1. Wireshark
Wireshark(前称 Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口,直接与网卡进行数据报文交换。
2. Metasploit
Metasploit 是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当 H.D. Moore 在 2003 年发布 Metasploit 时,计算机安全状况也被永久性地改变了。
3. Nmap
Nmap 是一款网络扫描和主机检测的非常有用的工具。Nmap 不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于 Windows、Linux、Mac 等操作系统。
4. Aircrack
Aircrack 是一套用于破解 WEP 和 WPA 的工具套装,一般用于无线网络的密钥破解,从而非法进入未经许可的无线网络。
5. Snort
Snort 是一个开源入侵防御系统(IPS)。Snort IPS 使用一系列规则来帮助定义恶意网络活动,并利用这些规则来查找与之匹配的数据包,并为用户生成警报。
6. Nessus
Nessus 是全世界最多人使用的系统漏洞扫描与分析软件。总共有超过 75,000 个机构使用 Nessus 作为扫描该机构电脑系统的软件。
7. AppScan
AppScan 是 IBM 公司出的一款 Web 应用安全测试工具,采用黑盒测试的方式,可以扫描常见的 web 应用安全漏洞。
8. AWVS
AWVS 是一款常用的漏洞扫描工具,全称为 Acunetix Web Vulnerability Scanner,它能通过网络爬虫测试你的网站安全,检测流行安全漏洞,大大提高了渗透效率。
9. OWASP ZAP
OWASP ZAP 是一款易于使用的 WEB 渗透测试工具,具有代理截包、重放、爬虫、主动扫描、被动扫描、登录扫描测试、模糊测试、生成 CSRF 测试列表、目录浏览、编码/解码等相关的功能。
10. OpenVAS
Openvas 是开源的,是 Nessus 项目分支,用于管理目标系统的漏洞,检测目标网络或主机的安全性。
11. BurpSuite
BurpSuite 是一款用于 Web 应用程序渗透测试的集成平台。它包含了许多工具,可以帮助渗透测试人员进行各种测试,如代理、扫描、攻击等。
12. Fiddler
Fiddler 是一个 http 协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的 http 通讯,设置断点,查看所有的'进出'Fiddler 的数据(指 cookie、html、js、css 等文件)。
13. W3AF
W3af 是一个 Web 应用程序攻击和检查框架。该项目已超过 130 个插件,其中检查 SQL 注入,跨站点脚本(XSS),本地和远程文件等。
14. Kali Linux
Kali Linux 是一个基于 Debian 的 Linux 发行版,旨在实现高级渗透测试和安全审计。Kali 包含数百种工具,适用于各种信息安全任务,如渗透测试,安全研究,计算机取证和逆向工程。Kali Linux 由领先的信息安全培训公司 Offensive Security 开发,资助和维护。
15. sqlmap
sqlmap 是一个自动化的 SQL 注入工具,主要的功能是扫描,发现并利用给定的 URL 的 SQL 注入漏洞,目前支持的数据库是 MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access,IBM DB2, SQLite, Firebird, Sybase 和 SAP MaxDB。
16. AntSword
蚁剑 (AntSword) 是一款开源的跨平台 WebShell 管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。
17. HackBar
HackBar 是一款基于浏览器的渗透测试工具,可以简化目标网站的攻击流程。它可以轻松地注入 JavaScript 和其他脚本,进行 SQL 注入、XSS 攻击、各种类型的扫描等。该工具可在 Firefox 和 Chrome 等流行的浏览器中使用,并且功能非常强大和定制化。
