje se na kontroly dodržování předpisů, vyhledávání citlivých dat, skenování IP adres, skenování webových stránek atd.
- Netsparker: Tento nástroj je dodáván s robustním skenerem webových aplikací, který identifikuje zranitelná místa a navrhuje řešení. K dispozici jsou bezplatné omezené zkušební verze, ale většinou jde o komerční produkt. Pomáhá také využívat SQL injection a LFI (Local File Induction)
- ZÁKLADNÍ Dopad: Tento software lze použít pro penetraci mobilních zařízení, identifikaci a prolomení hesla, penetraci síťových zařízení atd. Je to jeden z drahých nástrojů při testování softwaru
- Burpsuite: Stejně jako ostatní je tento software také komerčním produktem. Funguje to tak, že zachycuje proxy, skenování webových aplikací, procházení obsahu a funkcí atd. Výhodou použití Burpsuite je, že ho můžete použít v prostředí Windows, Linux a Mac OS X.