安全测试之推荐工具

简介: 【2月更文挑战第2天】安全测试之推荐工具

一、前言

国家层面: 2016年11月7日,《网络安全法》正式发布,2017年6月1日正式实施,我国初步构建了以《网络安全法》为基础的网络空间安全法律法规体系。

企业层面: 随着企业的发展,频繁产品需求迭代,需要大量安全测试工程师投入到产研流程中,同时还要了解业务、产品、逻辑、权限等,安全测试人员的增长已经跟不上安全测试需求的增长速度。提供更多安全自动化工具,通过自动化的方式发现一些安全问题,尽量减少安全开发成本。

二、Web安全

(一)AppScan(推荐)

工具简介:

web安全扫描。Rational AppScan,是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,可以简化发现和修复 Web 应用安全隐患的过程,支持常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲区溢出(buffer overflow)等方面安全漏洞的扫描,还可以根据发现的安全隐患,提出针对性的修复建议,并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全状况。

  • 官网地址:https://www.hcl-software.com/appscan/home
  • 工具属性:商业
  • 使用范围:包含漏洞、Web应用
  • 使用点评:Web 漏扫主流工具,漏洞扫描,主动发现,很多第三方测评中心和国企在用

    (二)AWVS(推荐)

工具简介:

AWVS是业界比较认可的一款web安全扫描工具,可以查找应用程序内的 SQL 注入和跨站点脚本漏洞,并在执行之前修复这些问题。工具还可以对 Web 站点的爬行内容启用黑客 Google 数据库查询,识别敏感数据,检查出可能被黑客利用的漏洞。工具的自动扫描功能可对进行交叉检测各种手工工具进行补充,以方便综合性网站和网络应用层的渗透测试。

  • 工具属性:商业
  • 使用范围:包含漏洞、Web应用
  • 使用点评:漏洞扫描,主动发现

    (三)Burp Suite(推荐)

工具简介:

Burp Suite是一个Web应用程序集成攻击平台,它包含了一系列burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击,提高了整个攻击的效率。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。

工具简介:

OWASP Zed Attack Proxy是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。

三、主机安全

(一)主机扫描

1、Nexpose

工具简介:

Nexpose是领先的漏洞评估工具之一,是一项统一漏洞解决方案,可扫描网络以识别出在这些网络中运行的设备以及测试设备是否有漏洞。漏洞检查会识别出网络计算环境所有层面(包括在操作系统、数据库、应用程序和文件中)的安全短板。

  • 官网地址:https://www.rapid7.com/products/nexpose/
  • 工具属性:商业
  • 使用范围:包含漏洞、Web、数据库等应用
  • 使用点评:主机漏洞扫描

    2、绿盟 RSAS

    工具简介:

    绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System 简称:NSFOCUS RSAS)是绿盟科技结合多年的漏洞挖掘和安全服务实践经验,自主研发的新一代漏洞管理产品,它高效、全方位的检测网络中的各类脆弱性风险,提供专业、有效的安全分析和修补建议,并贴合安全管理流程对修补效果进行审计,最大程度减小受攻击面。

  • 官网地址:https://www.nsfocus.com.cn/html/2019/207_1009/66.html

  • 工具属性:商业
  • 使用范围:包含漏洞、Web、数据库等应用

    3、OpenVas

工具简介:

OpenVAS是开放式漏洞评估系统,也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器,包括一套网络漏洞测试程序,可以检测远程系统和应用程序中的安全问题。

  • 官网地址:https://openvas.org/
  • 工具属性:开源
  • 使用范围:包含漏洞、Web、数据库等应用
  • 使用点评:主机漏洞扫描

    4、Nessus(推荐)

    工具简介:

    Nessus作为目前全世界最多人使用的系统漏洞扫描与分析软件,其具有免费、威力强大、更新频繁并简易使用的特点,能够提供完整的系统漏洞扫描服务, 并随时更新漏洞数据库,更兼具在本机或远端上摇控, 进行系统的漏洞分析扫描,其内部调用机制能够根据系统的资源而自行调整,自动调度。

  • 官网地址:https://zh-cn.tenable.com/products/nessus

  • 工具属性:开源
  • 使用范围:包含漏洞、Web、数据库等应用
  • 使用点评:主机漏洞扫描

(二)端口扫描

1、Nmap(推荐)

工具简介:

业界最著名的端口扫描工具。适用于:Windows、Linux/Unix等操作系统;
基本功能有三个:一是探测一组主机是否在线;其次是扫描主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。

  • 官网地址:https://nmap.org/
  • 工具属性:开源
  • 使用访问:各类操作系统
  • 使用点评:端口扫描、主机发现,目前主流在用工具

四、安全编码

(一)代码扫描

1、Coverity

工具简介:

Coverity是美国Coverity公司研发、业界优秀静态代码分析工具,通过在编译过程中检查,可发现Pclint(C/C )和Findbugs(JAVA)等现有工具发现不了的深层次问题,优势非常明显,公司各个产品都已使用并受益匪浅。

2、Fortify SCA

工具简介:

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的

3、Findbugs

工具简介:

Findbugs是一款Java静态代码分析工具,与其他静态分析工具(如Checkstyle和PMD)不同,Findbugs 不注重样式或者格式,它专注于寻找真正的缺陷或者潜在的性能问题,它可以帮助java工程师提高代码质量以及排除隐含的缺陷。

4、SonarQube(推荐)

工具简介:

SonarQube是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。

5、Checkmarx Suite

工具简介:

Checkmarx是以色列研发的一款代码审计工具,是.NET开发的,只能在Windows下使用。

(二)代码审计

1、Seay

工具简介:

Seay是一款国产开源的PHP代码审计软件,2012年被oschina开源中国网站收录,2013年发布2.0版本。现已停止维护。

相关地址:https://github.com/f1tz/cnseay
工具属性:开源
使用范围:源代码

五、安装包安全

(一)病毒扫描

工具名称 工具属性
卡巴斯基 商业
趋势杀毒 商业
小红伞 商业

六、数据安全

(一)数据库安全检查

1、xSecure-DBScan

工具简介:

xSecure-DBScan提供丰富的检测库,可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞,并对检测出的漏洞,提供漏洞产生原因分析,有针对性的给出修复建议,以及修复漏洞所需的命令、脚本、执行步骤等。

2、SQLMap(推荐)

工具简介:

sqlmap是一款基于python编写的渗透测试工具,在sql检测和利用方面功能强大,支持多种数据库。

3、全知-知镜

工具简介:

一款通过智能分析网络流量,全面盘点系统敏感数据暴露面和流动情况,及时发现业务系统的脆弱点和数据流动风险的系统,系统能够提供多种特定场景的测评能力,帮助企业快速分析合规现状,定位数据账号风险、数据权限风险、暴露面风险、数据行为风险、数据出境风险等安全风险。

七、小结

以上仅做参考,部分工具为商用,工作中自行评估购买或使用免费工具替代,不同种类至少选择一款。

image.png

目录
相关文章
|
9天前
|
安全 前端开发 测试技术
如何选择合适的自动化安全测试工具
选择合适的自动化安全测试工具需考虑多个因素,包括项目需求、测试目标、系统类型和技术栈,工具的功能特性、市场评价、成本和许可,以及集成性、误报率、社区支持、易用性和安全性。综合评估这些因素,可确保所选工具满足项目需求和团队能力。
|
7天前
|
监控 网络协议 Java
一些适合性能测试脚本编写和维护的工具
一些适合性能测试脚本编写和维护的工具
|
8天前
|
安全 网络协议 关系型数据库
最好用的17个渗透测试工具
渗透测试是安全人员为防止恶意黑客利用系统漏洞而进行的操作。本文介绍了17款业内常用的渗透测试工具,涵盖网络发现、无线评估、Web应用测试、SQL注入等多个领域,包括Nmap、Aircrack-ng、Burp Suite、OWASP ZAP等,既有免费开源工具,也有付费专业软件,适用于不同需求的安全专家。
11 2
|
19天前
|
Web App开发 定位技术 iOS开发
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
20 1
|
1月前
|
Java 流计算
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
37 1
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
|
1月前
|
jenkins 测试技术 持续交付
提升软件测试效率的实用技巧与工具
【10月更文挑战第12天】 本文将深入探讨如何通过优化测试流程、引入自动化工具和持续集成等策略,来显著提高软件测试的效率。我们将分享一些实用的技巧和工具,帮助测试人员更高效地发现和定位问题,确保软件质量。
46 2
|
1月前
|
测试技术
黑盒功能测试工具UFT的使用
黑盒功能测试工具UFT的使用
36 0
黑盒功能测试工具UFT的使用
|
1月前
|
XML 网络安全 数据格式
Kali渗透测试:Windows事件管理工具wevtutil的使用方法(一)
Kali渗透测试:Windows事件管理工具wevtutil的使用方法(一)
|
2月前
|
测试技术
基于LangChain手工测试用例转App自动化测试生成工具
在传统App自动化测试中,测试工程师需手动将功能测试用例转化为自动化用例。市面上多数产品通过录制操作生成测试用例,但可维护性差。本文探讨了利用大模型直接生成自动化测试用例的可能性,介绍了如何使用LangChain将功能测试用例转换为App自动化测试用例,大幅节省人力与资源。通过封装App底层工具并与大模型结合,记录执行步骤并生成自动化测试代码,最终实现高效自动化的测试流程。
|
1月前
|
XML 网络安全 数据格式
Kali渗透测试:Windows事件管理工具wevtutil的使用方法(二)
Kali渗透测试:Windows事件管理工具wevtutil的使用方法(二)