如果說你的資產有可能被國內外的攻擊者盯上并沒有把你嚇得半死，那就不必讀這篇文章。如果你與我們大家一樣也要面對現實，那么通過一名真正的專業(yè)人士在滲透測試方面給出的一些靠譜的預防性建議，試著采取一些挽救措施。

我們采訪了滲透測試工具設計師/編程員/愛好者Evan Saez，他是紐約數字取證和網絡安全情報公司LIFARS的網絡威脅情報分析師，請他談一談最新最好的滲透測試工具，以及如何使用這類工具。

市面上現有的滲透測試工具

本文介紹的滲透測試工具包括：Metasploit、Nessus安全漏洞掃描器、Nmap、Burp Suite、OWASP ZAP、SQLmap、Kali Linux和Jawfish(Evan Saez是Jawfish項目的開發(fā)者之一)。這些工具為保護貴企業(yè)安全起到了關鍵作用，因為這些也正是攻擊者使用的同一種工具。要是你沒找到自己的漏洞并及時堵上，攻擊者就會鉆空子。

Metasploit是一種框架，擁有龐大的編程員愛好者群體，廣大編程員添加了自定義模塊，測試工具可以測試眾多操作系統和應用程序中存在的安全漏洞。人們在GitHub和Bitbucket上發(fā)布這些自定義模塊。與GitHub一樣，Bitbucket也是面向編程項目的在線軟件庫。Saez說：“Metasploit是最流行的滲透測試工具。”

相關鏈接：http://www.metasploit.com

Nessus安全漏洞掃描器是一款備受歡迎的、基于特征的工具，可用于查找安全漏洞。Saez說：“Nessus只能將掃描結果與收錄有已知安全漏洞特征的數據庫進行比對。”

相關鏈接：http://www.tenable.com/products/nessus-vulnerability-scanner

Nmap網絡掃描器讓滲透測試人員能夠確定企業(yè)在其網絡上擁有的計算機、服務器和硬件的類型。這些機器可以通過這些外部探測來查明，這本身就是個安全漏洞。攻擊者利用這些信息為攻擊奠定基礎。

相關鏈接：https://nmap.org

Burp Suite是另一款備受歡迎的Web應用程序滲透測試工具。據Burp Suite Web安全工具廠商PortSwigger聲稱，它可以標繪并分析Web應用程序，查找并利用安全漏洞。

相關鏈接：http://portswigger.net/burp/

OWASP ZAP(Zed攻擊代理)是來自非營利性組織OWASP(開放Web應用程序安全項目)的Web應用程序滲透測試工具。ZAP提供了自動和手動的Web應用程序掃描功能，以便服務于毫無經驗和經驗豐富的專業(yè)滲透測試人員。 ZAP是一款如今放在GitHub上的開源工具。

相關鏈接：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

SQLmap可自動查找SQL注入攻擊漏洞。然后，它會利用那些安全漏洞，全面控制數據庫和底層服務器。

相關鏈接：http://sqlmap.org

Kali Linux是一款一體化工具，包含一套專用的預安裝測試(以及安全和取證分析)工具。Saez說：“它擁有的工具面向對安全一無所知的人。”

相關鏈接：https://www.kali.org

不像大多數工具基于特征，Jawfish是一款使用遺傳算法的滲透測試工具。Saez說：“遺傳算法會根據搜索結果來尋找目標。”基于搜索標準，隨著Jawfish逐漸靠近它所尋找的目標，這里是安全漏洞，它就能找到結果。Jawfish不需要特征數據庫。

相關鏈接：https://jawfish.io

如何使用滲透測試工具?

Metasploit、Nessus安全漏洞掃描器、Nmap、Burp Suite、OWASP ZAP、SQLmap、Kali Linux和Jawfish各有各的用途。大多數企業(yè)需要多款工具。Metasploit既提供了Ruby接口，又提供了CLI，那樣你的滲透測試人員可以選擇其中一種，這取決于你想要完成什么任務。Saez說：“Ruby接口比較適用于測試非常大的網絡，因為在CLI中運行命令對這種測試任務而言太過枯燥乏味。”

Nessus安全漏洞掃描器可以檢查計算機和防火墻，尋找敞開的端口、是否安裝了可能存在漏洞的軟件。大型技術解決方案提供商ICF International公司的首席技術專家Garrett Payer說：“就滲透測試而言，這款工具用處不大，因為它不夠精準，通過前門進入，與操作系統進行通信才能確定安全漏洞。這款工具通常用于合規(guī)工作，完全用來確定補丁是不是最新版本。”

Nmap可以用來搜索主機、敞開的端口、軟件版本、操作系統、硬件版本及安全漏洞，通常標繪網絡的攻擊面。它在滲透測試的每個階段都很有用，只要你有一組新的主機、端口及其他資源需要識別，比如進入一個新的網段時。Payer說：“這款工具擁有腳本功能，適用于枚舉用戶訪問。”

Burp Suite可與你的Web瀏覽器結合使用，標繪Web應用程序。Burp Suite里面的工具可發(fā)現應用程序功能和安全漏洞，然后發(fā)動特定的攻擊。Burp Suite可以自動執(zhí)行重復性功能，同時在滲透測試人員需要控制個別選項以便測試的地方為用戶保留了選擇。Payer說：“這一款功能非常豐富的工具可使用代理，探究分析跨站腳本及其他安全漏洞;它提供了一定的透明度，讓人們清楚網站實際上將什么數據發(fā)送給服務器。”

OWASP ZAP可執(zhí)行眾多掃描和測試，包括端口掃描、蠻力掃描和模糊測試，以便識別不安全的代碼。滲透測試人員使用界面直觀的GUI，這種GUI類似微軟應用程序或某些Web設計工具(比如Arachnophilia)的GUI。一旦你在網站上瀏覽并執(zhí)行活動，你再次進入ZAP，就可以查看代碼、在那些活動過程中什么數據泄露。被設置成代理服務器后，OWASP ZAP控制它處理的網絡流量。Payer說：“這款工具比Burp Suite更新穎，功能不是同樣豐富，卻是免費開源的。它提供了一小批功能和GUI，對剛接觸Web應用程序滲透測試的人來說倒是很有用。”

可以利用SQLmap，通過命令行中的python命令，測試代碼沒編好的網站和與數據庫連接的URL。如果數據庫信息的異常URL(鏈接)導致了錯誤代碼，那么該鏈接就很容易受到攻擊。SQLmap安裝在虛擬機里面的Ubuntu Linux上。Payer說：“作為另一種支持腳本的工具，SQLmap可以查明編程員是否對輸入進行了參數化之類的問題。”Payer解釋，如果沒有進行參數化，滲透測試人員或攻擊者就可以轉發(fā)名稱、分號或SQL命令，然后在數據庫上運行，從而獲得控制權。

安裝Kali Linux后，可以打開與之捆綁的十多個滲透測試/漏洞利用工具中的任何一個工具。Saez說：“Kali Linux隨帶大量的用戶說明文檔。”

你可以試一試使用GUI這種形式的Jawfish滲透測試工具。只要輸入目標服務器的IP地址、該IP地址下易受攻擊的網站地址，然后輸入安全漏洞、方法和目標文本。你成功破解了地址后，該工具會返回目標文本。這個工具是全新工具，尚未經企業(yè)應用測試。

比較、選擇、使用、打補丁

你應該根據最要緊的安全漏洞位于何處來選擇工具。一旦找到了自己的安全漏洞，要是有了最新補丁，及時打上補丁，要是沒有補丁，就要注意加強防護，這點很要緊。

http://www.networkworld.com/article/2944811/network-security/8-penetration-testing-tools-that-will-do-the-job.html