蓝盟IT小贴士，来喽！
1 .掠夺者
便携式Grabber主要用于扫描小型Web应用程序，如论坛和个人网站。 轻量级的安全测试工具没有GUI界面，是用Python写的。 可以发现的漏洞是备份文件验证、交叉站点脚本、文件包含、简单的AJAX验证、SQL注入。 不仅容易创建，而且自动生成统计分析文件，支持JS代码分析。
2. Iron  Wasp
Iron  Wasp是开源的强大扫描工具，可以发现25种以上的Web应用程序漏洞，而且还可以检测误报。 Iron  Wasp可以帮助您改进认证失败、交叉站点脚本、CSRF、隐藏参数和特权。 基于GUI，可以以HTML和RTF格式生成报告。
3. Nogotofail
Nogotofail是一个网络流量安全测试工具，是一个轻量级的应用程序，非常轻量级，易于使用，易于部署，检测TLS/SSL的漏洞和配置错误，以及路由器、代理或虚拟专用网络Nogotofail能够暴露的漏洞包括MiTM攻击、SSL证书验证问题、SSL和TLS注入。 快试试吧。
4. SonarQube
这也是推荐的开源安全测试工具。 除了公开漏洞外，还可以测量Web应用程序源代码的质量。 不管用什么写，SonarQube都可以分析20多种编程语言。 此外，持续集成工具可以轻松集成到Jenkins等产品中。 发现问题后，以绿色或红色突出显示，清晰。 绿色不是问题，而是代表低风险的脆弱性和问题，红色代表重大的脆弱性和问题。 比较新的测试人员有交互式的GUI。高级用户可以通过命令提示符访问。
5. SQLMap
SQLMap完全免费，可以自动执行SQL注入漏洞的过程，也可以用于网站安全测试。 它附带了支持多个数据库的强大测试引擎，支持六种SQL注入技术：布尔盲注、基于错误的、带外、堆栈查询、基于时间的盲注和UNION查询。
6. Wireshark
Wireshark也是免费的开源web分组分析软件。 可以剪切网络数据包，尽可能详细地显示数据。 还可以提供实时网络分析，向用户展示重建的TCP会话流。 许多安全商对此很熟悉。 因为Wireshark是一个使用频率高、非常易用的工具。7 .接吻
Kismet是一种基于控制台第2层无线网络检测器、嗅探和入侵检测系统的流量监视工具。 也可以主要通过被动嗅探来识别网络，检测正在使用的隐藏网络。 通过嗅到TCP、UDP、ARP和DHCP数据包，可以自动检测网络IP块，还可以在下载检测到的网络和估计范围的地图上以Wireshark/tcpdump兼容格式记录。
8. Nessus
Nessus可以说是脆弱性评价领域的行业标准，可以迅速识别和修复问题，有安全人员的话可以得到一半的安全感。 利用预先构建的策略和模板、组暂停功能和实时更新等功能，轻松直观地评估漏洞。 这个工具很活跃，经常发布新版本。

文/上海蓝盟   IT外包专家

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 蓝盟IT外包，ARM能代替x86的孩子做选择题吗？

• 分享到：