您无需花费大量资金在应用程序开发和交付日程中引入高功率安全性。这本开源应用程序工具指南旨在帮助那些希望投资应用程序安全软件的团队了解开源领域的内容,以及如何思考这些选择。随后将发布商业app sec供应商指南。
为什么需要免费的app sec工具指南?一般而言,有关应用程序安全性的信息可能会令人困惑,因为网站通常会在没有明确描述所提供解决方案类别的情况下展示产品的优势。这使得将一种产品与下一种产品进行比较变得困难。开源项目的网站通常提供有关特定工具的非常精细的信息,这要求读者已经了解如何以及为何使用特定工具。
开源app sec工具的价值
大多数开源项目都是针对app sec要求而设计的,其规模小于商业供应商所倾向的目标。尽管如此,我们认为这个高度专注的开源应用程序提供商名单应该为安全爱好者所熟悉,他们寻求针对特定类型的网络威胁的新的创造性方法。
其中一些操作系统项目非常活跃,并且经常使用新功能进行更新;其他人,嗯,不是那么多,但他们值得一试。自网络诞生以来,一些更强大的OS技术已经存在;其他人都很新,在推特和其他地方有越来越多的粉丝。
请注意,此处的一些列表是免费的“社区版”的高级商业产品。另请注意,您无法再通过.org或.net后缀识别开源项目。正如您将看到的,许多人现在使用.com约定以及许多其他URL约定。
Andiparos
着名的Paros Proxy的一个分支,一个开源Web应用程序安全评估工具,为渗透测试人员提供了抓取网站,分析内容,拦截和修改请求的能力
网址:https://code.google.com/archive/p/andiparos
BackTrack
这个发行版称为基于Linux的渗透测试工具,配置有数百种安全测试工具和脚本
网址:http://www.backtrack-linux.org
BeEF
开源的渗透测试
网址:http://beefproject.com
Caja
用于使第三方HTML,CSS和JavaScript安全嵌入网站的编译器。它使用对象功能安全模型来实现各种灵活的安全策略。
网址:http://developers.google.com/caja
ClamAV
用于检测特洛伊木马,病毒,恶意软件和其他恶意威胁的开源防病毒引擎
网址:http://clamav.net
DOM Snitch
实验性Chrome扩展程序,使开发人员和测试人员能够识别客户端代码中常见的不安全做法。开发人员和测试人员可以在浏览器内部进行DOM修改,无需使用调试器逐步执行JavaScript代码或暂停其应用程序的执行
网址:https://code.google.com/archive/p/domsnitchdomsnitch
Ettercap
被称为“针对中间人攻击的综合套件......具有嗅探现场连接,动态内容过滤以及许多其他有趣的技巧。”
网址:http://ettercap.github.io/ettercap
GoLismero
用于安全测试的免费软件框架。
网址:http://www.golismero.com
谷歌黑客数据库(GHDB)
SecTools.org将其描述为“安全研究人员和渗透测试人员的金矿”,该网站是漏洞利用数据库的一部分,这是一个非营利性项目,由进攻性安全部门提供为公共服务。
网址:https://www.exploit-db.com/google-hacking-database
Google应用安全工具
谷歌表示,这些工具“解决了其他开源工具中存在的差距。这些工具可能需要进行一些小的调整或编译才能在您的系统上运行。”有些是单独列在此列表中。
网址:https://www.google.com/about/appsecurity/tools
Grabber
Web应用程序扫描程序,可以检测Web应用程序中的许多安全漏洞。一个开源的Web应用程序渗透测试工具
网址:http://rgaucher.info/beta/grabber
Grendel
扫描Web应用程序安全工具以查找安全漏洞;功能也可用于手动渗透测试
网址:https://sourceforge.net/projects/grendel
Gruyere
被称为“小型,俗气的网络应用程序”;允许用户发布文本片段并存储各种文件。警告:Gruyere有多个安全漏洞,包括跨站点脚本和跨站点请求伪造,信息泄露,拒绝服务和远程代码执行
网址:http://google-gruyere.appspot.com
Kali
Linux渗透测试
网址:http://kali.org
Keyczar
开源加密工具包旨在使开发人员在其应用程序中使用加密更容易,更安全。它支持对称和非对称密钥的身份验证和加密;旨在实现开放,可扩展和跨平台兼容。
网址:https://github.com/google/keyczar
Kismet
无线网络探测器,嗅探器和入侵检测系统。Kismet主要使用Wi-Fi(IEEE 802.11)网络,但可以通过插件扩展以处理其他网络类型。
网址:http://kismetwireless.org
Malwarebytes
适用于Windows的端点安全恶意软件扫描程序。
网址:http://malwarebytes.org
Metasploit
通过Rapid7渗透测试开源的Metasploit
网址:http://metasploit.com
ModSecurity
WAF开源
网址:http://modsecurity.org
Nagios
监控整个IT基础架构,以确保系统,应用程序,服务和业务流程正常运行。
网址:http://nagios.org
Native Client (NaCl)
一种在浏览器中运行本机编译代码的技术。NaCl旨在保持人们对Web应用程序的操作系统可移植性和安全性
网址:http://developer.chrome.com/native-client
Nikto2
Web服务器测试工具,用于查找已知的易受攻击脚本,配置错误和相关的安全问题
网址:http://cirt.net/nikto2
NMAP
使用NSE脚本进行网络发现和安全审核的渗透测试实用程序,可以检测网络服务中的漏洞,错误配置和安全相关信息
网址:http://nmap.org
NoScript
Firefox插件,为Firefox,Seamonkey和其他基于Mozilla的浏览器提供额外保护;允许JavaScript,Java,Flash和其他插件只能由您选择的受信任网站执行
网址:http://noscript.net
OpenSSH
通过SSH隧道隧道安装不安全的协议来保护两点之间的流量
网址:http://www.openssh.com
OpenVAS
开源漏洞扫描套件
网址:http://openvas.org
OSSEC
基于主机的入侵检测系统或HIDS
网址:http://ossec.github.io
OWASP
owasp.org提供了一大类开源sec测试工具
网址:https://www.owasp.org/index.php/Appendix_A:_Testing_Tools
Packet Storm
提供各种用于漏洞和渗透的扫描仪工具
网址:http://packetstormsecurity.org/files/tags/scanner
Paros Proxy
用于安全性和漏洞测试的测试工具。用于对整个站点进行爬行/爬网,然后执行预装漏洞扫描程序测试
网址:http://www.testingsecurity.com/paros_proxy
Powerfuzzer
基于HTTP协议的应用程序模糊器基于许多其他开源模糊器
网址:http://www.powerfuzzer.com
Ratproxy
旨在克服用户在使用其他代理工具进行安全审核时通常面临的问题;能够区分CSS样式表和JavaScript代码
网址:https://code.google.com/archive/p/ratproxy
Secunia PSI
一种免费的计算机安全解决方案,可识别私人PC上的应用程序中的漏洞
Web:http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector
Security Onion
用于入侵检测,网络安全监控和日志管理的Linux发行版
网址:http://blog.securityonion.net
Skipfish
活跃的Web应用程序安全侦察工具。它通过执行递归爬网和字典工具为站点准备交互式站点地图。使用自定义HTTP堆栈编写的C语言,性能高,易于使用且可靠
网址:https://code.google.com/archive/p/skipfish
Snort
用于UNIX衍生产品和Windows的开源,免费和轻量级网络入侵检测系统(NIDS)
网址:http://snort.org
SonarQube
SonarQube™软件(以前称为“Sonar”)是一个管理代码质量的开放平台。因此,它涵盖了7轴代码质量。
网址:https://github.com/SonarSource/sonarqube
SQLMAP
渗透测试工具,自动化在网站数据库中查找和利用SQL注入漏洞的过程
网址:http://sqlmap.org
TCPDUMP
在其网站上称为“功能强大的命令行数据包分析器”,许多人仍然使用此工具作为资源密集型Wireshark的替代工具。
网址:http://tcpdump.org
Vega
Web漏洞扫描器和测试平台; SQL注入,跨站点脚本等
网址:https://subgraph.com/vega
W3AF
SQL注入,跨站点脚本检测工具
网址:http://w3af.org
Wapiti
Web漏洞扫描程序,可让您审核Web应用程序的安全性。它通过扫描网页和注入数据来执行黑盒测试
网址:http://wapiti.sourceforge.net
Watcher
一个Fiddler插件,帮助渗透测试人员被动地发现Web应用程序漏洞
网址:http://websecuritytool.codeplex.com
WATOBO
执行高效(半自动)Web应用程序安全审核
网址:http://watobo.sourceforge.net/index.html
WebScarab
基于Java的安全框架,用于使用HTTP或HTTPS协议分析Web应用程序。用Java编写,可移植到许多平台;提供多种操作模式,由多个插件实现。在最常见的用法中,WebScarab作为拦截代理运行
网址:http://www.owasp.org/index.php/Category:WHASP_WebScarab_Project
Websecurify
GNUCITIZEN(参见商业供应商列表)
网址:
Wfuzz
免费提供的用于Web应用程序渗透测试的开源工具。它可用于强制GET和POST参数,以便针对SQL,XSS,LDAP等许多其他注入进行测试
网址:http://code.google.com/p/wfuzz
SensePost
设备,网络和应用程序的漏洞工具。工具包括autoDANE,reGeorg,Jack和SensePost Maltego工具集
网址:http://sensepost.com
Wireshark
Wireshark渗透测试和数据包级监控开源;根据需要查看详细的流量;关注网络流并发现问题
网址:http://wireshark.org
Zed攻击代理
也称为Zap。开源,拦截代理是fork和更新严重过时的Paros Proxy。相当强大的手动测试,并包含一些自动测试功能。
网址:https://www.owasp.org