首页 > 其他分享 >安全测试工具推荐

安全测试工具推荐

时间:2024-04-03 09:22:06浏览次数:45  
标签:www github 推荐 应用程序 安全 https 测试工具 工具 com

 

工具名称

工具用途

工具链接

操作指引

Burp Suite

Burp Suite 是用于攻击web 应用程序的集成平台。 它包含了许多工具,比如代理抓包等,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。 也就是说,Burp Suite是web应用程序渗透测试集成平台。

https://portswigger.net/burp

/

postman

Postman最早是Google浏览器的一个插件存在的,因为Google退出国内市场,现在postman主要是以一个 APP的形式存在。

Postman最初设计上就是为接口测试而设计的,对于测试人员来说主要用来做接口测试。

https://www.postman.com/

https://bbs.huaweicloud.com/blogs/detail/308548

fiddler

Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件)。 Fiddler 要比其他的网络调试器要更加简单,因为它不仅仅暴露http通讯还提供了一个用户友好的格式。

https://www.telerik.com/fiddler

https://juejin.cn/post/6844904042422861831

charles

是一个HTTP代理服务器,HTTP监视器,反转代理服务器,当浏览器连接Charles的代理访问互联网时,Charles可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的HTTP通信,这些包括request, response和HTTP headers (包含cookies与caching信息)。

https://www.charlesproxy.com/

https://www.imgeek.org/article/825356774

sqlmap

Sqlmap是一个开源的渗透工具,它可以自动化检测和利用SQL注入缺陷以及接管数据库服务器的过程。他有一个强大的检测引擎,许多适合于终极渗透测试的小众特性和广泛的开关,从数据库指纹、从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令

https://sqlmap.org/

https://www.wangan.com/docs/sqlmap

xray

xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义POC,功能丰富,调用简单,支持Windows/macOS/Linux 多种操作系统。

https://github.com/chaitin/xray

https://github.com/chaitin/xray#readme

DB Browser for SQLite

SQLite Database browser 是一个免费、开源的SQLite 数据库的轻量级GUI 客户端。

https://sqlitebrowser.org/

http://www.manongjc.com/detail/24-vobcrtbyvnbecgy.html

Xcode

Xcode 是运行在操作系统Mac OS X上的集成开发工具(IDE),由Apple Inc开发。Xcode是开发 macOS 和 iOS 应用程序的最快捷的方式。Xcode 具有统一的用户界面设计,编码、测试、调试都在一个简单的窗口内完成。

https://developer.apple.com/cn/xcode/resources/

查看 sandbox: https://blog.csdn.net/tounaobun/article/details/45363011

查看日志:https://www.jianshu.com/p/755666303387

BinaryCookieReader.py

 

Safari 浏览器和 iOS 应用程序将持久性 cookie 存储在二进制文件中,BinaryCookieReader 用于转储所有来自二进制 Cookies.binarycookies 文件的 cookie。

https://github.com/as0ler/BinaryCookieReader/blob/master/BinaryCookieReader.py

https://github.com/as0ler/BinaryCookieReader/blob/master/README.md

iFunbox

iFunBox是iPhone以及苹果其他产品的通用文件管理软件。 以类似windows资源管理器的窗口方式浏览和管理iPhone、iPad、 iPod touch上的文件和目录,使苹果各类设备得以共享彼此的资源。

https://www.i-funbox.com/zh-cn/index.html

https://www.hhhyh.com/121466.html

apktool

Apktool 是一个反编译Android Apk的第三方工具。它可以反编译资源,并在进行修改之后重新打包Apk。

https://ibotpeaches.github.io/Apktool/

https://www.cnblogs.com/geeksongs/p/10638166.html

nmap

Nmap(网络映射器)是一款用于网络发现和安全审计的网络安全工具,它是自由软件。软件名字Nmap是Network Mapper的简称。通常情况下,Nmap用于:

1. 列举网络主机清单

2. 管理服务升级调度

3. 监控主机

4. 服务运行状况

Nmap可以检测目标主机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。 它是网络管理员必用的软件之一,用以评估网络系统安全。

https://nmap.org/

https://wooyun.js.org/drops/NMAP%20%E5%9F%BA%E7%A1%80%E6%95%99%E7%A8%8B.html

masscan

Masscan 是一个批量端口扫描器,程序运行在单机上,每秒传输 1 千万个数据包,可以在 6 分钟之内扫完整个互联网。它是迄今为止,速度最快的端口扫描器。

https://github.com/robertdavidgraham/masscan

https://www.xiaoqian.pro/archives/masscan-ji-ben-shi-yong

mobsf

MobSF 是一个自动化的移动应用安全评估框架,支持Android/iOS/Windows的渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件(APK、XAPK、IPA 和 APPX)以及压缩源代码,并提供 REST API 以实现 CI/CD 或 DevSecOps 的集成。动态分析器可帮助测试者执行运行时安全评估和交互测试。

https://github.com/MobSF/Mobile-Security-Framework-MobSF

https://blog.csdn.net/liumiaocn/article/details/80440977

AFL

AFL是一款基于覆盖引导(Coverage-guided)的模糊测试工具,采用一种新型的编译时插桩和遗传算法来自动生成测试样本,使用这些样本可触发目标二进制程序中新的内部状态,从而可提高模糊测试的代码覆盖率。

https://github.com/google/AFL

https://github.com/google/AFL#readme

sigcheck

Sigcheck 是一个命令行实用程序,可显示文件版本号、时间戳信息和数字签名详细信息,包括证书链。它还包括一个在 VirusTotal 上检查文件状态的选项,一个对 40 多个防病毒引擎执行自动文件扫描的站点,以及一个上传文件进行扫描的选项。

https://docs.microsoft.com/en-us/sysinternals/downloads/sigcheck

https://blog.csdn.net/weixin_39190897/article/details/98853444

trivy

Trivy是一种用于容器和其他工件的简单而全面的漏洞扫描程序。Trivy检测OS软件包(Alpine,RHEL,CentOS等)的漏洞和应用程序依赖项(捆绑程序,Composer,npm,yarn等)。 Trivy易于使用。只需安装二进制文件即可开始扫描。扫描所需要做的就是指定一个目标,例如容器的镜像名称。

https://github.com/aquasecurity/trivy

https://os.51cto.com/article/654021.html

fscan

支持各类服务爆破(ssh、smb、rdp等)

数据库密码爆破(mysql、mssql、redis、psql、oracle等)

https://github.com/shadow1ng/fscan

https://github.com/shadow1ng/fscan#readme

MobSF

MobSF是一种自动化的一体化移动应用程序 (Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。 MobSF 支持移动应用程序二进制文件(APK、XAPK、IPA 和 APPX)以及压缩源代码,并提供 REST API 以与您的 CI/CD 或 DevSecOps 管道无缝集成。动态分析器可帮助执行运行时安全评估和交互测试。

https://github.com/MobSF/Mobile-Security-Framework-MobSF

http://www.phpheidong.com/blog/article/129142/a4703254f9b0ff434221/

adb

Android 调试桥 (adb) 是一种功能多样的命令行工具,可让您与设备进行通信。adb 命令可用于执行各种设备操作(例如安装和调试应用),并提供对 Unix shell(可用来在设备上运行各种命令)的访问权限。

https://developer.android.com/studio/releases/platform-tools?hl=zh-cn

https://www.cnblogs.com/lsdb/p/9438215.html

apktool

用于逆向工程第三方、封闭、二进制 Android 应用程序的工具。它可以将资源解码为几乎原始的形式,并在进行一些修改后重建它们。由于诸如文件结构之类的项目和一些重复性任务(例如构建 apk 等)的自动化,它还使使用应用程序变得更加容易。

https://github.com/iBotPeaches/Apktool

https://www.jianshu.com/p/6ba8b826c138

apksigner

apksigner是Google官方提供的针对Android apk签名及验证的专用工具。

https://developer.android.google.cn/studio/command-line/apksigner

https://blog.csdn.net/q610098308/article/details/105138228

profixier

Proxifier是一款功能非常强大的socks5客户端,可以让不支持通过代理服务器工作的网络程序能通过HTTPS或SOCKS代理或代理链。

https://www.proxifier.com/

https://zhuanlan.zhihu.com/p/448452265

ImpulsiveDLLHijack

ImpulsiveDLLHijack是一款功能强大的DLL劫持技术安全研究工具,该工具基于C#开发实现,可以以自动化的方式扫描、发现并利用目标设备二进制文件中的DLL安全问题,并实现DLL劫持。

https://github.com/knight0x07/ImpulsiveDLLHijack

https://github.com/knight0x07/ImpulsiveDLLHijack#readme

火绒剑

火绒剑是一款用于分析、处理程序的安全工具。 它提供了“程序行为监控”、“进程管理”、“启动项管理”、“内核程序管理”、“钩子扫描”、“服务管理”、“驱动扫描”、“网络监控”、“文件管理”、“注册表管理”十大功能。 通过“程序行为监控”,可以对全面了解系统中所运行的程序是否存在恶意行为。

https://www.huorong.cn/

https://www.freebuf.com/articles/network/273899.html

Regshot

RegShot 是一种注册表比较工具,它通过两次抓取注册表而快速地比较出答案。 它还可以将您的注册表以纯文本方式记录下来,便于浏览;还可以监察Win.ini,System.ini 中的键值;还可以监察您Windows 目录和System 目录中文件的变化,为您手工卸载某些软件创造条件。

https://github.com/Seabreg/Regshot

https://copyfuture.com/blogs-details/202204280232156913

process monitor

Process Monitor是微软推荐的一款系统监视攻击,能供实时显示文件系统、注册表、网络连接于进程活动的攻击工具。 它整合了一些工具,其中Folemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。 同时。 Process Monitor增加了进程ID、用户、进程可靠度等监视项。

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

https://crushonme.github.io/2018/09/10/How-To-Use-Process-Monitor/

winafl

winafl作为一个文件格式半自动漏洞挖掘工具,winafl可以帮助我们发现各种使用特定格式文件的应用软件漏洞,如文件编辑软件(doc、xls、pdf等)、图片查看软件(bmp、jpg、png等)、视频播放软件(avi、mp4、mpg等)。早期的winafl结合了DynamoRIO进行动态插桩,并实现了对windows下的闭源软件fuzzing。后期很多人对winafl引入的DynamoRIO进行改良升级,或者直接替换插桩组件来达到最优的效果。

https://github.com/googleprojectzero/winafl

https://github.com/googleprojectzero/winafl#readme

标签:www,github,推荐,应用程序,安全,https,测试工具,工具,com
From: https://www.cnblogs.com/jingliangxiaozi/p/18111801

相关文章

  • 推荐一款强大的开源自动化测试神器
    搞过自动化测试的小伙伴,相信都知道,在Web自动化测试中,有一款自动化测试神器工具:selenium。结合标准的WebDriverAPI来编写Python自动化脚本,可以实现解放双手,让脚本代替人工在Web浏览器上完成指定的操作。虽然selenium有完备的文档,但也需要一定的学习成本,对于一个纯小白来讲还是......
  • 请求被中止: 未能创建 SSL/TLS 安全通道”的原因及解决办法
    4个解决办法,我用的第四个方法就解决了,注册表手动添加的重启后不管用,第四个方法直接用程序改一下方便 首先得保证服务器是否支持tls1.2去注册表里查或者百度怎么查,基本大多数都用的是1.2      1.  代码前加这个 ServicePointManager.Expect100Continu......
  • 网络安全实验教程【1.7】
    4.4整型溢出实验4.4.1实验目的本实验要求掌握整型溢出的原理,了解宽度溢出和符号溢出的发生过程。4.4.2实验内容及环境1.实验内容本实验使用VC6.0的源码调试功能,尝试不同的程序输入,并跟踪变量和内存的变化,以观察不同整型溢出的原理。2.实验环境(1)靶机系统环境为Windo......
  • 好书推荐 《AIGC重塑金融》
    作者:林建明来源:IT阅读排行榜本文摘编自《AIGC重塑金融:AI大模型驱动的金融变革与实践》,机械工业出版社出版这是最好的时代,也是最坏的时代。尽管大模型技术在金融领域具有巨大的应用潜力,但其应用也面临不容忽视的风险和挑战。本文将深入研究大模型在金融领域的数据隐私......
  • 自学黑客(网络安全),一般人我劝你还是算了!!
    网络安全在当今信息社会越来越受到重视,但不同于Java、C/C++等后端开发岗位有非常明晰的学习路线,网络安全更多是靠自己摸索,要学的东西又杂又多,难成体系。这也是为什么我经常劝别人不要入网络安全的坑,因为一般人真坚持不下去!但考虑到部分同学仍然对网络安全抱有幻想,今天我就根......
  • 电脑技巧:推荐一款非常好用的文件重复清理工具DoubleKiller
    目录一、软件介绍二、功能介绍三、使用说明四、软件总结一、软件介绍DoubleKiller是一款专为用户解决重复文件问题而精心打造的小巧实用工具,安装包仅为1.2M。对于长期依赖电脑的工作者和电脑的职场人员来说,随着电脑使用时间的增长,电脑中难免会出现大量重复文件,这些......
  • Lock Linux是一个基于Linux的操作系统,它主要关注于系统安全和隐私保护
    LockLinux是一个基于Linux的操作系统,它主要关注于系统安全和隐私保护。LockLinux采用了SELinux(Security-EnhancedLinux)和AppArmor等安全机制,以确保系统的安全性。此外,它还提供了一些额外的功能,如加密的文件系统、安全的网络连接和强制访问控制等。以下是关于LockLinux......
  • Nmap,全称Network Mapper,是一款**开源的网络探索和安全审计工具**。
    Nmap,全称NetworkMapper,是一款开源的网络探索和安全审计工具。Nmap主要用于发现网络中的设备,并识别这些设备上运行的服务和应用程序。它可以帮助用户识别潜在的安全风险,从而采取措施保护网络安全。Nmap支持多种平台,包括Windows、Mac和Linux,因此具有广泛的适用性。以下是Nma......
  • 转载:高质量网站,绿色纯净电脑、安卓软件下载网站推荐!
    源自虫部落这个网站没什么广告,还是蛮简洁好看的,主要以分享绿色软件为主。手机软件居多,其次是电脑软件,还有一些免费实用的网站推荐什么的。网站地址:https://fffxx.com鸭先知:https://www.yxzhi.com/专注于互联网软件、技术等优质资源分享果核剥壳:https://www.ghxi.com/绿色软......
  • Android APP安全加固:深度解析代码混淆在保护应用安全方面的优势与局限性
    AndroidAPP加固是优化APK安全性的一种方法,常见的加固方式有混淆代码、加壳、数据加密、动态加载等。下面介绍一下AndroidAPP加固的具体实现方式。混淆代码使用ipaguard工具可以对代码进行混淆,使得反编译出来的代码很难阅读和理解,官网下载ipaguard即可。加固混淆......