1) Netsparker
Netsparker je ľahko použiteľný skener zabezpečenia webových aplikácií, ktorý dokáže vo vašich webových aplikáciách a webových službách automaticky nájsť chyby SQL Injection, XSS a ďalšie. Je k dispozícii ako lokálne riešenie a riešenie SAAS. Vlastnosti
- Presná detekcia zraniteľnosti s jedinečnou technológiou skenovania na základe dôkazov.
- Vyžaduje sa minimálna konfigurácia. Skener automaticky detekuje pravidlá prepisovania adries URL a vlastné 404 chybové stránky.
- REST API pre bezproblémovú integráciu s SDLC, systémami na sledovanie chýb atď.
- Plne škálovateľné riešenie. Naskenujte 1 000 webových aplikácií za pouhých 24 hodín.
2) Acunetix
Acunetix je plne automatizovaný nástroj na testovanie penetrácie. Jej bezpečnostný skener webových aplikácií presne skenuje HTML5, JavaScript a jednostránkové aplikácie. Môže auditovať zložité, autentizované webové aplikácie a vydávať správy o súlade a správe o širokej škále webových a sieťových zraniteľností vrátane zraniteľností mimo pásma.
Vlastnosti:
- Vyhľadáva všetky varianty SQL Injection, XSS a ďalších 4 500 zraniteľností
- Zistí viac ako 1 200 zraniteľností jadra, tém a doplnkov WordPress
- Rýchle a škálovateľné - prehľadáva státisíce stránok bez prerušenia
- Integruje sa s populárnymi WAF a sledovačmi problémov na pomoc pri SDLC
- K dispozícii v prevádzkových priestoroch a ako cloudové riešenie.
3) Votrelec
Intruder je výkonný automatizovaný nástroj na testovanie penetrácie, ktorý zisťuje slabiny zabezpečenia v celom vašom IT prostredí. Vďaka špičkovým bezpečnostným kontrolám na trhu, nepretržitému monitorovaniu a ľahko použiteľnej platforme chráni Intruder firmy všetkých veľkostí pred hackermi.
Vlastnosti
- Najlepšie pokrytie hrozbami vo svojej triede s viac ako 10 000 bezpečnostnými kontrolami
- Kontroly slabých stránok konfigurácie, chýbajúcich opráv, slabých stránok aplikácií (napríklad vstrekovanie SQL a skriptovanie medzi lokalitami) a ďalšie
- Automatická analýza a stanovenie priorít výsledkov skenovania
- Intuitívne rozhranie, rýchle nastavenie a spustenie prvých skenov
- Proaktívne sledovanie bezpečnosti pre najnovšie zraniteľnosti
- Konektory AWS, Azure a Google Cloud
- Integrácia API s vašim potrubím CI / CD
4) Indusface
Indusface WAS ponúka manuálne testovanie prieniku a automatické skenovanie na detekciu a hlásenie zraniteľností na základe OWASP top 10 a SANS top 25.
Vlastnosti
- Crawler skenuje jednostránkové aplikácie
- Funkcia pozastavenia a obnovenia
- Hlásenia manuálneho PT a automatizovaného skenera zobrazené na rovnakom paneli
- Neobmedzený dôkaz požiadaviek na koncept ponúka dôkazy o hlásených zraniteľnostiach a pomáha eliminovať falošné pozitívne nálezy z nálezov automatizovaného skenovania
- Voliteľná integrácia WAF, ktorá poskytuje okamžité virtuálne opravy s pozitívom Zero False
- Automaticky rozširuje pokrytie prehľadávania na základe údajov o skutočnej premávke zo systémov WAF (pre prípad, že je WAF prihlásený a používaný)
- Podpora 24 × 7 s cieľom prediskutovať smernice o sanácii / POC
5) Softvér na detekciu narušenia
Softvér na zisťovanie narušenia je nástroj, ktorý vám umožňuje detekovať všetky typy pokročilých hrozieb. Poskytuje hlásenie o zhode pre DSS (systém podpory rozhodovania) a HIPAA. Táto aplikácia dokáže nepretržite monitorovať podozrivé útoky a aktivitu.
Vlastnosti:
- Minimalizujte úsilie na detekciu narušenia.
- Ponúka súlad s efektívnym vykazovaním.
- Poskytuje protokoly v reálnom čase.
- Dokáže zistiť škodlivé adresy IP, aplikácie, účty a ďalšie.
6) Traceroute NG
Traceroute NG je aplikácia, ktorá umožňuje analyzovať sieťovú cestu. Tento softvér dokáže identifikovať adresy IP, názvy hostiteľov a stratu paketov. Poskytuje presnú analýzu prostredníctvom rozhrania príkazového riadku
Vlastnosti:
- Ponúka analýzu sieťových ciest TCP aj ICMP.
- Táto aplikácia môže vytvoriť súbor txt.
- Podporuje IP4 aj IPV6.
- Zistiť zmeny cesty a dostať upozornenie.
- Umožňuje nepretržité sondovanie siete.
7) ExpressVPN
ExpressVPN zaisťuje prehliadanie internetu proti agentúram s tromi písmenami a podvodníkom. Ponúka neobmedzený prístup k hudbe, sociálnym médiám a videu, takže tieto programy nikdy nezaznamenávajú adresy IP, históriu prehliadania, dotazy DNS ani dopravné ciele.
Vlastnosti:
- Servery na 160 miestach a v 94 krajinách
- Pripojte sa k sieti VPN bez obmedzenia šírky pásma.
- Poskytuje online ochranu pomocou kontroly úniku a šifrovania.
- Zostaňte v bezpečí skrytím adresy IP a šifrovaním sieťových údajov.
- Pomoc je k dispozícii nepretržite prostredníctvom e-mailu a živého chatu.
- Plaťte bitcoinom a používajte Tor na prístup na skryté stránky.
8) Owasp
Open Web Application Security Project (OWASP) je celosvetová nezisková organizácia zameraná na zlepšovanie bezpečnosti softvéru. Projekt má niekoľko nástrojov na testovanie rôznych softvérových prostredí a protokolov perom. Medzi hlavné nástroje projektu patria
- Zed Attack Proxy (ZAP - integrovaný nástroj na testovanie penetrácie)
- Kontrola závislostí OWASP (vyhľadáva závislosti projektu a kontroluje známe chyby zabezpečenia)
- Projekt webového testovacieho prostredia OWASP (zbierka bezpečnostných nástrojov a dokumentácie)
Sprievodca testovaním OWASP poskytuje „osvedčené postupy“ penetračnému testu najbežnejšej webovej aplikácie
Owaspov odkaz
9) WireShark
Wireshark je najintenzívnejší nástroj na sieťovú analýzu, ktorý sa predtým nazýva Ethereal. Zachytáva pakety v reálnom čase a zobrazuje ich v čitateľnom formáte. V zásade ide o analyzátor sieťových paketov, ktorý poskytuje podrobné informácie o sieťových protokoloch, dešifrovaní, informáciách o paketoch atď. Je to otvorený zdroj a môže byť použitý v systémoch Linux, Windows, OS X, Solaris, NetBSD, FreeBSD a mnohých ďalších. iné systémy. Informácie, ktoré sa načítajú pomocou tohto nástroja, je možné zobraziť prostredníctvom grafického používateľského rozhrania alebo nástroja TShark v režime TTY.
Medzi funkcie aplikácie WireShark patria
- Živý záznam a offline analýza
- Bohatá analýza VoIP
- Zachytávanie súborov komprimovaných pomocou gzip je možné dekomprimovať za chodu
- Výstup je možné exportovať do formátu XML, PostScript, CSV alebo do obyčajného textu
- Multi-platforma: Beží na Windows, Linux, FreeBSD, NetBSD a mnohých ďalších
- Živé dáta je možné načítať z internetu, PPP / HDLC, ATM, Blue-tooth, USB, Token Ring atď.
- Podpora dešifrovania pre mnoho protokolov, ktoré zahŕňajú IPsec, ISAKMP, SSL / TLS, WEP a WPA / WPA2
- Pre rýchlu intuitívnu analýzu je možné na paket použiť pravidlá vyfarbovania
- Čítanie / zápis mnohých rôznych formátov súborov na zachytávanie
Stiahnutie Wireshark
10) w3af
w3af je rámec pre útoky a audit webových aplikácií. Má tri typy doplnkov; objavovanie, auditovanie a útoky, ktoré medzi sebou komunikujú o prípadných zraniteľnostiach na webe, napríklad vyhľadávací doplnok vo w3af hľadá rôzne adresy URL na testovanie zraniteľností a preposiela ich do auditovacieho doplnku, ktorý potom pomocou týchto adries URL vyhľadáva zraniteľné miesta.
Môže byť tiež nakonfigurovaný tak, aby fungoval ako server MITM proxy. Zachytená požiadavka sa mohla poslať do generátora požiadaviek a potom sa môže vykonať manuálne testovanie webových aplikácií pomocou premenných parametrov. Má tiež funkcie na zneužitie zraniteľností, ktoré nájde.
Funkcie W3af
- Podpora servera proxy
- Cache odpovedí HTTP
- Medzipamäť DNS
- Nahrávanie súborov pomocou viacerých častí
- Zaobchádzanie s cookies
- Základné a overovacie overenie HTTP
- Falošný užívateľský agent
- Pridajte k požiadavkám vlastné hlavičky
odkaz na stiahnutie w3af
11) Metaspoilt
Toto je najpopulárnejší a najpokročilejší rámec, ktorý je možné použiť na pentest. Jedná sa o nástroj otvoreného zdroja založený na koncepcii „exploit“, čo znamená, že odovzdáte kód, ktorý porušuje bezpečnostné opatrenia, a vstúpite do určitého systému. Ak je zadané, spustí „užitočné zaťaženie“, kód, ktorý vykonáva operácie na cieľovom počítači, čím vytvára dokonalý rámec pre penetračné testovanie. Je to vynikajúci testovací testovací nástroj, či je IDS úspešný v prevencii útokov, ktoré ho obchádzame
Metaspoilt je možné použiť v sieťach, aplikáciách, serveroch atď. Má príkazový riadok a grafické rozhranie, na ktoré je možné kliknúť, funguje v systémoch Apple Mac OS X, Linux a Microsoft Windows.
Vlastnosti produktu Metaspoilt
- Základné rozhranie príkazového riadku
- Dovoz tretích strán
- Ručné hrubé vynútenie
- Ručné hrubé vynútenie
- penetračné testovanie webových stránok
Odkaz na stiahnutie metaspoilt
12) Kali
Kali pracuje iba na strojoch Linux. Umožňuje vám vytvoriť plán zálohovania a obnovy, ktorý vyhovuje vašim potrebám. Podporuje rýchly a ľahký spôsob, ako nájsť a aktualizovať doteraz najväčšiu databázu zbierky testov penetračného zabezpečenia. Je to najlepší dostupný nástroj na šňupanie a vstrekovanie paketov. Pri používaní tohto nástroja môžu byť prospešné skúsenosti v protokole TCP / IP a vytváraní sietí.
Vlastnosti
- Pridanie 64-bitovej podpory umožňuje prelomenie hesla hrubou silou
- Back Track je dodávaný s predinštalovanými nástrojmi pre LAN a WLAN čuchanie, skenovanie zraniteľností, prelomenie hesla a digitálnu forenznú
- Backtrack sa integruje s niektorými najlepšími nástrojmi, ako sú Metaspoilt a Wireshark
- Okrem sieťového nástroja obsahuje aj pidgin, xmms, Mozilla, k3b atď.
- Podpora zadnej stopy KDE a Gnome.
Odkaz na stiahnutie Kali
13) Samurajský rámec:
Samurai Web Testing Framework je softvér na testovanie perom. Je podporovaný na serveroch VirtualBox a VMWare, ktoré boli predkonfigurované tak, aby fungovali ako prostredie na testovanie webového pera.
Vlastnosti:
- Je to open source, bezplatný nástroj
- Obsahuje to najlepšie z otvoreného zdroja a bezplatné nástroje, ktoré sa zameriavajú na testovanie a napadnutie webových stránok
- Zahŕňa tiež predkonfigurovanú wiki na nastavenie centrálneho úložiska informácií počas testu perom
Odkaz na stiahnutie: https://sourceforge.net/projects/samurai/files/
14) Aircrack:
Aircrack je šikovný bezdrôtový testovací nástroj. Praskne zraniteľné bezdrôtové pripojenie. Je napájaný šifrovacími kľúčmi WEP WPA a WPA 2.
Vlastnosti:
- Podporovaných viac kariet / ovládačov
- Podpora všetkých typov OS a platforiem
- Nový útok WEP: PTW
- Podpora útoku slovníka WEP
- Podpora útoku fragmentácie
- Vylepšená rýchlosť sledovania
Odkaz na stiahnutie: https://www.aircrack-ng.org/downloads.html
15) ZAP:
ZAP je jedným z najpopulárnejších nástrojov na testovanie bezpečnosti otvoreného zdroja. Udržiavajú ho stovky medzinárodných dobrovoľníkov. Môže používateľom pomôcť nájsť bezpečnostné chyby vo webových aplikáciách počas fázy vývoja a testovania.
Vlastnosti:
- Pomáha Identifikovať bezpečnostné medzery prítomné vo webovej aplikácii simuláciou skutočného útoku
- Pasívne skenovanie analyzuje reakcie servera na identifikáciu určitých problémov
- Pokúša sa o prístup hrubou silou k súborom a adresárom.
- Funkcia Spidering pomáha vytvárať hierarchickú štruktúru webových stránok
- Poskytnutie neplatných alebo neočakávaných údajov na ich zlyhanie alebo na dosiahnutie neočakávaných výsledkov
- Užitočný nástroj na zistenie otvorených portov na cieľovej webovej stránke
- Poskytuje interaktívny shell Java, ktorý je možné použiť na vykonávanie skriptov BeanShell
- Je plne internacionalizovaný a podporuje 11 jazykov
Odkaz na stiahnutie: https://github.com/zaproxy/zaproxy/wiki
16) Sqlmap:
Sqlmap je nástroj na testovanie penetrácie otvoreného zdroja. Automatizuje celý proces zisťovania a využívania chýb vstrekovania SQL. Dodáva sa s mnohými detekčnými motormi a funkciami pre ideálny penetračný test.
Vlastnosti:
- Plná podpora pre šesť techník vkladania SQL
- Umožňuje priame pripojenie k databáze bez prechodu cez injekciu SQL
- Podpora pre výpočet používateľov, hodnoty hash hesla, privilégiá, role, databázy, tabuľky a stĺpce
- Automatické rozpoznanie hesla zadaného v hašovacích formátoch a podpora ich prelomenia
- Podpora úplného výpisu databázových tabuliek alebo konkrétnych stĺpcov
- Užívatelia môžu tiež zvoliť rozsah znakov zo záznamu každého stĺpca
- Umožňuje nadviazať TCP spojenie medzi ovplyvneným systémom a databázovým serverom
- Podpora vyhľadávania konkrétnych názvov databáz, tabuliek alebo konkrétnych stĺpcov vo všetkých databázach a tabuľkách
- Umožňuje vykonávať ľubovoľné príkazy a načítať ich štandardný výstup na databázovom serveri
Odkaz na stiahnutie: https://github.com/sqlmapproject/sqlmap
17) Sqlninja:
Sqlninja je nástroj na testovanie penetrácie. Je zameraný na zneužitie zraniteľnosti aplikácie SQL Injection vo webovej aplikácii. Ako back-end používa Microsoft SQL Server. Poskytuje tiež vzdialený prístup na zraniteľný server DB, a to aj vo veľmi nepriateľskom prostredí.
Vlastnosti:
- Odtlačky prstov vzdialeného SQL
- Extrakcia dát, časová alebo pomocou tunelu DNS
- Umožňuje integráciu s Metasploit3 na získanie grafického prístupu k vzdialenému serveru DB
- Nahrávanie spustiteľného súboru iba pomocou bežných požiadaviek HTTP prostredníctvom VBScript alebo debug.exe
- Priamy a reverzný bindshell pre TCP aj UDP
- Vytvorenie vlastného xp cmdshell, ak ten pôvodný nie je k dispozícii na w2k3 pomocou únosu tokenu
Odkaz na stiahnutie: http://sqlninja.sourceforge.net/download.html
18) Hovädzie mäso:
Rámec využívania prehľadávača. Je to nástroj na testovanie, ktorý sa zameriava na webový prehliadač. Používa GitHub na sledovanie problémov a hosťovanie svojho úložiska git.
Vlastnosti:
- Umožňuje skontrolovať skutočné bezpečnostné postavenie pomocou vektorov útoku na strane klienta
- BeEF umožňuje pripojenie pomocou jedného alebo viacerých webových prehľadávačov. Môže sa potom použiť na spustenie riadených príkazových modulov a ďalšie útoky na systém.
Odkaz na stiahnutie: http://beefproject.com
19) Dradis:
Dradis je rámec otvoreného zdroja pre penetračné testovanie. Umožňuje udržiavať informácie, ktoré môžu byť zdieľané medzi účastníkmi testu perom. Zhromaždené informácie pomáhajú používateľom pochopiť, čo je potrebné dokončiť a čo je potrebné dokončiť.
Vlastnosti:
- Jednoduchý proces generovania prehľadov
- Podpora príloh
- Bezproblémová spolupráca
- Integrácia s existujúcimi systémami a nástrojmi pomocou serverových doplnkov
- Nezávislá na platforme
Odkaz na stiahnutie: https://dradisframework.com/ce
20) Rapid 7:
Nexpose Rapid 7 je užitočný softvér na správu chýb. Monitoruje expozície v reálnom čase a pomocou nových údajov sa prispôsobuje novým hrozbám, čo pomáha používateľom konať v okamihu nárazu.
Vlastnosti:
- Získajte prehľad o riziku v reálnom čase
- Prináša inovatívne a progresívne riešenia, ktoré pomáhajú používateľovi dokončiť svoju prácu
- Vedieť, kam sa zamerať
- Prineste viac do svojho bezpečnostného programu
Odkaz na stiahnutie: https://www.rapid7.com/products/nexpose/download/
21) Hping:
Hping je nástroj na testovanie pera analyzátora paketov TCP / IP. Toto rozhranie je inšpirované príkazom ping (8) UNIX. Podporuje protokoly TCP, ICMP, UDP a RAW-IP.
Vlastnosti:
- Umožňuje testovanie brány firewall
- Pokročilé skenovanie portov
- Sieťové testovanie, použitie rôznych protokolov, TOS, fragmentácia
- Manuálne zisťovanie cesty MTU
- Pokročilý traceroute so všetkými podporovanými protokolmi
- Vzdialené odtlačky prstov a hádanie o neprítomnosti
- Auditovanie zásobníkov TCP / IP
Odkaz na stiahnutie: https://github.com/antirez/hping
22) SuperScan:
Superscan je bezplatný nástroj na testovanie prieniku uzavretého zdroja iba pre Windows. Zahŕňa tiež sieťové nástroje ako ping, traceroute, whois a HTTP HEAD.
Funkcia:
- Vynikajúca rýchlosť skenovania
- Podpora neobmedzeného rozsahu adries IP
- Vylepšená detekcia hostiteľa pomocou viacerých metód ICMP
- Poskytnite podporu pre skenovanie TCP SYN
- Jednoduché generovanie správy HTML
- Skenovanie zdrojového portu
- Rozsiahle uchopenie bannera
- Veľká vstavaná databáza popisu portov
- Randomizácia objednávky skenovania IP a portov
- Rozsiahle možnosti výpočtu počtu hostiteľov v systéme Windows
Odkaz na stiahnutie: https://superscan.en.softonic.com/
23) ISS skener:
IBM Internet Scanner je nástroj na testovanie pera, ktorý ponúka základy pre efektívne zabezpečenie siete pre akékoľvek podnikanie.
Vlastnosti:
- Internetový skener minimalizuje obchodné riziko hľadaním slabých miest v sieti
- Umožňuje automatizovať skenovanie a objavovať chyby zabezpečenia
- Internetový skener znižuje riziko identifikáciou bezpečnostných medzier alebo slabých miest v sieti
- Kompletná správa zraniteľnosti
- Internetový skener dokáže identifikovať viac ako 1 300 typov sieťových zariadení
Odkaz na stiahnutie : https://www.ibm.com/products/trials
24) Scapy:
Scapy je výkonný a interaktívny nástroj na testovanie pera. Dokáže zvládnuť mnoho klasických úloh, ako je skenovanie, sondovanie a útoky na sieť.
Vlastnosti:
- Vykonáva niektoré špecifické úlohy, ako je odosielanie neplatných rámcov, vkladanie rámcov 802.11. Používa rôzne kombinujúce techniky, ktoré je ťažké urobiť s inými nástrojmi
- To umožňuje užívateľovi zostaviť presne pakety, ktoré chcú
- Znižuje počet riadkov napísaných na vykonanie konkrétneho kódu
Odkaz na stiahnutie: https://scapy.net/
25) IronWASP:
IronWASP je open source softvér na testovanie zraniteľnosti webových aplikácií. Je navrhnutý tak, aby ho bolo možné prispôsobiť, aby si používatelia mohli pomocou neho vytvárať svoje vlastné bezpečnostné skenery.
Vlastnosti:
- GUI založené a veľmi ľahko použiteľné
- Má výkonný a efektívny skenovací modul
- Podpora nahrávania postupnosti prihlásenia
- Vytváranie prehľadov vo formáte HTML aj RTF
- Kontroluje viac ako 25 typov webových zraniteľností
- Podpora detekcie falošných pozitív a negatívov
- Podporuje Python a Ruby
- Rozšíriteľné pomocou doplnkov alebo modulov v Pythone, Ruby, C # alebo VB.NET
Odkaz na stiahnutie: http://ironwasp.org/download.html
26) Ettercap:
Ettercap je komplexný nástroj na testovanie pera. Podporuje aktívnu a pasívnu disekciu. Zahŕňa tiež mnoho funkcií pre sieťovú a hostiteľskú analýzu.
Vlastnosti:
- Podporuje aktívnu a pasívnu disekciu mnohých protokolov
- Funkcia otravy ARP pričuchnutím k prepínanej sieti LAN medzi dvoma hostiteľmi
- Znaky je možné vkladať na server alebo do klienta pri zachovaní živého spojenia
- Ettercap je schopný pričuchnúť k spojeniu SSH v úplnom duplexe
- Umožňuje šnupanie údajov zabezpečených protokolom HTTP SSL, aj keď sa pripojenie uskutočňuje pomocou servera proxy
- Umožňuje vytváranie vlastných doplnkov pomocou rozhrania API spoločnosti Ettercap
Odkaz na stiahnutie: https://www.ettercap-project.org/downloads.html
27) Cibuľa zabezpečenia:
Security Onion je nástroj na testovanie penetrácie. Používa sa na detekciu narušenia a na sledovanie bezpečnosti siete. Má ľahko použiteľného sprievodcu nastavením, ktorý používateľom umožňuje vytvoriť armádu distribuovaných senzorov pre svoj podnik.
Vlastnosti:
- Je postavený na distribuovanom modeli klient-server
- Monitorovanie bezpečnosti siete umožňuje sledovanie udalostí súvisiacich so zabezpečením
- Ponúka úplné zachytenie paketov
- Sieťové a hostiteľské systémy detekcie vniknutia
- Má zabudovaný mechanizmus na čistenie starých údajov pred naplnením úložného zariadenia na svoju kapacitu
Odkaz na stiahnutie: https://securityonion.net/
28) Osobný softvérový inšpektor:
Personal Software Inspector je otvorené bezpečnostné riešenie pre počítač. Tento nástroj dokáže identifikovať zraniteľné miesta v aplikáciách na počítači alebo serveri.
Vlastnosti:
- Je k dispozícii v ôsmich rôznych jazykoch
- Automatizuje aktualizácie nezabezpečených programov
- Pokrýva tisíce programov a automaticky detekuje nezabezpečené programy
- Tento nástroj na testovanie pera automaticky a pravidelne vyhľadáva v počítači zraniteľné programy
- Zistí a upozorní programy, ktoré sa nedajú automaticky aktualizovať
Odkaz na stiahnutie: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager
29) HconSTF:
HconSTF je nástroj na penetračné testovanie otvoreného zdroja založený na rôznych technológiách prehľadávača. Pomáha každému bezpečnostnému odborníkovi pomáhať pri testovaní prieniku. Obsahuje webové nástroje, ktoré sú účinné pri vykonávaní XSS, SQL injection, CSRF, Trace XSS, RFI, LFI atď.
Vlastnosti:
- Kategorizovaná a komplexná sada nástrojov
- Každá možnosť je nakonfigurovaná na penetračné testovanie
- Špeciálne nakonfigurované a vylepšené na získanie spoľahlivej anonymity
- Funguje na hodnotenie testovania webových aplikácií
- Ľahko použiteľný a spolupracujúci operačný systém
Odkaz na stiahnutie: http://www.hcon.in/
30) IBM Security AppScan:
IBM Security AppScan pomáha zvyšovať zabezpečenie webových aplikácií a zabezpečenie mobilných aplikácií. Zlepšuje zabezpečenie aplikácií a posilňuje súlad s predpismi. Pomáha používateľom identifikovať zraniteľné miesta a generovať správy.
Vlastnosti:
- Povoľte vývoju a QA vykonávanie testovania počas procesu SDLC
- Majte pod kontrolou, aké aplikácie môže každý používateľ testovať
- Ľahko distribuujte správy
- Zvýšte viditeľnosť a lepšie pochopte podnikové riziká
- Zamerajte sa na hľadanie a riešenie problémov
- Kontrolovať prístup k informáciám
Odkaz na stiahnutie: http://www-03.ibm.com/software/products/en/appscan
31) Arachni:
Arachni je nástroj s otvoreným zdrojovým kódom Ruby založený na testeroch a administrátoroch penetrácie. Používa sa na hodnotenie bezpečnosti moderných webových aplikácií.
Vlastnosti:
- Je to všestranný nástroj, takže pokrýva veľké množstvo prípadov použitia. To siaha od jednoduchého nástroja na skenovanie príkazového riadku po globálnu vysoko výkonnú mriežku skenerov
- Možnosť pre viacnásobné nasadenie
- Ponúka overiteľný, kontrolovateľný kódový základ, ktorý zaisťuje najvyššiu úroveň ochrany
- Môže sa ľahko integrovať do prostredia prehľadávača
- Ponúka vysoko podrobné a dobre štruktúrované správy
Odkaz na stiahnutie: https://sourceforge.net/projects/safe3wvs/files
32) Websecurify:
Websecurify je výkonné prostredie na testovanie bezpečnosti. Je to užívateľsky prívetivé rozhranie, ktoré je jednoduché a ľahko použiteľné. Ponúka kombináciu technológií automatického a manuálneho testovania zraniteľnosti.
Vlastnosti:
- Dobré testovacie a skenovacie technológie
- Silný testovací modul na zisťovanie adries URL
- Je rozšíriteľný o mnoho dostupných doplnkov
- Je k dispozícii pre všetky hlavné desktopové a mobilné platformy
Odkaz na stiahnutie: https://www.websecurify.com/
33) Vega:
Vega je open source webový bezpečnostný skener a platforma na testovanie pera na testovanie bezpečnosti webových aplikácií.
Vlastnosti:
- Automatizované, manuálne a hybridné testovanie zabezpečenia
- Pomáha používateľom nájsť zraniteľné miesta. Môže to byť skriptovanie medzi servermi, uložené skriptovanie medzi servermi, slepé vkladanie SQL, vstrekovanie shell atď.
- Môže sa automaticky prihlásiť na webové stránky, keď sú vybavené prihlasovacími údajmi používateľa
- Funguje efektívne v systémoch Linux, OS X a Windows
- Detekčné moduly Vega sú napísané v JavaScripte
Odkaz na stiahnutie: https://subgraph.com/vega/download/index.en.html
34) Wapiti:
Wapiti je ďalší slávny nástroj na testovanie penetrácie. Umožňuje auditovať bezpečnosť webových aplikácií. Pre kontrolu zraniteľnosti podporuje metódy GET aj POST HTTP.
Vlastnosti:
- Generuje správy o zraniteľnosti v rôznych formátoch
- Môže pozastaviť a obnoviť skenovanie alebo útok
- Rýchly a jednoduchý spôsob aktivácie a deaktivácie útočných modulov
- Podporujte proxy HTTP a HTTPS
- Umožňuje obmedziť rozsah skenovania
- Automatické odstránenie parametra z adries URL
- Import cookies
- Môže aktivovať alebo deaktivovať overenie certifikátov SSL
- Extrahujte adresy URL zo súborov Flash SWF
Odkaz na stiahnutie: https://sourceforge.net/projects/wapiti/files/
35) Kismet:
Kismet je bezdrôtový sieťový detektor a systém detekcie vniknutia. Funguje so sieťami Wi-Fi, ale je možné ho rozšíriť pomocou doplnkov, pretože umožňuje prácu s inými typmi sietí.
Vlastnosti:
- Umožňuje štandardné protokolovanie PCAP
- Modulárna architektúra klient / server
- Architektúra doplnku na rozšírenie základných funkcií
- Podpora viacerých zdrojov snímania
- Distribuované diaľkové čuchanie pomocou ľahkého diaľkového snímania
- XML výstup pre integráciu s inými nástrojmi
Odkaz na stiahnutie: https://www.kismetwireless.net/downloads/
36) Kali Linux:
Kali Linux je open source nástroj na testovanie pera, ktorý udržiava a financuje spoločnosť Offensive Security.
Vlastnosti:
- Plné prispôsobenie ISO Kali s live-buildom na vytvorenie prispôsobených obrazov Kali Linux
- Obsahuje množstvo zbierok balíkov Meta, ktoré agregujú rôzne sady nástrojov
- ISO Doom a ďalšie recepty Kali
- Šifrovanie disku na Raspberry Pi 2
- Živé USB s viacerými obchodmi s perzistenciou
Odkaz na stiahnutie: https://www.kali.org/
37) Zabezpečenie papagája:
Parrot Security je nástroj na testovanie pera. Ponúka plne prenosné laboratórium pre odborníkov v oblasti bezpečnosti a digitálnej kriminalistiky. Pomáha tiež používateľom chrániť svoje súkromie pomocou nástrojov anonymity a kryptomeny.
Vlastnosti:
- Zahŕňa kompletný arzenál nástrojov zameraných na bezpečnosť na vykonávanie penetračných testov, bezpečnostných auditov a ďalších.
- Dodáva sa s predinštalovanými a užitočnými a aktualizovanými knižnicami
- Ponúka výkonné zrkadlové servery po celom svete
- Umožňuje rozvoj riadený komunitou
- Ponúka samostatný cloudový OS špeciálne navrhnutý pre servery
Odkaz na stiahnutie: https://www.parrotsec.org/download/
38) OpenSSL:
Táto sada nástrojov je licencovaná na základe licencie v štýle Apache. Je to bezplatný a otvorený projekt, ktorý poskytuje komplexnú sadu nástrojov pre protokoly TLS a SSL.
Vlastnosti:
- Je napísaný v jazyku C, ale obálky sú k dispozícii pre mnoho počítačových jazykov
- Knižnica obsahuje nástroje na generovanie súkromných kľúčov RSA a žiadosti o podpis certifikátu
- Overte súbor CSR
- Úplne odstráňte prístupovú frázu z kľúča
- Vytvorte nový súkromný kľúč a povoľte žiadosť o podpis certifikátu
Odkaz na stiahnutie: https://www.openssl.org/source/
39) Odfrknutie:
Snort je open-source systém detekcie vniknutia a testovania pera. Ponúka výhody kontrolných metód založených na protokole podpisu a anomálii. Tento nástroj pomáha používateľom získať maximálnu ochranu pred útokmi škodlivého softvéru.
Vlastnosti:
- Snort sa stal známym tým, že dokázal presne detekovať hrozby pri vysokých rýchlostiach
- Chráňte svoj pracovný priestor pred novými útokmi rýchlo
- Snort možno použiť na vytvorenie prispôsobených jedinečných riešení zabezpečenia siete
- Vyskúšajte certifikát SSL konkrétnej adresy URL
- Môže skontrolovať, či je na adrese URL akceptovaná konkrétna šifra
- Overte autoritu podpisujúceho certifikátu
- Schopnosť predložiť falošné pozitíva / negatíva
Odkaz na stiahnutie: https://www.snort.org/downloads
40) Zadná schránka:
BackBox je komunitný projekt s otvoreným zdrojom s cieľom posilniť kultúru bezpečnosti v IT prostredí. Je k dispozícii v dvoch rôznych variantoch, ako je Backbox Linux a Backbox Cloud. Zahŕňa niektoré z najčastejšie známych / používaných bezpečnostných a analytických nástrojov.
Vlastnosti:
- Je to užitočný nástroj na zníženie potrieb zdrojov spoločnosti a nižších nákladov na správu viacerých požiadaviek na sieťové zariadenie
- Je to plne automatizovaný nástroj na testovanie pera. Na vykonanie zmien teda nie sú potrební žiadni agenti ani konfigurácia siete. Za účelom vykonania plánovanej automatizovanej konfigurácie
- Zabezpečený prístup k zariadeniam
- Organizácie môžu ušetriť čas, pretože nie je potrebné sledovať jednotlivé sieťové zariadenia
- Podporuje šifrovanie poverení a konfiguračných súborov
- Automatické zálohovanie a automatické vzdialené ukladanie
- Ponúka riadenie prístupu na základe IP
- Nie je potrebné písať príkazy, pretože sú dodávané s predkonfigurovanými príkazmi
Odkaz na stiahnutie: https://www.backbox.org/download/
41) THC Hydra:
Hydra je paralelný prihlasovací cracker a nástroj na testovanie pera. Je veľmi rýchly a flexibilný a ľahko sa pridávajú nové moduly. Tento nástroj umožňuje výskumníkom a bezpečnostným konzultantom nájsť neoprávnený prístup.
Vlastnosti:
- Suity s nástrojmi na kompromis na plný úväzok spolu s generovaním, triedením, konverziou a vyhľadaním dúhovej tabuľky
- Podporuje dúhovú tabuľku ľubovoľného hash algoritmu
- Podporte dúhový stôl ľubovoľnej sady znakov
- Podporujte dúhovú tabuľku v kompaktnom alebo surovom formáte
- Výpočet podpory viacerých jadier
- Beží na operačných systémoch Windows a Linux
- Jednotný formát súboru dúhová tabuľka vo všetkých podporovaných OS
- Podpora užívateľského rozhrania GUI a príkazového riadku
Odkaz na stiahnutie: https://github.com/vanhauser-thc/thc-hydra
42) Výstraha monitora reputácie:
Open Threat Exchange Reputation Monitor je bezplatná služba. Umožňuje profesionálom sledovať reputáciu ich organizácie. Pomocou tohto nástroja môžu podniky a organizácie sledovať verejnú IP a reputáciu domén svojich aktív.
Vlastnosti:
- Monitoruje cloud, hybridný cloud a lokálnu infraštruktúru
- Poskytuje nepretržité informácie o hrozbách, vďaka ktorým je neustále informovaný o hrozbách
- Poskytuje najkomplexnejšie smernice o detekcii hrozieb a reakčných incidentoch
- Nasadzuje sa rýchlo, ľahko a s menším počtom úsilia
- Znižuje TCO oproti tradičným bezpečnostným riešeniam
Odkaz na stiahnutie: https://cybersecurity.att.com/products/usm-anywhere/free-trial
43) Ján Rozparovač:
John the Ripper známy ako JTR je veľmi populárny nástroj na prelomenie hesla. Primárne sa používa na vykonávanie slovníkových útokov. Pomáha identifikovať slabé miesta zabezpečenia hesla v sieti. Podporuje tiež používateľov pred útokmi hrubou silou a dúhovými trhlinami.
Vlastnosti:
- John the Ripper je bezplatný softvér s otvoreným zdrojom
- Proaktívny modul kontroly sily hesla
- Umožňuje online prezeranie dokumentácie
- Podpora mnohých ďalších typov hash a šifry
- Umožňuje prezerať dokumentáciu online vrátane súhrnu zmien medzi dvoma verziami
Odkaz na stiahnutie: https://www.openwall.com/john/
44) Skener Safe3:
Safe3WVS je jeden z najsilnejších nástrojov na testovanie zraniteľnosti webu. Dodáva sa s technológiou prehľadávania webových pavúkov, najmä s webovými portálmi. Je to najrýchlejší nástroj na vyhľadanie problémov, ako je vkladanie SQL, zraniteľnosť nahrávania a ďalšie.
Vlastnosti:
- Plná podpora autentifikácií Basic, Digest a HTTP.
- Inteligentný webový pavúk automaticky odstráni opakujúce sa webové stránky
- Automatický analyzátor JavaScriptu poskytuje podporu pre extrakciu adries URL z Ajaxu, Web 2.0 a iných aplikácií
- Podpora skenovania SQL injection, zraniteľnosti pri nahrávaní, zraniteľnosti správcu a zoznamu adresárov
Odkaz na stiahnutie: https://sourceforge.net/projects/safe3wvs/files/latest/download
45) CloudFlare:
CloudFlare je CDN s robustnými bezpečnostnými funkciami. Online hrozby siahajú od spamu s komentármi a nadmerného prehľadávania robotov až po škodlivé útoky, ako je napríklad SQL injection. Poskytuje ochranu pred spamom komentárov, nadmerným prehľadávaním robotov a škodlivými útokmi.
Funkcia:
- Je to sieť ochrany DDoS podnikovej triedy
- Firewall webových aplikácií pomáha z kolektívnej inteligencie celej siete
- Registrácia domény pomocou služby CloudFlare je najbezpečnejším spôsobom ochrany pred únosom domény
- Funkcia obmedzenia rýchlosti chráni kritické zdroje používateľa. Blokuje návštevníkov s podozrivým počtom sadzieb požiadaviek.
- CloudFlare Orbit rieši problémy so zabezpečením zariadení IOT
Odkaz na stiahnutie: https://www.cloudflare.com/
46) Zenmap
Zenmap je oficiálny softvér Nmap Security Scanner. Jedná sa o multiplatformovú bezplatnú a otvorenú aplikáciu. Ľahko sa používa pre začiatočníkov, ale ponúka aj pokročilé funkcie pre skúsených používateľov.
Vlastnosti:
- Interaktívne a grafické prezeranie výsledkov
- Na pohodlnom displeji zhŕňa podrobnosti o jednom hostiteľovi alebo úplnom skenovaní.
- Môže dokonca nakresliť topologickú mapu objavených sietí.
- Môže zobraziť rozdiely medzi dvoma skenmi.
- Umožňuje správcom sledovať nových hostiteľov alebo služby objavujúce sa v ich sieťach. Alebo sledovať existujúce služby, ktoré klesajú
Odkaz na stiahnutie: https://nmap.org/download.html
Ostatné nástroje, ktoré by mohli byť užitočné pri penetračnom testovaní, sú
- Acunetix: Je to skener zraniteľnosti webu zameraný na webové aplikácie. Je to drahý nástroj v porovnaní s ostatnými a poskytuje možnosti, ako je testovanie skriptov medzi servermi, správy o zhode s PCI, vkladanie SQL atď.
- Sieťovka: Je to skôr ako nástroj na správu zraniteľnosti ako nástroj na predbežné testovanie
- Nessus: Zameriava sa na kontroly súladu, vyhľadávanie citlivých údajov, skenovanie IP adries, skenovanie webových stránok atď.
- Netsparker: Tento nástroj je dodávaný s robustným skenerom webových aplikácií, ktorý identifikuje slabé miesta a navrhuje riešenia. K dispozícii sú bezplatné obmedzené pokusy, ale väčšinou ide o komerčný produkt. Pomáha tiež využívať SQL injection a LFI (Local File Induction).
- ZÁKLADNÝ Dopad: Tento softvér je možné použiť na penetráciu mobilných zariadení, identifikáciu a prelomenie hesla, penetráciu sieťových zariadení atď. Je to jeden z drahých nástrojov pri testovaní softvéru.
- Burpsuite: Rovnako ako iný softvér, aj tento je komerčným produktom. Funguje to tak, že zachytáva proxy server, skenuje webové aplikácie, prehľadáva obsah a funkčnosť atď. Výhodou použitia programu Burpsuite je, že ho môžete použiť v prostredí Windows, Linux a Mac OS X.