40 beste penetrasjonstesting (pennetest) Vapt-verktøy i 2021

Anonim
Penetrasjonstestverktøy hjelper til med å identifisere sikkerhetssvakheter i et nettverk, server eller webapplikasjon. Disse verktøyene er veldig nyttige siden de lar deg identifisere "ukjente sårbarheter" i programvaren og nettverksapplikasjonene som kan forårsake sikkerhetsbrudd. VAPT-verktøy (Vulnerability Assessment and Penetration Testing) angriper systemet ditt i nettverket og utenfor nettverket som om en hacker ville angripe det. Hvis uautorisert tilgang er mulig, må systemet korrigeres. Her er en liste over topp 40 verktøy for penetrasjonstesting

1) Netsparker

Netsparker er en brukervennlig sikkerhetsskanner for webapplikasjoner som automatisk kan finne SQL Injection, XSS og andre sårbarheter i webapplikasjonene og webtjenestene. Den er tilgjengelig som SAAS-løsning. Egenskaper
  • Død nøyaktig sårbarhetsdeteksjon med den unike, bevisbaserte skanningsteknologien.
  • Minimal konfigurasjon kreves. Skanneren oppdager automatisk URL-omskrivingsregler, tilpassede 404-feilsider.
  • REST API for sømløs integrasjon med SDLC, bug tracking systems etc.
  • Fullt skalerbar løsning. Skann 1000 nettapplikasjoner på bare 24 timer.

2) Acunetix

Acunetix er et helautomatisk verktøy for penetrasjonstesting. Sikkerhetsskanneren for nettapplikasjoner skanner nøyaktig HTML5-, JavaScript- og ensidesapplikasjoner. Den kan revidere komplekse, autentiserte webapper og utstede overholdelses- og administrasjonsrapporter for et bredt spekter av nett- og nettverkssårbarheter, inkludert sårbarheter utenfor området.

Egenskaper:

  • Skanner etter alle varianter av SQL Injection, XSS og 4500+ ekstra sårbarheter
  • Oppdager over 1200 WordPress-kjerne-, tema- og plugin-sårbarheter
  • Rask og skalerbar - gjennomsøker hundretusenvis av sider uten forstyrrelser
  • Integreres med populære WAF og Issue Trackers for å hjelpe til med SDLC
  • Tilgjengelig på stedet og som en skyløsning.

3) Inntrenger

Intruder er et kraftig, automatisert verktøy for penetrasjonstesting som oppdager sikkerhetssvakheter i hele IT-miljøet ditt. Intruder tilbyr bransjeledende sikkerhetskontroller, kontinuerlig overvåking og en brukervennlig plattform, og holder virksomheter i alle størrelser trygge for hackere.

Egenskaper

  • Beste trusseldekning i klassen med over 10.000 sikkerhetskontroller
  • Sjekker for konfigurasjonssvakheter, manglende oppdateringer, applikasjonssvakheter (for eksempel SQL-injeksjon og skript på tvers av nettsteder) og mer
  • Automatisk analyse og prioritering av skanneresultater
  • Intuitivt grensesnitt, raskt å sette opp og kjøre dine første skanninger
  • Proaktiv sikkerhetsovervåking for de siste sårbarhetene
  • AWS, Azure og Google Cloud-kontakter
  • API-integrasjon med CI / CD-rørledningen

4) Indusface

Indusface WAS tilbyr manuell penetrasjonstesting og automatisk skanning for å oppdage og rapportere sårbarheter basert på OWASP topp 10 og SANS topp 25.

Egenskaper

  • Crawler skanner applikasjoner på en side
  • Pause og gjenoppta funksjonen
  • Manuelle PT- og automatiserte skannerrapporter vises i samme dashbord
  • Ubegrenset bevis på konseptforespørsler gir bevis for rapporterte sårbarheter og bidrar til å eliminere falske positive fra automatiske skanningsfunn
  • Valgfri WAF-integrasjon for å gi øyeblikkelig virtuell oppdatering med Zero False positive
  • Utvider automatisk gjennomsøkingsdekning basert på reell trafikkdata fra WAF-systemene (hvis WAF abonnerer og brukes)
  • 24 × 7 støtte for å diskutere utbedringsretningslinjer / POC

5) Programvare for inntrengingsdeteksjon

Intrusion Detection Software er et verktøy som lar deg oppdage alle typer avanserte trusler. Det gir rapportering om samsvar for DSS (Decision Support System) og HIPAA. Dette programmet kan kontinuerlig overvåke mistenkelige angrep og aktivitet.

Egenskaper:

  • Minimer innsats for gjenkjenning av inntrenging.
  • Tilbyr overholdelse av effektiv rapportering.
  • Tilbyr sanntidslogger.
  • Den kan oppdage ondsinnede IP-er, applikasjoner, kontoer og mer.

6) Traceroute NG

Traceroute NG er et program som lar deg analysere nettverksstien. Denne programvaren kan identifisere IP-adresser, vertsnavn og pakketap. Det gir nøyaktig analyse gjennom kommandolinjegrensesnittet

Egenskaper:

  • Den tilbyr både TCP- og ICMP-nettverksbaneanalyse.
  • Denne applikasjonen kan opprette en txt-loggfil.
  • Støtter både IP4 og IPV6.
  • Oppdag stiendringer og gi deg et varsel.
  • Tillater kontinuerlig sondering av et nettverk.

7) ExpressVPN

ExpressVPN sikrer nettlesing mot byråper og svindlere med tre bokstaver. Det gir ubegrenset tilgang til musikk, sosiale medier og video slik at disse programmene aldri logger IP-adresser, nettleserlogg, DNS-spørsmål eller trafikkdestinasjon.

Egenskaper:

  • Servere på 160 steder og 94 land
  • Koble til VPN uten båndbreddebegrensning.
  • Gir online beskyttelse ved bruk av lekkasjesikring og kryptering.
  • Hold deg trygg ved å skjule IP-adressen og kryptere nettverksdataene dine.
  • Assistance er tilgjengelig 24/7 via e-post samt live chat.
  • Betal med Bitcoin og bruk Tor for å få tilgang til skjulte nettsteder.

8) Owasp

Open Web Application Security Project (OWASP) er en verdensomspennende ideell organisasjon som fokuserer på å forbedre sikkerheten til programvare. Prosjektet har flere verktøy for å teste forskjellige programvaremiljøer og protokoller. Flaggskip verktøy for prosjektet inkluderer

  1. Zed Attack Proxy (ZAP - et integrert penetrasjonstestverktøy)
  2. OWASP-avhengighetskontroll (den søker etter prosjektavhengigheter og sjekker mot kjente sårbarheter)
  3. OWASP Web Testing Environment Project (samling av sikkerhetsverktøy og dokumentasjon)

OWASP-testveiledningen gir "beste praksis" for penetrasjonstest den vanligste webapplikasjonen

Owasp lenke

9) WireShark

Wireshark er et pentest-verktøy for nettverksanalyse, tidligere kjent som Ethereal. Den fanger pakken i sanntid og viser dem i lesbart format. I utgangspunktet er det en nettverkspakkeanalysator - som gir de minste detaljene om nettverksprotokollene dine, dekryptering, pakkeinformasjon, etc. Det er en åpen kildekode og kan brukes på Linux, Windows, OS X, Solaris, NetBSD, FreeBSD og mange andre systemer. Informasjonen som blir hentet via dette verktøyet kan vises gjennom en GUI eller TTY-modus TShark Utility.

WireShark-funksjonene inkluderer

  • Live capture og offline analyse
  • Rik VoIP-analyse
  • Opptaksfiler komprimert med gzip kan dekomprimeres på farten
  • Output kan eksporteres til XML, PostScript, CSV eller ren tekst
  • Flerplattform: Kjører på Windows, Linux, FreeBSD, NetBSD og mange andre
  • Direkte data kan leses fra internett, PPP / HDLC, ATM, Blue-tooth, USB, Token Ring, etc.
  • Dekrypteringsstøtte for mange protokoller som inkluderer IPsec, ISAKMP, SSL / TLS, WEP og WPA / WPA2
  • For rask intuitiv analyse kan fargeleggingsregler brukes på pakken
  • Les / skriv mange forskjellige filformater

Wireshark Last ned

10) w3af

w3af er et rammeverk for angrep og revisjon av webapplikasjoner. Den har tre typer plugins; oppdagelse, tilsyn og angrep som kommuniserer med hverandre for eventuelle sårbarheter på nettstedet, for eksempel et oppdagelses-plugin i w3af ser etter forskjellige nettadresser for å teste for sårbarheter og videresende det til revisjons-pluginet som deretter bruker disse URL-ene til å søke etter sårbarheter.

Den kan også konfigureres til å kjøre som en MITM-proxy. Den avlyttede forespørselen kan sendes til forespørselsgeneratoren, og deretter kan manuell testing av webapplikasjoner utføres ved hjelp av variable parametere. Den har også funksjoner for å utnytte sårbarhetene den finner.

W3af-funksjoner

  • Proxy-støtte
  • HTTP-responsbuffer
  • DNS-hurtigbuffer
  • Filopplasting ved bruk av flerdelt
  • Håndtering av informasjonskapsler
  • HTTP grunnleggende og fordøyelsesautentisering
  • Fag av brukeragent
  • Legg til egendefinerte overskrifter i forespørsler

w3af nedlastingskobling

11) Metaspoilt

Dette er det mest populære og avanserte Framework som kan brukes til pentest. Det er et åpen kildekodeverktøy basert på begrepet 'utnytte', noe som betyr at du sender en kode som bryter sikkerhetstiltakene og går inn i et bestemt system. Hvis du angir den, kjører den en "nyttelast", en kode som utfører operasjoner på en målmaskin, og skaper dermed det perfekte rammeverket for penetrasjonstesting. Det er en flott testverktøystest om IDS lykkes med å forhindre angrepene vi omgår den

Metaspoilt kan brukes på nettverk, applikasjoner, servere osv. Den har en kommandolinje og GUI-klikkbart grensesnitt, fungerer på Apple Mac OS X, fungerer på Linux og Microsoft Windows.

Funksjoner av Metaspoilt

  • Grunnleggende kommandolinjegrensesnitt
  • Tredjepartsimport
  • Manuell brute tvang
  • Manuell brute tvang
  • nettsted penetrasjon testing

Nedlastningskobling for Metaspoilt

12) Kali

Kali fungerer bare på Linux-maskiner. Den lar deg lage en tidsplan for sikkerhetskopiering og gjenoppretting som passer dine behov. Det fremmer en rask og enkel måte å finne og oppdatere den største databasen med samling av sikkerhetspenetrasjonstesting hittil. Det er de beste verktøyene som er tilgjengelige for pussing og injeksjon. En ekspertise innen TCP / IP-protokoll og nettverk kan være gunstig når du bruker dette verktøyet.

Egenskaper

  • Tillegg med 64-biters støtte tillater brute force-passordsprekking
  • Back Track kommer med forhåndsinnlastede verktøy for LAN og WLAN sniffing, sårbarhetsskanning, passordsprekking og digital rettsmedisin
  • Backtrack integreres med noen av de beste verktøyene som Metaspoilt og Wireshark
  • Foruten nettverksverktøy, inkluderer det også pidgin, xmms, Mozilla, k3b, etc.
  • Back track support KDE og Gnome.

Kali nedlastingskobling

13) Samurai-rammeverk:

Samurai Web Testing Framework er en programvare for testing av penner. Den støttes på VirtualBox og VMWare som er forhåndskonfigurert til å fungere som et web-pen-testmiljø.

Egenskaper:

  • Det er åpen kildekode, gratis å bruke verktøy
  • Den inneholder det beste av åpen kildekode og gratis verktøy som fokuserer på testing og angrep på nettstedet
  • Den inkluderer også en forhåndskonfigurert wiki for å sette opp den sentrale informasjonsbutikken under pennetesten

Last ned lenke: https://sourceforge.net/projects/samurai/files/

14) Aircrack:

Aircrack er et praktisk, trådløst pentesting-verktøy. Det sprekker sårbare trådløse tilkoblinger. Den drives av WEP WPA og WPA 2 krypteringsnøkler.

Egenskaper:

  • Flere kort / drivere støttes
  • Støtt alle typer operativsystemer og plattformer
  • Nytt WEP-angrep: PTW
  • Støtte for WEP-ordbokangrep
  • Støtte for fragmenteringsangrep
  • Forbedret sporingshastighet

Last ned lenke: https://www.aircrack-ng.org/downloads.html

15) ZAP:

ZAP er et av de mest populære verktøyene for sikkerhetskontrolltest i åpen kildekode. Det vedlikeholdes av hundrevis av internasjonale frivillige. Det kan hjelpe brukere å finne sikkerhetsproblemer i webapplikasjoner under utviklings- og testfasen.

Egenskaper:

  • Det hjelper med å identifisere sikkerhetshullene i nettapplikasjonen ved å simulere et faktisk angrep
  • Passiv skanning analyserer svarene fra serveren for å identifisere visse problemer
  • Det forsøker brute force tilgang til filer og kataloger.
  • Spidering-funksjonen hjelper til med å konstruere den hierarkiske strukturen til nettstedet
  • Leverer ugyldige eller uventede data for å krasje dem eller for å gi uventede resultater
  • Nyttig verktøy for å finne ut de åpne portene på målnettstedet
  • Det gir et interaktivt Java-skall som kan brukes til å utføre BeanShell-skript
  • Den er fullt internasjonalisert og støtter 11 språk

Last ned lenke: https://github.com/zaproxy/zaproxy/wiki

16) Sqlmap:

Sqlmap er et penetreringsverktøy for åpen penetrasjon. Den automatiserer hele prosessen med å oppdage og utnytte SQL-injeksjonsfeil. Den leveres med mange deteksjonsmotorer og funksjoner for en ideell penetrasjonstest.

Egenskaper:

  • Full støtte for seks SQL-injeksjonsteknikker
  • Tillater direkte tilkobling til databasen uten å gå via en SQL-injeksjon
  • Støtte for å oppregne brukere, passordhash, privilegier, roller, databaser, tabeller og kolonner
  • Automatisk gjenkjenning av passord gitt i hash-formater og støtte for å knekke dem
  • Støtte for å dumpe databasetabeller helt eller spesifikke kolonner
  • Brukerne kan også velge en rekke tegn fra hver kolonneoppføring
  • Tillater å opprette TCP-forbindelse mellom det berørte systemet og databaseserveren
  • Støtte for å søke etter spesifikke databasenavn, tabeller eller spesifikke kolonner på tvers av alle databaser og tabeller
  • Tillater å utføre vilkårlige kommandoer og hente standardutdataene sine på databaseserveren

Last ned lenke: https://github.com/sqlmapproject/sqlmap

17) Sqlninja:

Sqlninja er et penetrasjonstestverktøy. Det er rettet mot å utnytte SQL Injection-sårbarheter i et webapplikasjon. Den bruker Microsoft SQL Server som back-end. Det gir også ekstern tilgang på den sårbare DB-serveren, selv i et veldig fiendtlig miljø.

Egenskaper:

  • Fingeravtrykk av ekstern SQL
  • Datautvinning, tidsbasert eller ved hjelp av DNS-tunnel
  • Tillater integrering med Metasploit3 for å få grafisk tilgang til den eksterne DB-serveren
  • Last opp av kjørbar med bare vanlige HTTP-forespørsler via VBScript eller debug.exe
  • Direkte og omvendt bindeskall, både for TCP og UDP
  • Oppretting av et tilpasset xp cmdshell hvis den originale ikke er tilgjengelig på w2k3 ved bruk av token kidnapping

Last ned lenke: http://sqlninja.sourceforge.net/download.html

18) Biff:

Browser Exploitation Framework. Det er et pentesting-verktøy som fokuserer på nettleseren. Den bruker GitHub for å spore problemer og være vert for sitt git-arkiv.

Egenskaper:

  • Det gjør det mulig å sjekke den faktiske sikkerhetsstillingen ved å bruke angrepvektorer på klientsiden
  • BeEF lar deg koble til en eller flere nettlesere. Den kan da brukes til å starte styrte kommandomoduler og videre angrep på systemet.

Last ned lenke: http://beefproject.com

19) Dradis:

Dradis er et open source-rammeverk for penetrasjonstesting. Det gjør det mulig å opprettholde informasjonen som kan deles mellom deltakerne i en pen-test. Informasjonen som samles inn hjelper brukerne til å forstå hva som er ferdig og hva som må fullføres.

Egenskaper:

  • Enkel prosess for generering av rapporter
  • Støtte for vedlegg
  • Sømløst samarbeid
  • Integrasjon med eksisterende systemer og verktøy ved hjelp av server-plugins
  • Plattformuavhengig

Last ned lenke: https://dradisframework.com/ce

20) Rapid 7:

Nexpose Rapid 7 er en nyttig programvare for sårbarhetsadministrasjon. Den overvåker eksponeringer i sanntid og tilpasser seg nye trusler med nye data som hjelper brukerne til å handle i øyeblikket av innvirkning.

Egenskaper:

  • Få et sanntidsbilde av risiko
  • Det gir innovative og progressive løsninger som hjelper brukeren med å få jobben gjort
  • Vet hvor du skal fokusere
  • Ta med mer til sikkerhetsprogrammet ditt

Last ned lenke: https://www.rapid7.com/products/nexpose/download/

21) Hping:

Hping er et TCP / IP-pakke-testverktøy for pakkeanalysator. Dette grensesnittet er inspirert av ping (8) UNIX-kommandoen. Den støtter TCP-, ICMP-, UDP- og RAW-IP-protokoller.

Egenskaper:

  • Tillater brannmurtesting
  • Avansert portskanning
  • Nettverkstesting, ved hjelp av forskjellige protokoller, TOS, fragmentering
  • Manuell sti MTU-oppdagelse
  • Avansert traceroute med alle støttede protokoller
  • Ekstern OS-fingeravtrykk og gjetning for oppetid
  • TCP / IP stabler revisjon

Last ned lenke: https://github.com/antirez/hping

22) SuperScan:

Superscan er et gratis Windows-eneste verktøy for penetrering av lukket kilde. Det inkluderer også nettverksverktøy som ping, traceroute, whois og HTTP HEAD.

Trekk:

  • Overlegen skannehastighet
  • Støtte for ubegrensede IP-områder
  • Forbedret vertsdeteksjon ved bruk av flere ICMP-metoder
  • Gi støtte for TCP SYN-skanning
  • Enkel generering av HTML-rapporter
  • Kilde port skanning
  • Omfattende bannergrep
  • Stor innebygd databaseportbeskrivelse
  • Randomisering av IP- og portskanningsordre
  • Omfattende Windows Host-oppregningsfunksjon

Last ned lenke: https://superscan.en.softonic.com/

23) ISS-skanner:

IBM Internet Scanner er et verktøy for testing av penner som gir grunnlaget for effektiv nettverkssikkerhet for enhver bedrift.

Egenskaper:

  • Internet Scanner minimerer forretningsrisikoen ved å finne de svake punktene i nettverket
  • Det gjør det mulig å automatisere skanninger og oppdage sårbarheter
  • Internet Scanner reduserer risikoen ved å identifisere sikkerhetshullene eller sårbarhetene i nettverket
  • Komplett sårbarhetsadministrasjon
  • Internet Scanner kan identifisere mer enn 1300 typer nettverksenheter

Last ned lenke : https://www.ibm.com/products/trials

24) Scapy:

Scapy er et kraftig og interaktivt verktøy for testing av penner. Den kan håndtere mange klassiske oppgaver som skanning, sondering og angrep på nettverket.

Egenskaper:

  • Den utfører noen spesifikke oppgaver som å sende ugyldige rammer, injisere 802.11 rammer. Den bruker forskjellige kombinasjonsteknikker som er vanskelig å gjøre med andre verktøy
  • Det lar brukeren bygge nøyaktig pakkene de ønsker
  • Reduserer antall linjer skrevet for å utføre den spesifikke koden

Last ned lenke: https://scapy.net/

25) IronWASP:

IronWASP er en programvare med åpen kildekode for sårbarhetstesting av webapplikasjoner. Den er designet for å kunne tilpasses slik at brukerne kan lage sine tilpassede sikkerhetsskannere ved hjelp av den.

Egenskaper:

  • GUI-basert og veldig enkel å bruke
  • Den har kraftig og effektiv skannemotor
  • Støtte for opptak av påloggingssekvens
  • Rapportering i både HTML- og RTF-format
  • Sjekker for over 25 typer nettsårbarheter
  • Støtte for oppdagelse av falske positive og negative
  • Den støtter Python og Ruby
  • Kan utvides ved hjelp av plugin-moduler eller moduler i Python, Ruby, C # eller VB.NET

Last ned lenke: http://ironwasp.org/download.html

26) Ettercap:

Ettercap er et omfattende verktøy for testing av penner. Den støtter aktiv og passiv disseksjon. Den inneholder også mange funksjoner for nettverks- og vertsanalyse.

Egenskaper:

  • Den støtter aktiv og passiv disseksjon av mange protokoller
  • Funksjon av ARP-forgiftning for å snuse på et byttet LAN mellom to verter
  • Tegn kan injiseres i en server eller til en klient mens de opprettholder en live forbindelse
  • Ettercap er i stand til å snuse en SSH-forbindelse i full dupleks
  • Tillater sniffing av HTTP SSL-sikrede data, selv når forbindelsen er opprettet ved hjelp av proxy
  • Tillater oppretting av tilpassede plugins ved hjelp av Ettercaps API

Last ned lenke: https://www.ettercap-project.org/downloads.html

27) Sikkerhetsløk:

Security Onion er et penetrasjonstestverktøy. Den brukes til oppdagelse av inntrenging og overvåking av nettverkssikkerhet. Den har en brukervennlig installasjonsveiviser som lar brukerne bygge en hær med distribuerte sensorer for deres virksomhet.

Egenskaper:

  • Den er bygget på en distribuert klient-servermodell
  • Network Security Monitoring tillater overvåking av sikkerhetsrelaterte hendelser
  • Det tilbyr full pakkefangst
  • Nettverksbaserte og vertsbaserte innbruddsdeteksjonssystemer
  • Den har en innebygd mekanisme for å tømme gamle data før lagringsenheter fylles til kapasiteten

Last ned lenke: https://securityonion.net/

28) Personal Software Inspector:

Personal Software Inspector er en åpen kildekodesikkerhetsløsning. Dette verktøyet kan identifisere sårbarheter i applikasjoner på en PC eller en server.

Egenskaper:

  • Den er tilgjengelig på åtte forskjellige språk
  • Automatiserer oppdateringene for usikre programmer
  • Den dekker tusenvis av programmer og oppdager automatisk usikre programmer
  • Dette pennetestverktøyet skanner automatisk og regelmessig PC for sårbare programmer
  • Oppdager og varsler programmer som ikke kan oppdateres automatisk

Last ned lenke: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager

29) HconSTF:

HconSTF er Open Source Penetration Testing-verktøy basert på forskjellige nettleserteknologier. Det hjelper enhver sikkerhetspersonell å bistå i penetrasjonstestingen. Den inneholder nettverktøy som er kraftige i å gjøre XSS, SQL-injeksjon, CSRF, Trace XSS, RFI, LFI, etc.

Egenskaper:

  • Kategorisert og omfattende verktøysett
  • Hvert alternativ er konfigurert for penetrasjonstesting
  • Spesielt konfigurert og forbedret for å få solid anonymitet
  • Fungerer for testing av nettapptester
  • Lett å bruke og samarbeidende operativsystem

Last ned lenke: http://www.hcon.in/

30) IBM Security AppScan:

IBM Security AppScan hjelper deg med å forbedre sikkerheten for webapplikasjoner og mobilapplikasjoner. Det forbedrer applikasjonssikkerheten og styrker overholdelsen av regelverket. Det hjelper brukere å identifisere sikkerhetsproblemer og generere rapporter.

Egenskaper:

  • Aktiver utvikling og QA for å utføre testing under SDLC-prosessen
  • Kontroller hvilke applikasjoner hver bruker kan teste
  • Distribuer enkelt rapporter
  • Økt synlighet og bedre forstå bedriftsrisiko
  • Fokuser på å finne og fikse problemer
  • Kontroller tilgangen til informasjon

Last ned lenke: http://www-03.ibm.com/software/products/en/appscan

31) Arachni:

Arachni er et Ruby-rammeverkbasert verktøy med åpen kildekode for penetrasjonstestere og administratorer. Den brukes til å evaluere sikkerheten til moderne webapplikasjoner.

Egenskaper:

  • Det er et allsidig verktøy, så det dekker et stort antall brukstilfeller. Dette strekker seg fra et enkelt kommandolinjeskannerverktøy til et globalt høyytelsesnett av skannere
  • Alternativ for flere distribusjoner
  • Det tilbyr kontrollerbar, inspiserbar kodebase for å sikre høyest mulig beskyttelsesnivå
  • Det kan enkelt integreres med nettlesermiljøet
  • Det tilbyr svært detaljerte og godt strukturerte rapporter

Last ned lenke: https://sourceforge.net/projects/safe3wvs/files

32) Websikkerhet:

Websecurify er et kraftig sikkerhetstestingsmiljø. Det er et brukervennlig grensesnitt som er enkelt og enkelt å bruke. Det tilbyr en kombinasjon av automatiske og manuelle teknologier for sårbarhetstesting.

Egenskaper:

  • God test- og skanningsteknologi
  • Sterk testmotor for å oppdage URL-er
  • Den kan utvides med mange tilgjengelige tillegg
  • Den er tilgjengelig for alle de store stasjonære og mobile plattformene

Last ned lenke: https://www.websecurify.com/

33) Vega:

Vega er en åpen kildekodesikkerhetsskanner og pennetesteplattform for å teste sikkerheten til webapplikasjoner.

Egenskaper:

  • Automatisert, manuell og hybrid sikkerhetstesting
  • Det hjelper brukere å finne sårbarheter. Det kan være skripting på tvers av nettsteder, lagret skripting på tvers av nettsteder, blind SQL-injeksjon, skallinjeksjon, etc.
  • Den kan automatisk logge på nettsteder når den leveres med brukerlegitimasjon
  • Den kjører effektivt på Linux, OS X og Windows
  • Vega-deteksjonsmoduler er skrevet i JavaScript

Last ned lenke: https://subgraph.com/vega/download/index.no.html

34) Wapiti:

Wapiti er et annet kjent verktøy for penetrasjonstesting. Det tillater revisjon av sikkerheten til webapplikasjonene. Den støtter både GET- og POST HTTP-metoder for sårbarhetssjekken.

Egenskaper:

  • Genererer sårbarhetsrapporter i forskjellige formater
  • Det kan avbryte og gjenoppta en skanning eller et angrep
  • Rask og enkel måte å aktivere og deaktivere angrepsmoduler på
  • Støtter HTTP og HTTPS proxyer
  • Det gjør det mulig å begrense omfanget av skanningen
  • Automatisk fjerning av en parameter i URL-er
  • Import av informasjonskapsler
  • Det kan aktivere eller deaktivere verifisering av SSL-sertifikater
  • Pakk ut URL-er fra Flash SWF-filer

Last ned lenke: https://sourceforge.net/projects/wapiti/files/

35) Kismet:

Kismet er en trådløs nettverksdetektor og innbruddsdeteksjonssystem. Det fungerer med Wi-Fi-nettverk, men kan utvides via plugins, da det gjør det mulig å håndtere andre nettverkstyper.

Egenskaper:

  • Tillater standard PCAP-logging
  • Klient / server modulær arkitektur
  • Plug-in-arkitektur for å utvide kjernefunksjonene
  • Støtte for flere fangstkilder
  • Distribuert ekstern snusing via lett fjernkontroll
  • XML-utgang for integrering med andre verktøy

Last ned lenke: https://www.kismetwireless.net/downloads/

36) Kali Linux:

Kali Linux er et åpen kildekode-testverktøy som vedlikeholdes og finansieres av Offensive Security.

Egenskaper:

  • Full tilpasning av Kali ISO-er med live-build for å lage tilpassede Kali Linux-bilder
  • Den inneholder en rekke Meta-pakkesamlinger som samler forskjellige verktøysett
  • ISO of Doom og andre Kali-oppskrifter
  • Diskkryptering på Raspberry Pi 2
  • Live USB med flere utholdenhetsbutikker

Last ned lenke: https://www.kali.org/

37) Papegøyesikkerhet:

Parrot Security er et pennetestverktøy. Det tilbyr fullt bærbart laboratorium for sikkerhetseksperter og digitale rettsmedisinske eksperter. Det hjelper også brukere å beskytte deres privatliv med anonymitet og kryptoverktøy.

Egenskaper:

  • Den inkluderer et komplett arsenal av sikkerhetsorienterte verktøy for å utføre penetrasjonstester, sikkerhetsrevisjoner og mer.
  • Den leveres med forhåndsinstallerte og nyttige og oppdaterte biblioteker
  • Tilbyr kraftige verdensomspennende speilservere
  • Tillater samfunnsdrevet utvikling
  • Tilbyr separat Cloud OS spesielt designet for servere

Last ned lenke: https://www.parrotsec.org/download/

38) OpenSSL:

Denne verktøykassen er lisensiert under en Apache-stil lisens. Det er et gratis og åpen kildekodeprosjekt som gir et komplett verktøyverktøy for TLS- og SSL-protokollene.

Egenskaper:

  • Den er skrevet i C, men innpakninger er tilgjengelige for mange dataspråk
  • Biblioteket inneholder verktøy for å generere RSA private nøkler og Certificate Signing Requests
  • Bekreft CSR-filen
  • Fjern passordfrasen helt fra nøkkelen
  • Opprett ny privat nøkkel og tillat forespørsel om sertifikatsignering

Last ned lenke: https://www.openssl.org/source/

39) Snørr:

Snort er et åpent kildekode- og pennetestingssystem. Det gir fordelene med signatur-protokoll- og anomalibaserte inspeksjonsmetoder. Dette verktøyet hjelper brukere å få maksimal beskyttelse mot angrep på skadelig programvare.

Egenskaper:

  • Snort ble kjent for å kunne oppdage trusler nøyaktig i høye hastigheter
  • Beskytt arbeidsområdet ditt raskt fra nye angrep
  • Snort kan brukes til å lage tilpassede unike nettverkssikkerhetsløsninger
  • Test SSL-sertifikat for en bestemt URL
  • Den kan sjekke om bestemt kryptering er akseptert på URL
  • Bekreft sertifikatunderskrivermyndigheten
  • Evne til å sende inn falske positive / negative

Last ned lenke: https://www.snort.org/downloads

40) Bakboks:

BackBox er et Open Source Community-prosjekt som har som mål å styrke sikkerhetskulturen i IT-miljøet. Den er tilgjengelig i to forskjellige varianter som Backbox Linux og Backbox Cloud. Den inneholder noen av de mest kjente / brukte sikkerhets- og analyseverktøyene.

Egenskaper:

  • Det er nyttig verktøy for å redusere selskapets ressursbehov og redusere kostnadene ved å administrere flere nettverksenhetskrav
  • Det er helautomatisert verktøy for test av penner. Så ingen agenter og ingen nettverkskonfigurasjon er nødvendig for å gjøre endringer. For å utføre planlagt automatisk konfigurasjon
  • Sikker tilgang til enheter
  • Organisasjoner kan spare tid ettersom det ikke er behov for å spore individuelle nettverksenheter
  • Støtter legitimasjon og konfigurasjonsfilkryptering
  • Selvsikkerhetskopiering og automatisk ekstern lagring
  • Tilbyr IP-basert tilgangskontroll
  • Ingen grunn til å skrive kommando, da den kommer med forhåndskonfigurerte kommandoer

Last ned lenke: https://www.backbox.org/download/

41) THC Hydra:

Hydra er et parallellisert påloggingsverktøy for penneprøving. Det er veldig raskt og fleksibelt, og nye moduler er enkle å legge til. Dette verktøyet lar forskere og sikkerhetskonsulenter finne uautorisert tilgang.

Egenskaper:

  • Suiter for full tid-minne avvekslingsverktøy sammen med generering av regnbuebord, sortering, konvertering og slå opp
  • Den støtter regnbuebord av hvilken som helst hasjalgoritme
  • Støtt regnbuebordet i et hvilket som helst tegnsett
  • Støtt regnbuebord i kompakt eller rå filformat
  • Beregning på multikjerneprosessorstøtte
  • Kjører på Windows- og Linux-operativsystemer
  • Enhetlig regnbuebordfilformat på alle støttede operativsystemer
  • Støtter brukergrensesnitt for GUI og kommandolinje

Last ned lenke: https://github.com/vanhauser-thc/thc-hydra

42) Rykteovervåkingsvarsel:

Open Threat Exchange Reputation Monitor er en gratis tjeneste. Det lar fagpersoner spore organisasjonens omdømme. Ved hjelp av dette verktøyet kan bedrifter og organisasjoner spore eiendelens offentlige IP og domeneomdømme.

Egenskaper:

  • Overvåker sky, hybrid sky og lokal infrastruktur
  • Leverer kontinuerlig trusselinformasjon for å holde deg oppdatert om trusler når de dukker opp
  • Tilbyr mest omfattende direktiver for deteksjon av trusler og handlinger
  • Implementerer raskt, enkelt og med mindre innsats
  • Reduserer TCO over tradisjonelle sikkerhetsløsninger

Last ned lenke: https://cybersecurity.att.com/products/usm-anywhere/free-trial

43) John the Ripper:

John the Ripper, kjent som JTR, er et veldig populært verktøy for passordsprengning. Den brukes primært til å utføre ordbokangrep. Det hjelper med å identifisere svake passordssårbarheter i et nettverk. Det støtter også brukere fra brute force og rainbow crack-angrep.

Egenskaper:

  • John the Ripper er gratis og åpen kildekode-programvare
  • Proaktiv kontrollmodul for passordstyrke
  • Det tillater online surfing av dokumentasjonen
  • Støtte for mange ekstra hash- og krypteringstyper
  • Lar deg bla gjennom dokumentasjonen online, inkludert sammendrag av endringer mellom to versjoner

Last ned lenke: https://www.openwall.com/john/

44) Safe3-skanner:

Safe3WVS er et av de kraftigste verktøyene for testing av nettsårbarhet. Den kommer med gjennomsøkingsteknologi på nettet, spesielt nettportaler. Det er det raskeste verktøyet for å finne problemer som SQL-injeksjon, laste opp sårbarhet og mer.

Egenskaper:

  • Full støtte for Basic, Digest og HTTP-autentisering.
  • Intelligent web edderkopp automatisk fjerner gjentatte nettsider
  • En automatisk JavaScript-analysator gir støtte for å trekke ut URL-er fra Ajax, Web 2.0 og andre applikasjoner
  • Støtte for å skanne SQL-injeksjon, laste opp sårbarhet, adminbane og katalogliste sårbarhet

Last ned lenke: https://sourceforge.net/projects/safe3wvs/files/latest/download

45) CloudFlare:

CloudFlare er CDN med robuste sikkerhetsfunksjoner. Online trusler spenner fra spam-kommentar og overdreven bot-gjennomgang til ondsinnede angrep som SQL-injeksjon. Den gir beskyttelse mot kommentarsøppel, overdreven botgjennomgang og ondsinnede angrep.

Trekk:

  • Det er et DDoS-beskyttelsesnettverk i virksomhetsklasse
  • Nettapplikasjonsbrannmur hjelper fra den kollektive intelligensen til hele nettverket
  • Registrering av domener ved hjelp av CloudFlare er den sikreste måten å beskytte mot domenekapring
  • Rate Limiting-funksjonen beskytter brukerens kritiske ressurser. Det blokkerer besøkende med mistenkelig antall forespørselspriser.
  • CloudFlare Orbit løser sikkerhetsproblemer for IOT-enheter

Last ned lenke: https://www.cloudflare.com/

46) Zenmap

Zenmap er den offisielle Nmap Security Scanner-programvaren. Det er et program med gratis og åpen kildekode for flere plattformer. Det er enkelt å bruke for nybegynnere, men tilbyr også avanserte funksjoner for erfarne brukere.

Egenskaper:

  • Interaktiv og grafisk resultatvisning
  • Den oppsummerer detaljer om en enkelt vert eller en komplett skanning i en praktisk skjerm.
  • Det kan til og med tegne et topologikart over oppdagede nettverk.
  • Det kan vise forskjellene mellom to skanninger.
  • Det tillater administratorer å spore nye verter eller tjenester som vises i nettverkene sine. Eller spore eksisterende tjenester som går ned

Last ned lenke: https://nmap.org/download.html

De andre verktøyene som kan være nyttige for penetrasjonstesting er

  • Acunetix: Det er en web-sårbarhetsskanner rettet mot webapplikasjoner. Det er dyrt verktøy sammenlignet med andre og gir fasiliteter som skripttesting på tvers av nettsteder, rapporter om PCI-samsvar, SQL-injeksjon, etc.
  • Retina: Det er mer som et verktøy for sårbarhetsadministrasjon enn et pre-testing verktøy
  • Nessus: Den konsentrerer seg om etterlevelseskontroller, sensitive datasøk, skanning av IP-er, nettstedsskanning, etc.
  • Netsparker: Dette verktøyet leveres med en robust webapplikasjonsskanner som identifiserer sårbarheter og foreslår løsninger. Det er gratis begrensede prøveversjoner tilgjengelig, men mesteparten av tiden er det et kommersielt produkt. Det hjelper også å utnytte SQL-injeksjon og LFI (Local File Induction)
  • CORE Impact: Denne programvaren kan brukes til penetrering av mobile enheter, passordidentifikasjon og sprekker, nettverk tenker gjennomføring osv. Det er et av de dyre verktøyene i programvaretesting
  • Burpsuite: Som andre er denne programvaren også et kommersielt produkt. Det fungerer ved å avskjære proxy, skanning av webapplikasjoner, gjennomsøke innhold og funksjonalitet osv. Fordelen med å bruke Burpsuite er at du kan bruke dette i Windows, Linux og Mac OS X-miljø.