软件测试培训之可用于有效分析的七种渗透测试工具

软件测试培训之可用于有效分析的七种渗透测试工具

1. Zed攻击代理(ZAP)

ZAP是由OWASP维护的、最流行且最常用的开源式Web应用扫描程序之一。它实质上是通过“中间人代理”的方式，实现漏洞检测。也就是说，ZAP在逻辑上位于渗透测试人员的浏览器和目标Web应用之间，对于浏览器与Web应用间的往来消息，进行拦截，检查和修改。

2. Burp Suite Pro

作为最流行的渗透测试工具包之一，Burp Suite通常被用于识别Web应用的各种安全性漏洞。同样作为基于代理的工具，它能够拦截浏览器与任何目标应用之间的通信。

目前，该工具带有各种实用且强大的功能，其中包括：针对特定请求而生成的概念验证(proof-of-concept)式CSRF攻击，带有大量漏洞签名库的扫描程序，具有功能内容与潜在威胁自动化发现等功能。

3. Veracode

作为一款功能强大的静态分析工具，Veracode可以让您快速地识别和修复应用中的安全漏洞。同时，该工具能够在无需源代码的情况下，分析出应用的主要安全框架和编程语言。

在实际应用中，它可以通过集成到您的软件开发生命周期中，方便开发团队编写出安全的代码，并且评估Web、移动、以及后端应用的安全性。

4. SQLMap

作为被广泛使用的开源工具之一，SQLMap可以被用于识别和利用数据库的相关漏洞(例如SQL注入)，以及对数据库服务器实施接管。目前，该工具主要支持诸如：MySQL、MSSQL、MongoDB、Oracle、以及PostgreSQL等DBMS(数据库管理系统)。

5.Vega

Vega是另一款开源的Web应用漏洞扫描工具。它可以帮助您快速地发现和验证诸如XSS(跨站点脚本攻击)、SQL注入、以及其他可能让Web应用暴露在风险之中的关键性漏洞。作为一款由Java编写的、基于GUI的工具，Vega能够支持诸如：Linux、Windows和OS X等主流操作系统。

6. Arachni

Arachni能够通过对Web应用执行安全性测试，以识别，分类，分析和记录各种安全性问题。与其他扫描工具不同的是，Arachni考虑到了Web应用的动态性。它可以检测在复杂性路径中，由漂移(drifting)引发的变化，并据此作出相应的调整。因此，它是渗透测试人员和管理员的理想选择。

7. Dirb

作为针对Web内容的实用扫描工具，Dirb通过对Web服务器发起基于字典的攻击、或蛮力攻击，来识别应用中现有或隐藏的Web目录。同时，Dirb属于命令行类型的实用程序。它可以提供专业的Web应用审核，进而保障组织在Web应用中敏感数据的安全性。