【51CTO.com快译】目前,伴随着DevOps(在其中也包含DevSecOps)正慢慢将安全系数测试加上到咱们的管路当中。有时,大家会觉得与安全性有关的测试是最难以解决智能化的一部分。该类测试通常欠缺非常容易入门的简易工具。实际上,这关键是由于测试工作人员找不到适合的資源。文中将向您详细介绍十三种顶尖实用的、且完全免费开放源码的安全性测试工具。
1. Excercise in a Box
Excercise in a Box是由法国我国网络信息安全核心(National Cyber Security Center)所发布的线上工具。它可以协助客户获知自身的使用是不是非常容易遭到到黑客攻击。
与此同时,该工具可以供应各种各样情景,便于贵机构在安全可靠的条件中,依据自身所制定的容许的時间,不断演习本身应对安全性进攻事情的反应工作能力。可以说,它聚集了您必须运行的各种各样方案、设定、交货、及其过后整顿主题活动等一切資源。
2. Needle
做为iOS版的测试框架,Needle是由英国白帽黑客企业(Black Hat USA)所发布的。它是一种模块化设计的开源系统框架,其目的是为了更好地简单化对于iOS运用安全风险评估的总体全过程。与此同时,该工具可以为您带来各种各样安全性测试主题活动的重要关键点。
除开朝向技术专业的安全性测试工作人员,开发者还可以用它来结构加固自身编写出的编程代码。
3. DevSlop
伴随着关键技术的发展趋势,及其客户针对产品品质与服务项目特性标准的提高,您也许会收到类似对于这些选用了微服务架构、API、及其容器化等程序的测试每日任务。
这种完成技术性层面的梯度下降法,驱使安全性工作人员再次审视自己的传统式测试方法。做为OWASP的一个单项工程Sloppy DevOps(或称之为DevSlop)可以根据不一样的控制模块进行各类深入分析。主要包括了:应用软件的易受攻击点,各种各样管路,及其给予DevSlop Show的相应作用。
可以说:假如您已经考虑到全方位地结构加固DevOps管路安全系数得话,那麼DevSlop便是一款特别好的新手入门工具与資源。
4. 移动安全框架(Mobile Security Framework)
移动安全框架(https://dzone.com/articles/three-essential-mobile-security-measures)被业内称之为:一种智能的自动化技术移动智能终端类渗入测试框架。它可以实行动态变化,静态数据剖析,Web APT测试、及其恶意程序等领域的剖析。
在具体测试中,它可以被用以对于iOS、Android和Windows等服务平台移动智能终端内部结构的二进制源码,甚至于程序流程截屏,采用迅速、合理的安全系数剖析。与此同时,它可以在运作时(runtime)等级,对Android应用软件开展动态性运用测试。此外,它还有着对于Web API的独特网络检测程序流程—CapFuzz,并能适用Web API的模糊不清解决。
5. Frida
Frida是朝向逆向工程师、开发者、及其安全性科研员工的一种动态性工具包。与此同时,它也是一种完成了应用软件勾子(hooking)的工具包和框架。
在Frida网站上,它需要客户将自身的不一样脚本制作放进其白盒过程中,便于“钩取”各种各样作用与crypto API,并监控与追踪这些私有化的编程代码。显而易见,它并不一定一切运用的源码。
6. Nishang
假如您的默认设置安全性开发语言是PowerShell得话,那麼请采用Nishang框架。做为合理负荷与代码的融合,Nishang容许客户应用PowerShell来开展渗入式、攻击能力安全性、及其蓝队(Red Teaming,译员注:是在传统式渗入测试的基本上,更侧重于对于公司工作人员、业务管理系统、供应链管理、协同办公系统、物理学安全性等层面真正敏感点的进攻评定。)测试。客户可以在现阶段渗入测试的每个环节应用到该工具。
7. Tamper
做为电脑浏览器的扩展程序,Tamper Chrome容许客户及时地变更HTTP要求,并可以帮助开展各类网络信息安全的有关测试。现阶段,它适用包含Chrome OS以内的任何电脑操作系统。与此同时,它还容许客户深层次地查验电脑浏览器所推送的要求以及回应。
8. InSpec
InSpec是一种高档的手机软件测试和审批框架。做为基础架构的开源系统式框架,该工具可以对于程序流程中的人们可读(human-readable)语言表达和机器语言,剖析和阐释编码级別的安全系数、合规、及其对策要求。
9. Faraday
做为集成化渗入测试自然环境(Integrated Penetration-Test Environment,IPE),Faraday它是一种多客户渗入测试方法的补充工具。它可以被用以对于这些在安全性审批流程中所形成的数据信息,开展技术专业的数据库索引、派发和剖析。
在具体运用全过程中,测试工作人员可以以多客户的方法,灵活运用到小区里目前的各种工具,这也是Faraday的开发设计目地所属。因为在制定之初就早已充分考虑到了简易性,因而消费者在应用全过程中,会发觉Faraday的用户与操作系统上的常见终端设备并无很大的差别。此外,该工具还带来了一系列独特作用,以帮助客户改进其原有的工作内容。
10. Pocsuite
Pocsuite是一种定义认证(proof-of-concept)和远程控制系统漏洞测试的开发设计框架。针对安全性科研工作人员和渗入测试工作人员而言,该工具具备强有力的定义认证模块,及其各种各样细分化的作用。
11. Taipan
做为一种机械自动化的Web运用类漏洞扫描系统程序流程,Taipan可以便于客户自动化技术地开展Web系统漏洞的鉴别。Taipan是一种开放性的新项目,它包括了可以兼容与适用别的部件的测试模块。该工具的页面类似一个Web汽车仪表板,客户可以之中扫描仪并管理方法各种系统漏洞,免费下载扫码器代理商程序流程、及其在指定的服务器上运作并輸出PDF文件格式的汇报。
12. Pacu
Pacu是一种AWS的开发设计框架。它的首要功用是对于Amazon的Web Services开展各类安全系数测试。
13. Secure Guild
大家都知道,测试工作人员从不缺乏五花八门的工具图普,安全性测试也一样如此。假如您是刚新手入门、或第一次进行安全类测试得话,那麼请不要忽略针对Secure Guild的使用。该資源是一种专业专注于探讨安全性测试有关问题的在线会议服务项目。该服务平台不仅可以为您解疑释惑,还能够让您学得各种各样安全性测试的专业知识技能。
全文文章标题:Top Free Security Testing Tools,创作者:Taqi Ahmed
【51CTO译文,协作网站转截请标明全文译员和来源为51CTO.com】