由於網際網路的發展和網絡經濟的興起,越來越多的企業把服務或交易平台放到了網際網路上,但是這些暴露在網絡上的資源往往防禦能力較弱,這也給了網絡黑客總有可乘之機,因此,滲透測試被越來越多的企業和組織所需要,滲透測試就是模擬真實黑客的攻擊手法對目標網站或主機進行全面的安全評估,比黑客更早的發現漏洞,進一步提高網絡安全防護能力。但是目前市面上的滲透測試的工具過多,很多用戶不知道要如何選擇?本期,小編對主要的滲透測試工具進行了梳理,並整理了工具的優劣,有需要的可以一起來了解一下。
滲透測試的常見工具:
Invicti Pro
Invicti 是一種自動化但完全可配置的Web應用程式安全掃描程序,使您能夠掃描網站、Web 應用程式和 Web 服務,並識別安全漏洞。
BurpSuite
與Web瀏覽器配合使用,可發現給定App的功能和安全問題,是發起定製攻擊的基礎。目前,免費版本功能很有限,但付費版本提供全面的網絡爬取和掃描功能(支持超過100個漏洞——囊括OWASP十大)、多攻擊點、基於範圍的配置。關於此工具最常見的評價是,它可用於自動化重複功能,提供App與伺服器互動的良好視圖。
Nmap
Nmap以隱秘的手法,避開闖入檢測系統的監視,並儘可能不影響目標系統的日常操作。同時它還提供防火牆規避和欺騙功能。
Metasploit Pro
Metasploit是一款開源的安全漏洞檢測工具,可以幫助安全和IT專業人士識別安全性問題,驗證漏洞的緩解措施,並管理專家驅動的安全性進行評估,提供真正的安全風險情報。這些功能包括智能開發,代碼審計,Web應用程式掃描,社會工程。
cobalt strike
Cobalt Strike 是一款GUI的框架式滲透工具,集成了埠轉發、服務掃描,自動化溢出,多模式埠監聽,win exe木馬生成,win dll木馬生成,java木馬生成,office宏病毒生成,木馬捆綁;釣魚攻擊包括:站點克隆,目標信息獲取,java執行,瀏覽器自動攻擊等等。
AWVS
Acunetix Web Vulnerability Scanner(簡稱 AWVS)是一款知名的網絡漏洞掃描工具,它通過網絡爬蟲測試你的網站安全,檢測流行安全漏洞。
Fortify
Fortify 是一個靜態的、白盒的軟體原始碼安全測試工具。它通過內置的五大主要分析引擎:數據流、語義、結構、控制流、配置流等對應用軟體的原始碼進行靜態的分析,通過與軟體安全漏洞規則集進行匹配、查找,從而將原始碼中存在的安全漏洞掃描出來,並可導出報告。
OWASP ZAP
是一款web application 集成滲透測試和漏洞工具,是免費開源跨平台的。OWASP_ZPA 支持截斷代理,主動、被動掃描,Fuzzy,暴力破解並且提供API。
darkangel
DarkAngel 是一款全自動白帽漏洞掃描器,從hackerone、bugcrowd資產監聽到漏洞報告生成、企業微信通知。
knife
knife是一個Burp Suite插件,主要目的是對Burp做一些小的改進,讓使用更方便。就像用一把小刀對Burp進行小小的雕刻,故名「knife」。
HaE
HaE 是基於 BurpSuite Java插件API 開發的請求高亮標記與信息提取的輔助型框架式插件,該插件可以通過自定義正則的方式匹配響應報文或請求報文,並對滿足正則匹配的報文進行信息高亮與提取。
fscan
一款內網綜合掃描工具,方便一鍵自動化、全方位漏掃掃描。支持主機存活探測、埠掃描、常見服務的爆破、ms17010、redis批量寫公鑰、計劃任務反彈shell、讀取win網卡信息、web指紋識別、web漏洞掃描、netbios探測、域控識別等功能。
katana
katana 是 projectdiscovery 項目中的一個網頁連結抓取工具,可以自動解析js文件。新一代爬行框架。
Viper
是一款圖形化內網滲透工具,將內網滲透過程中常用的戰術及技術進行模塊化及武器化。能夠集成殺軟繞過,內網隧道,文件管理,命令行等基礎功能。支持在瀏覽器中運行原生msfconsole,且支持多人協作。當前已集成70+個模塊,覆蓋初始訪問/持久化/權限提升/防禦繞過/憑證訪問/信息收集/橫向移動等大類。目標是幫助紅隊工程師提高攻擊效率,簡化操作,降低技術門檻。
AppInfoScanner
一款適用於以HW行動/紅隊/滲透測試團隊為場景的移動端(Android、iOS、WEB、H5、靜態網站)信息收集掃描工具,可以幫助滲透測試工程師、攻擊隊成員、紅隊成員快速收集到移動端或者靜態WEB站點中關鍵的資產信息並提供基本的信息輸出,如:Title、Domain、CDN、指紋信息、狀態信息等。
apolloscaner
自動化巡航掃描框架(可用於紅隊打點評估)
John The Ripper
John the Ripper 是 Kali Linux 上流行的密碼破解工具。但需要注意的是,如果你對社區增強版不感興趣,可以用於商業用途的專業版。
OWASP Amass
是OWAPS下一款深度攻擊面測繪和資產發現的工具
Ffuf
使用Go語言編寫的超快速Web模糊測試工具
CrackQL
CrackQL 是一種通用的GraphQL滲透測試工具,它利用較差的速率限制和成本分析控制來進行暴力憑據和模糊操作。
SSRF Sheriff
一款使用Go語言編寫的SSRF簡易測試工具。
Nuclei
Nuclei使用零誤報的定製模板向目標發送請求,同時可以對主機進行批量快速掃描。Nuclei提供TCP、DNS、HTTP、FILE等各類協議的掃描,通過強大且靈活的模板,可以使用Nuclei模擬各種安全檢查。
Cyclop
Cyclops是一款具有XSS檢測功能的瀏覽器
smuggler
用 Python 3編寫的HTTP請求走私測試工具
Aircrack-ng
Aircrack-ng 是評估 WiFi 網絡安全性的工具集合。它不僅限於監控和獲取信息——還包括破壞網絡(WEP、WPA 1 和 WPA 2)的能力。
SQLMap
SQLmap可以自動化利用SQL注入漏洞的過程,並幫助你接管資料庫伺服器。
二、滲透測試只用工具就夠了嗎?
滲透測試通常分為:自動滲透測試和人工測試。
自動滲透測試是以自動化工具的方式進行測試,優勢是減少測試時間和成本,缺點是大多數工具屬於安全掃描,並非真正的滲透攻擊測試,而且,測試結果取決於滲透測試工具本身的好壞以及用戶的知識水平,可能會有錯漏關鍵問題。
相比於自動滲透測試,人工滲透測試的優勢在於會更加靈活,經驗、創造力和好奇心是滲透測試的核心,而這都是專業滲透人員獨有的,因此在滲透測試時可以發現自動測試發現不到的風險,比如盲SQL注入攻擊、邏輯缺陷和訪問控制漏洞。而且還可以專家隨時審查報告。但是對於自動滲透測試,需要耗費的成本和時間也較高。
這就是為什麼許多企業執行這種測試只是為了滿足合規和監管要求。如果企業沒法設立內部紅隊或滲透測試團隊,會選擇第三方服務提供商用於滿足測試需求,一般第三方會選擇通過工具+人工的方式,通常的流程是:
首先使用自動化的安全掃描工具,完成初步的信息收集、服務判斷、版本判斷、補丁判斷等工作。
然後由人工的方式對安全掃描的結果進行人工的確認和分析。並且根據收集的各類信息進行人工的進一步滲透測試深入。
結合自動化測試和人工測試兩方的結果,測試人員需整理滲透測試服務的輸出結果並編制滲透測試報告,最終提交客戶和對報告內容進行溝通,並對發現的問題提出整改建議,從而降低企業信息系統被攻擊的機率。