安全测试之推荐工具

简介: 【2月更文挑战第2天】安全测试之推荐工具

一、前言

国家层面: 2016年11月7日,《网络安全法》正式发布,2017年6月1日正式实施,我国初步构建了以《网络安全法》为基础的网络空间安全法律法规体系。

企业层面: 随着企业的发展,频繁产品需求迭代,需要大量安全测试工程师投入到产研流程中,同时还要了解业务、产品、逻辑、权限等,安全测试人员的增长已经跟不上安全测试需求的增长速度。提供更多安全自动化工具,通过自动化的方式发现一些安全问题,尽量减少安全开发成本。

二、Web安全

(一)AppScan(推荐)

工具简介:

web安全扫描。Rational AppScan,是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,可以简化发现和修复 Web 应用安全隐患的过程,支持常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲区溢出(buffer overflow)等方面安全漏洞的扫描,还可以根据发现的安全隐患,提出针对性的修复建议,并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全状况。

  • 官网地址:https://www.hcl-software.com/appscan/home
  • 工具属性:商业
  • 使用范围:包含漏洞、Web应用
  • 使用点评:Web 漏扫主流工具,漏洞扫描,主动发现,很多第三方测评中心和国企在用

    (二)AWVS(推荐)

工具简介:

AWVS是业界比较认可的一款web安全扫描工具,可以查找应用程序内的 SQL 注入和跨站点脚本漏洞,并在执行之前修复这些问题。工具还可以对 Web 站点的爬行内容启用黑客 Google 数据库查询,识别敏感数据,检查出可能被黑客利用的漏洞。工具的自动扫描功能可对进行交叉检测各种手工工具进行补充,以方便综合性网站和网络应用层的渗透测试。

  • 工具属性:商业
  • 使用范围:包含漏洞、Web应用
  • 使用点评:漏洞扫描,主动发现

    (三)Burp Suite(推荐)

工具简介:

Burp Suite是一个Web应用程序集成攻击平台,它包含了一系列burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击,提高了整个攻击的效率。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。

工具简介:

OWASP Zed Attack Proxy是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。

三、主机安全

(一)主机扫描

1、Nexpose

工具简介:

Nexpose是领先的漏洞评估工具之一,是一项统一漏洞解决方案,可扫描网络以识别出在这些网络中运行的设备以及测试设备是否有漏洞。漏洞检查会识别出网络计算环境所有层面(包括在操作系统、数据库、应用程序和文件中)的安全短板。

  • 官网地址:https://www.rapid7.com/products/nexpose/
  • 工具属性:商业
  • 使用范围:包含漏洞、Web、数据库等应用
  • 使用点评:主机漏洞扫描

    2、绿盟 RSAS

    工具简介:

    绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System 简称:NSFOCUS RSAS)是绿盟科技结合多年的漏洞挖掘和安全服务实践经验,自主研发的新一代漏洞管理产品,它高效、全方位的检测网络中的各类脆弱性风险,提供专业、有效的安全分析和修补建议,并贴合安全管理流程对修补效果进行审计,最大程度减小受攻击面。

  • 官网地址:https://www.nsfocus.com.cn/html/2019/207_1009/66.html

  • 工具属性:商业
  • 使用范围:包含漏洞、Web、数据库等应用

    3、OpenVas

工具简介:

OpenVAS是开放式漏洞评估系统,也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器,包括一套网络漏洞测试程序,可以检测远程系统和应用程序中的安全问题。

  • 官网地址:https://openvas.org/
  • 工具属性:开源
  • 使用范围:包含漏洞、Web、数据库等应用
  • 使用点评:主机漏洞扫描

    4、Nessus(推荐)

    工具简介:

    Nessus作为目前全世界最多人使用的系统漏洞扫描与分析软件,其具有免费、威力强大、更新频繁并简易使用的特点,能够提供完整的系统漏洞扫描服务, 并随时更新漏洞数据库,更兼具在本机或远端上摇控, 进行系统的漏洞分析扫描,其内部调用机制能够根据系统的资源而自行调整,自动调度。

  • 官网地址:https://zh-cn.tenable.com/products/nessus

  • 工具属性:开源
  • 使用范围:包含漏洞、Web、数据库等应用
  • 使用点评:主机漏洞扫描

(二)端口扫描

1、Nmap(推荐)

工具简介:

业界最著名的端口扫描工具。适用于:Windows、Linux/Unix等操作系统;
基本功能有三个:一是探测一组主机是否在线;其次是扫描主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。

  • 官网地址:https://nmap.org/
  • 工具属性:开源
  • 使用访问:各类操作系统
  • 使用点评:端口扫描、主机发现,目前主流在用工具

四、安全编码

(一)代码扫描

1、Coverity

工具简介:

Coverity是美国Coverity公司研发、业界优秀静态代码分析工具,通过在编译过程中检查,可发现Pclint(C/C )和Findbugs(JAVA)等现有工具发现不了的深层次问题,优势非常明显,公司各个产品都已使用并受益匪浅。

2、Fortify SCA

工具简介:

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的

3、Findbugs

工具简介:

Findbugs是一款Java静态代码分析工具,与其他静态分析工具(如Checkstyle和PMD)不同,Findbugs 不注重样式或者格式,它专注于寻找真正的缺陷或者潜在的性能问题,它可以帮助java工程师提高代码质量以及排除隐含的缺陷。

4、SonarQube(推荐)

工具简介:

SonarQube是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。

5、Checkmarx Suite

工具简介:

Checkmarx是以色列研发的一款代码审计工具,是.NET开发的,只能在Windows下使用。

(二)代码审计

1、Seay

工具简介:

Seay是一款国产开源的PHP代码审计软件,2012年被oschina开源中国网站收录,2013年发布2.0版本。现已停止维护。

相关地址:https://github.com/f1tz/cnseay
工具属性:开源
使用范围:源代码

五、安装包安全

(一)病毒扫描

工具名称 工具属性
卡巴斯基 商业
趋势杀毒 商业
小红伞 商业

六、数据安全

(一)数据库安全检查

1、xSecure-DBScan

工具简介:

xSecure-DBScan提供丰富的检测库,可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞,并对检测出的漏洞,提供漏洞产生原因分析,有针对性的给出修复建议,以及修复漏洞所需的命令、脚本、执行步骤等。

2、SQLMap(推荐)

工具简介:

sqlmap是一款基于python编写的渗透测试工具,在sql检测和利用方面功能强大,支持多种数据库。

3、全知-知镜

工具简介:

一款通过智能分析网络流量,全面盘点系统敏感数据暴露面和流动情况,及时发现业务系统的脆弱点和数据流动风险的系统,系统能够提供多种特定场景的测评能力,帮助企业快速分析合规现状,定位数据账号风险、数据权限风险、暴露面风险、数据行为风险、数据出境风险等安全风险。

七、小结

以上仅做参考,部分工具为商用,工作中自行评估购买或使用免费工具替代,不同种类至少选择一款。

image.png

目录
相关文章
|
15天前
|
测试技术 C语言
网站压力测试工具Siege图文详解
网站压力测试工具Siege图文详解
23 0
|
1月前
|
JavaScript jenkins 测试技术
这10款性能测试工具,收藏起来,测试人的工具箱!
这10款性能测试工具,收藏起来,测试人的工具箱!
|
1月前
|
人工智能 监控 测试技术
利用AI辅助工具提升软件测试效率
【2月更文挑战第17天】 随着科技的不断发展,人工智能(AI)在各个领域的应用越来越广泛。在软件测试领域,AI技术也发挥着重要作用。本文将探讨如何利用AI辅助工具提升软件测试效率,包括自动化测试、智能缺陷识别和预测等方面。通过引入AI技术,软件测试过程将变得更加高效、准确和可靠。
182 1
|
1月前
|
Web App开发 前端开发 测试技术
探索自动化测试工具:Selenium的威力与应用
探索自动化测试工具:Selenium的威力与应用
探索自动化测试工具:Selenium的威力与应用
|
1月前
|
测试技术
现代软件测试中的自动化工具与挑战
传统软件测试面临着越来越复杂的系统架构和不断增长的测试需求,自动化测试工具应运而生。本文将探讨现代软件测试中自动化工具的应用和挑战,深入分析其优势与局限性,为软件测试领域的发展提供思路和启示。
|
30天前
|
jenkins 测试技术 持续交付
现代软件测试中的自动化工具与挑战
随着软件开发领域的不断发展,自动化测试工具在测试过程中扮演着越来越重要的角色。本文将探讨现代软件测试中自动化工具的应用及面临的挑战,旨在帮助开发人员和测试人员更好地理解和应对自动化测试中的问题。
|
15天前
|
测试技术 Linux Apache
网站压力测试工具webbench图文详解
网站压力测试工具webbench图文详解
12 0
|
17天前
|
安全 测试技术
深入理解白盒测试:方法、工具与实践
【4月更文挑战第7天】 在软件开发的质量控制过程中,白盒测试是确保代码逻辑正确性的关键步骤。不同于黑盒测试关注于功能和系统的外部行为,白盒测试深入到程序内部,检验程序结构和内部逻辑的正确性。本文将探讨白盒测试的核心技术,包括控制流测试、数据流测试以及静态分析等方法,同时介绍当前流行的白盒测试工具,并讨论如何在实际项目中有效实施白盒测试。文章的目标是为软件测试工程师提供一份综合性指南,帮助他们更好地理解和应用白盒测试技术。
|
23天前
|
Java 测试技术 API
软件测试中的自动化工具与策略
软件测试是确保软件质量的重要环节,而自动化测试工具和策略的应用在提高测试效率和准确性方面发挥着重要作用。本文将介绍几种常见的自动化测试工具,并探讨在软件测试中应用自动化测试的最佳实践和策略。
|
25天前
|
Web App开发 Java 测试技术
深入理解与应用软件自动化测试工具Selenium
随着软件开发的快速发展,软件测试在保证产品质量方面发挥着越来越重要的作用。其中,自动化测试以其效率高、成本低的特点受到了广大开发者的欢迎。本文主要介绍了自动化测试工具Selenium的基本概念、原理以及在实际开发中的应用,旨在帮助读者更好地理解和使用Selenium进行高效的自动化测试。
22 4

热门文章

最新文章