保護系統(tǒng)的 25 種優(yōu)秀開源安全工具
概述
安全工具是允許我們發(fā)現軟件漏洞的計算機程序。惡意用戶使用它們來獲得對信息系統(tǒng)、企業(yè)網絡甚至個人工作站的未經授權的訪問。另一方面,安全研究人員使用這些工具來查找軟件中的錯誤,以便公司可以在漏洞利用之前對其進行修補。壞人和滲透測試專業(yè)人士都在使用各種各樣的開源安全工具。今天整理了一份清單,列出了在計算機安全和其他相關領域廣泛使用的 25 個此類程序。
一些安全工具被廣泛用于提升安全權限,而有許多工具旨在提供針對此類漏洞的防御能力。今天分享的開源安全工具,以便您可以清楚地了解與標準安全相關的問題。
1、Metasploit
毫無疑問,Metasploit 項目是現代最好的安全項目之一。它的核心是 Metasploit 框架,這是一個非常強大的工具,允許用戶輕松管理和維護他們的安全工作流程。核心解決方案可在 GitHub 中免費獲得。
因此,感興趣的用戶可以自己查看源代碼并更好地了解它的工作原理。由于其大量的特性和功能,大多數滲透測試人員使用此框架來執(zhí)行專業(yè)的安全審計任務。
Metasploit 的特點
- Metasploit 通過其強大的模塊幫助安全專業(yè)人員自動化滲透測試的各個階段。
- 它允許用戶執(zhí)行復雜的網絡攻擊,例如網站克隆、跨站點腳本和網絡釣魚活動。
- Metasploit 框架是使用 Ruby腳本語言編寫的,這使得擴展這個工具變得非常容易。
- 企業(yè)可以選擇使用 Metasploit 的高級版本,以確保最大的可操作性和技術支持。
2、 Nmap
Nmap 是一個引人注目的網絡掃描程序,被安全專業(yè)人員和惡意用戶廣泛使用。它允許我們掃描主機的開放端口、易受攻擊的服務和操作系統(tǒng)檢測。大多數黑客會在攻擊的開始階段使用 Nmap,它是一個命令行工具,但有一個很好的 GUI 界面,叫做Zenmap。此外,大量的 Nmap 命令可幫助人們發(fā)現有關遠程用戶和網絡的敏感信息。
Nmap的特點
- Nmap 使用戶能夠通過發(fā)送 TCP/IP 網絡請求來發(fā)現計算機網絡中的可用主機。
- 它使枚舉端口列表和識別某些端口是打開還是過濾變得容易。
- 安全專業(yè)人員可以獲得重要信息,例如操作系統(tǒng)版本、運行的服務以及 IDS 機制的存在。
- NSE(Nmap 腳本引擎)允許用戶使用 Lua 編程語言編寫自定義腳本。
3、OSSEC
OSSEC 或開源基于主機的入侵檢測系統(tǒng)是一種現代 IDS,可幫助專業(yè)人員發(fā)現企業(yè)服務器中的安全問題。它允許用戶分析系統(tǒng)日志、執(zhí)行完整性檢查、監(jiān)控 Windows 注冊表等等。OSSEC 還使我們能夠發(fā)現任何潛在的 rootkit 并提供出色的警報機制。由于其多樣化的功能和豐富的功能集,許多公司已經開始使用 OSSEC 來檢測難以發(fā)現的問題。
OSSEC的特點
- OSSEC 允許安全專業(yè)人員通過檢測系統(tǒng)文件和配置中的未經授權的更改來維護行業(yè)合規(guī)性。
- OSSEC 的主動響應功能可確保在出現安全漏洞時立即采取措施。
- 它提供有關入侵檢測的實時警報,并且可以很容易地與現有的 SIM(安全事件管理)解決方案集成。
- 該項目的開源性質允許開發(fā)人員根據需要自定義或修改軟件。
4、 OWASP ZAP
OWASP ZAP 或 Zed Attack Proxy 是一款出色的安全掃描程序,適用于現代 Web 應用程序。它由國際公認的安全專家團隊開發(fā)和維護。Zed Attack Proxy 允許管理員發(fā)現大量常見的安全漏洞。它使用 Java 編程語言編寫,并提供圖形和命令行界面。此外,您無需成為經過認證的安全專家即可 使用此軟件,因為即使是初學者也非常簡單。
OWASP ZAP 的特點
- Zed Attack Proxy 可以在開發(fā)階段和測試階段發(fā)現 Web 應用程序中的安全漏洞。
- 它公開了引人注目的基于 REST 的 API,允許管理員輕松自動化復雜的安全掃描工作流程。
- ZAP 市場提供了大量強大的插件,可以增強該程序的功能。
- 其開源許可證允許開發(fā)人員自定義此 Linux 漏洞掃描程序,而無需任何法律麻煩。
5、Security Onion
由于其豐富的功能集和強大的監(jiān)控工具,Security Onion 是企業(yè)環(huán)境中最好的安全平臺之一。它是一個獨立的 Linux 發(fā)行版,專為入侵檢測、日志管理和安全評估而開發(fā)。Security Onion 預裝了大量開源安全工具,如 NetworkMiner、Logstash 和 CyberChef。我本人非常喜歡這個以安全為中心的 Linux 發(fā)行版,因為它易于使用。它是尋求執(zhí)行安全標準的企業(yè)的完美解決方案。
安全洋蔥的特點
- 它是針對企業(yè)網絡安全的成熟 Linux 發(fā)行版,而不是獨立的掃描應用程序。
- 即使對于以前很少或沒有安全工具經驗的人來說,Security Onion 也非常容易安裝和設置。
- 它可以捕獲和分析完整的網絡數據包、會話數據、事務數據、網絡日志和 HIDS 警報。
- 該 Linux 環(huán)境的開源特性使其易于根據企業(yè)需求進行定制。
6、OpenVAS
OpenVAS 是一個安全測試套件,包含大量用于漏洞評估的服務和工具。它最初是Nessus的一個分支,但后來發(fā)展成為一個成熟的漏洞掃描框架。該軟件套件的一個出色賣點是能夠從基于 Web 的儀表板管理要求苛刻的安全服務。OpenVAS 在定位網絡服務器和基礎設施中的缺陷時效果很好。此外,它的開源特性確保用戶可以不受限制地使用該框架。
OpenVAS 的特點
- 此 Linux 漏洞掃描程序的標準基于 Web 的儀表板非常直觀且易于操作。
- 它提供有關它發(fā)現的漏洞的深入信息以及 CVSS 評分和風險評級。
- OpenVAS 還提供了關于如何根據其影響克服安全漏洞的優(yōu)秀建議。
- 第三方開發(fā)人員可以使用 Nessus 攻擊腳本語言或 NASL 輕松擴展此框架。
7、Wireshark
Wireshark 是一個開源數據包分析器,允許用戶查看網絡流的非常詳細的信息。它是用于網絡故障排除和分析的最佳開源安全工具之一。惡意用戶經常使用 Wireshark 捕獲網絡數據包并分析它們以獲取可用的敏感信息。它是一個多平臺應用程序,帶有適用于不同Linux 和 BSD 發(fā)行版的現成軟件包。總體而言,對于使用 tcpdump 或 tshark 等工具的人來說,這是一個不錯的選擇。
Wireshark 的特點
- Wireshark 可以捕獲實時數據包并對其進行分析以獲取諸如明文密碼之類的可讀信息。
- 它可以保存數據包,從保存文件中導入它們,過濾它們,甚至為它們著色以獲得更好的視覺表示。
- Wireshark 是使用 C 和 C++ 編程語言編寫的,這使得它非常快速和可移植。
- 它采用開源 GNU GPL 許可證,允許用戶查看源代碼并進行進一步的定制。
8、Nikto
Nikto 是一款引人注目的網絡服務器掃描儀,自發(fā)布以來就廣受歡迎。它是一個命令行工具,允許管理員檢查服務器配置錯誤、過時的包和有缺陷的 CGI 等等。Nikto 的輕量級特性主要促成了它的成功。許多現代滲透測試人員使用 Nikto 作為 Zed Attack Proxy (ZAP) 等大型服務器掃描儀的替代品。Nikto 是使用 Perl 編寫的,可以在大多數類 Unix 系統(tǒng)上完美運行。
Nikto的特點
- Nikto 內置了對 HTTP 代理、OpenSSL、LibWhisker 的 IDS 編碼以及與 Metasploit 的集成的支持。
- 其強大的模板引擎可以輕松創(chuàng)建自定義掃描報告并將其保存為 HTML、純文本或 CSV 文檔。
- 管理員可以使用預構建的容器映像或自定義配置輕松地將 Nikto 部署為 docker 容器。
- Nikto 免費提供的源代碼允許開發(fā)人員根據需要擴展或修改軟件。
9、W3af
W3af 是用于現代 Web 應用程序的功能強大的安全測試框架。它是一個用 Python 編寫的開源項目,為開發(fā)人員提供了極好的定制機會。W3af 可以發(fā)現 200 多種安全漏洞,包括 SQL 注入、跨站點腳本、CSRF、操作系統(tǒng)命令和基于堆棧的緩沖區(qū)溢出。它是一個真正的跨平臺軟件,非常容易擴展。這是其在安全專業(yè)人士中越來越受歡迎的主要原因之一。
W3af 的特點
- W3af 具有極強的可擴展性,并提供了大量預構建的插件來增加功能。
- 它帶有一個集中的知識庫,可以有效地存儲所有漏洞和信息披露。
- W3af 強大的模糊測試引擎允許用戶將有效負載注入到 HTTP 請求的任何組件中。
- 用戶可以在Linux 命令外殼、數據文件中或直接通過電子郵件接收其 Web 掃描的輸出。
10、 Wapiti
Wapiti 是另一個非常強大的基于 Web 的應用程序的安全掃描程序。它執(zhí)行黑盒掃描以獲取所有可能 URL 的列表,一旦成功,它將嘗試通過向它們注入有效負載來查找易受攻擊的腳本。因此,它也像一個 Fuzzer。Wapiti 可用于檢測多種類型的 Web 漏洞,例如 XSS、服務器端請求偽造 (SSRF)、數據庫注入和文件泄露。總的來說,它是一個非常強大的程序,可以很容易地找到大量的錯誤。
Wapiti 的特點
- Wapiti 允許多種類型的身份驗證方法以及隨時暫停或恢復掃描的能力。
- 它可以非常快速地掃描 Web 應用程序,并根據用戶偏好提供不同級別的詳細信息。
- 用戶可以選擇通過在其Linux 終端中對它們進行顏色編碼來突出顯示任何報告的漏洞。
- Wapiti 利用 Nikto 漏洞數據庫來查明潛在風險文件的存在。
11、CipherShed
CipherShed 是一種現代加密軟件,最初是現已解散的 TrueCrypt 項目的一個分支。它旨在為您的敏感數據提供一流的安全性,并可用于保護個人和企業(yè)系統(tǒng)。這個跨平臺的應用程序可以在包括Linux 和 FreeBSD在內的所有主要操作系統(tǒng)上順利運行。此外,該項目的開源性質確保開發(fā)人員可以輕松訪問和修改源代碼,如果他們愿意的話。
CipherShed 的特點
CipherShed 帶有一個直觀的 GUI 界面,這使得該軟件的操作對于專業(yè)人士來說非常容易。
它非常輕巧,允許用戶非常快速地創(chuàng)建保存敏感信息的安全容器。
CipherShed 允許用戶卸載加密卷,以便將它們移動到安全的地方。
加密驅動器可以在不同系統(tǒng)之間傳輸,而不會出現任何兼容性問題。
12、 Wfuzz
Wfuzz 是最好的開源安全工具之一,可以有效地暴力破解基于 Web 的應用程序。它是使用 Python 開發(fā)的,并提供了一個簡單的命令行界面來管理程序。Wfuzz 可以暴露多種類型的漏洞,包括 SQL 注入、LDAP 注入和跨站點腳本。
滲透測試人員經常使用這個工具來暴力破解 HTTP GET 和 POST 參數,以及模糊 Web 表單。因此,如果您正在尋找用于 Web 應用程序的輕量級漏洞掃描程序,Wfuzz 可能是一個可行的解決方案。
Wfuzz的特點
- 它可以執(zhí)行 HEAD 掃描以更快地公開資源,并支持有效載荷的多種編碼方法。
- Wfuzz 內置了對 HTTP 代理、SOCK、cookie 模糊、時間延遲和多線程的支持。
- 用戶可以將輸出結果保存在 HTML 文件中或將其導出到更強大的 Linux 漏洞掃描程序。
- 它提供了出色的文檔來幫助用戶盡快啟動和運行。
13、 OSQuery
OSQuery 是現代系統(tǒng)的應用程序,可用于檢測、監(jiān)視和分析操作系統(tǒng)中的更改。它由 Facebook 的工程團隊開發(fā),依靠 SQL 查詢語言來查看安全事件的變化。
管理員可以使用 OSQuery 監(jiān)控低級系統(tǒng)詳細信息,例如正在運行的進程、網絡流、內核模塊、硬件更改,甚至是文件哈希。該工具的源代碼可在 GitHub 上免費獲得。因此,開發(fā)人員可以對其進行自定義以符合企業(yè)要求。
OSQuery 的特點
- 它公開了一個名為 osqueryi 的現代交互式控制臺,允許用戶嘗試強大的查詢并探索系統(tǒng)詳細信息。
- OSQuery 帶有數十個內置表,可加速診斷系統(tǒng)更改和性能問題。
- 強大的監(jiān)控守護進程 osqueryd 使管理員能夠為大規(guī)模基礎設施安排執(zhí)行查詢。
- OSQuery 是使用模塊化代碼庫構建的,可保證一流的性能并提供出色的文檔。
14、SonarQube
SonarQube 是安全專業(yè)人士最好的開源安全測試工具之一,因為它具有豐富的功能集和出色的性能。它使用 Java 編程語言編寫,允許研究人員發(fā)現 Web 應用程序的一些常見威脅。
SonarQube 可以檢測跨站點腳本漏洞、拒絕服務 (DOS) 攻擊和 SQL 注入等。它可以審查網站的編碼問題,并與Jenkins等工具很好地集成。總體而言,它對于安全從業(yè)者和 Web 應用程序開發(fā)人員來說都是一個有用的工具。
SonarQube 的特點
- SonarQube 可以使用強大的靜態(tài)代碼分析規(guī)則在 Web 應用程序中發(fā)現難以捕捉的邏輯錯誤。
- 雖然是用 Java 編寫的,但它可以審查用超過 25 種不同編程語言編寫的應用程序。
- 它還可以用于審查項目存儲庫并輕松與 GitHub 和 Azure DevOps 等平臺集成。
- SonarQube 除了開源版本外,還為企業(yè)和開發(fā)人員提供了幾個付費版本。
15、 Snort
Snort 是一個強大的入侵檢測系統(tǒng),目前由 Cisco 維護。它允許安全測試人員實時捕獲和分析網絡流量。它可以檢測多種類型的 Web 漏洞,包括但不限于隱形掃描、語義 URL 攻擊、緩沖區(qū)溢出和操作系統(tǒng)指紋。它為不熟悉數據包分析的人提供了出色的文檔。因此,您可以輕松設置并開始測試網絡缺陷。
Snort的特點
- Snort 可以配置為三種不同的模式,作為嗅探器、數據包記錄器或網絡入侵檢測機制。
- 它采用寬松的 GNU GPL 許可證,因此開發(fā)人員可以輕松地向該軟件添加自己的修改。
- Snort 與多個第三方報告和分析工具完美集成,包括 BASE、Snorby 和 Sguil。
- 思科經常為這個入侵檢測系統(tǒng)推出更新的功能和錯誤修復。
16、 VeraCrypt
VeraCrypt 無疑是保護敏感數據的最佳開源安全工具之一。它是一個開源磁盤加密平臺,允許用戶即時加密他們的Linux 分區(qū)。與 CipherShed 一樣,它也是現已停止的 TrueCrypt 項目的一個分支。
VeraCrypt 通過使用 C、C++ 和匯編語言開發(fā)運行時來改善許多加密軟件面臨的性能問題。而且,它完全是跨平臺的。因此,您可以在所有機器上使用此工具,而不會遇到兼容性問題。
VeraCrypt 的特點
- VeraCrypt 通過創(chuàng)建可以正常安裝在 Linux 文件系統(tǒng)上的虛擬加密磁盤來工作。
- 它具有對并行化和流水線的內置支持,可確保磁盤操作不會減慢。
- VeraCrypt 提供了一些極其先進的安全功能,例如隱藏卷和隱藏操作系統(tǒng)。
- 它提供了多種加密格式,包括透明加密、自動加密和實時加密。
17、 Moloch
Moloch 是近來最有前途的開源安全測試工具之一。它是一個強大的平臺,有助于捕獲 TCP/IP 數據包,并使用戶能夠從傳統(tǒng)的數據庫管理系統(tǒng)管理這些數據包。這個開源項目由于其減輕常見網絡威脅的簡單方法而在許多測試人員中越來越受歡迎。Moloch 還提供廣泛的高質量文檔,以幫助人們開始使用此應用程序。
Moloch的特點
- Moloch 具有極強的可擴展性,可以部署在每秒處理數千兆流量的企業(yè)集群上。
- 它公開了一組強大的 API,可以輕松地將 Moloch 與其他開源安全工具輕松集成。
- 管理員可以使用集中式 GUI 界面輕松地將搜索結果導出為 PCAP 或 CSV 文檔。
- Moloch 完全是跨平臺的,并為包括 Ubuntu 在內的多個 Linux 發(fā)行版提供預構建的二進制文件。
18、 Aircrack-ng
Aircrack-ng 是黑客用來繞過無線網絡身份驗證的事實上的軟件套件。它是開源安全工具的集合,其中包括嗅探器、密碼破解器和分析工具等。Aircrack-ng 允許用戶使用統(tǒng)計分析和字典攻擊等多種方法破解 WEP 和 WPA/WPA-2 憑據。與其他安全工具一樣,許多專業(yè)人士也使用 Aircrack-ng 來檢查無線網絡的完整性。
Aircrack-ng 的特點
- 它支持多種類型的網絡攻擊,包括重放攻擊、數據包注入、取消身份驗證等。
- Aircrack-ng 提供的所有工具都通過支持繁重腳本的多功能命令行界面進行控制。
- Aircrack-ng 在大多數 Linux 發(fā)行版上都很容易獲得,而且從源代碼編譯也相當容易。
- 該應用程序套件的開源代碼庫使檢查和添加新功能變得容易。
19、 Tcpdump
Tcpdump 是一個簡單但功能非常強大的數據包嗅探器和網絡分析器,適用于專業(yè)的滲透測試人員。它的有效性在行業(yè)中得到了證明,在剖析捕獲的網絡數據包時,它仍然是許多人的首選。這種多平臺工具因其輝煌的歷史而備受追捧,并推動了許多現代嗅探器(如 Wireshark)的開發(fā)。如果你是一個對網絡研究領域感興趣的開源開發(fā)者,你可以使用這個工具學到很多東西。
Tcpdump 的特點
- Tcpdump 是一個命令行工具,可以使用Linux shell 腳本和其他編程語言輕松編寫腳本。
- 用戶可以導入預先存儲的數據包并以多種格式顯示,包括 HEX 和 ASCII 等。
- 此數據包嗅探器有許多備受推崇的文檔,包括整本書和 Linux 手冊。
- 您可以查看源代碼以更深入地了解 Tcpdump 的工作原理,甚至可能有助于其開發(fā)。
20、SQL映射
SQLMap 是一個優(yōu)秀的開源工具,允許管理員在他們的網站和應用程序中搜索 SQL 注入漏洞。這個免費但功能強大的應用程序提供了一個強大的測試引擎,可以發(fā)現多種類型的 SQL 漏洞,包括基于時間、基于錯誤和基于布爾值的盲注等。
管理員可以輕松轉儲表以對數據進行仔細檢查。此外,此 Linux 漏洞掃描程序的免費代碼庫確保第三方開發(fā)人員可以根據需要添加額外的功能。
SQLMap的特點
- SQLMap 支持幾乎所有主要的 DBMS,包括 MySQL、Oracle 數據庫、MsSQL、Firebird、MariaDB、IRIS 和 IBM DB2。
- 它是一個命令行工具,支持自動密碼識別、標準身份驗證和字典攻擊。
- SQLMap 可用于通過連接到 Metasploit 框架的 Meterpreter 有效負載來提升數據庫權限。
- 這個開源應用程序以手冊、視頻和強大的問題跟蹤工具的形式提供了出色的文檔。
21、Zeek
Zeek 是一個引人注目的網絡分析框架,已經存在了很長時間。這種入侵檢測機制最初被稱為 Bro。它是探索個人或企業(yè)網絡異常的最佳開源安全工具之一。Zeek 通過捕獲所有網絡活動的日志來工作,而不是像許多傳統(tǒng)的 IDS 工具那樣依賴簽名。安全測試人員可以通過手動查看這些數據或通過安全和信息事件管理 (SIEM) 系統(tǒng)來分析這些數據。
Zeek的特點
- Zeek 因其靈活且適應性強的特性集而適用于測試大型企業(yè)基礎設施。
- 它使用高級語義分析技術提供對所觀察網絡的深入洞察。
- 大量預構建的附加組件可以輕松地為該網絡分析軟件添加額外的功能。
- Zeek 為企業(yè)和開發(fā)人員提供多種構建,包括 LTS 版本、功能版本和開發(fā)版本。
22、 Kali Linux
許多人同意Kali Linux可以說是專業(yè)人士最好的開源安全測試工具之一。它是一個基于 Debian 的 Linux 發(fā)行版,帶有現代滲透測試所需的所有基本工具。這就是為什么很多惡意黑客使用 Kali 作為他們的基礎系統(tǒng)的原因。無論您是經過認證的專業(yè)人士還是初級安全愛好者,掌握 Kali Linux 都將幫助您輕松探索未知領域。
Kali Linux 的特點
- Kali Linux 可在多種平臺上使用,包括基于 ARM 的系統(tǒng)和 VMware 虛擬機。
- 用戶可以根據個人喜好創(chuàng)建實時安裝,并使用多種加密機制進行保護。
- 它允許測試人員通過從大量元包中進行選擇來構建自定義滲透測試環(huán)境。
- 您甚至可以使用Linux Deploy應用程序在基于 Android 的智能手機上運行 Kali,并根據需要對環(huán)境進行 chroot。
23、GRR——谷歌快速響應
GRR 或 Google Rapid Response 是 Google 開發(fā)的一個引人注目的事件響應框架,用于在遠程環(huán)境中維護實時取證分析作業(yè)。它由用 Python 編寫的服務器和客戶端組成。客戶端或代理部分部署在目標系統(tǒng)上,并通過服務器進行管理。它是一個完全開源的項目,因此您可以非常輕松地根據個人需求添加自定義功能。
GRR的特點
- Google Rapid Response 完全跨平臺,可在 Linux、FreeBSD、OS X 和 Windows 系統(tǒng)上流暢運行。
- 它利用 YARA 庫來分析遠程內存并提供對操作系統(tǒng)級詳細信息和文件系統(tǒng)的訪問。
- 管理員可以有效地監(jiān)控遠程客戶端的 CPU 使用情況、內存詳細信息、I/O 使用情況等等。
- GRR 完全具備處理現代安全事件的能力,并允許自動基礎設施管理。
24、 Grabber
Grabber 是用于網站、論壇和應用程序的輕量級和便攜式 Linux 漏洞掃描程序。它是用于評估個人 Web 應用程序的最有用的開源安全測試工具之一。由于 Grabber 非常輕量級,因此它不提供任何 GUI 界面。
但是,控制應用程序非常簡單,即使是初學者也可以使用它來測試他們的應用程序。總的來說,對于正在尋找便攜式測試工具的安全愛好者和應用程序開發(fā)人員來說,這是一個相當不錯的選擇。
Grabber 的特點
- Grabber 可用于簡單的 AJAX 驗證、跨站點腳本和 SQL 注入攻擊。
- 這個開源測試工具是使用 Python 編寫的,非常容易擴展或定制。
- 您可以使用 Grabber 非常輕松地檢查基于 JavaScript 的應用程序中的邏輯缺陷。
- Grabber 創(chuàng)建一個簡單但有用的統(tǒng)計分析文件,突出其發(fā)現和主要細節(jié)。
25、 Arachni
Arachni 是一個用 Ruby 編寫的功能豐富的模塊化 Web 應用程序測試框架。安全專業(yè)人員可以使用它來執(zhí)行廣泛的任務。它使用起來非常簡單,但本身并不缺乏動力。此外,該工具的模塊化特性允許用戶輕松地將其與 Metasploit 等其他開源安全測試工具集成。由于該軟件的源代碼可以自由訪問和修改,第三方開發(fā)人員可以不受任何限制地添加新功能。
Arachni 的特點
- Arachni 帶有一個漂亮而直觀的圖形用戶界面,這使得它非常易于管理。
- 它公開了一組強大的 REST API,使開源開發(fā)人員更容易集成。
- Arachni 提供多種部署選項,包括分布式平臺和個人服務器。
- 它可用于檢查跨站點腳本、SQL 注入、代碼注入和文件包含變體。
小結
隨著信息化的發(fā)展,安全性變得比以往任何時候都更加重要。值得慶幸的是,大量開源安全工具使專業(yè)人員可以輕松檢查漏洞并允許開發(fā)人員在有人利用它們之前修補它們。無論您是專業(yè)測試人員還是單純的愛好者,了解這些工具將幫助您在未來緩解許多安全漏洞。希望本指南為您提供了您正在尋找的必需品。
