1) Netsparker
Netsparker ist ein benutzerfreundlicher Sicherheitsscanner für Webanwendungen, der SQL Injection, XSS und andere Schwachstellen in Ihren Webanwendungen und Webdiensten automatisch erkennt. Es ist als lokale und SAAS-Lösung erhältlich. Eigenschaften
- Totgenaue Erkennung von Sicherheitslücken mit der einzigartigen Proof-Based-Scanning-Technologie.
- Minimale Konfiguration erforderlich. Der Scanner erkennt automatisch Regeln zum Umschreiben von URLs und benutzerdefinierte 404-Fehlerseiten.
- REST-API für die nahtlose Integration in SDLC, Bug-Tracking-Systeme usw.
- Vollständig skalierbare Lösung. Scannen Sie 1.000 Webanwendungen in nur 24 Stunden.
2) Acunetix
Acunetix ist ein vollautomatisches Penetrationstest-Tool. Der Sicherheitsscanner für Webanwendungen scannt HTML5-, JavaScript- und Einzelseitenanwendungen genau. Es kann komplexe, authentifizierte Webanwendungen prüfen und Compliance- und Verwaltungsberichte zu einer Vielzahl von Web- und Netzwerkschwachstellen, einschließlich Out-of-Band-Schwachstellen, erstellen.
Eigenschaften:
- Sucht nach allen Varianten von SQL Injection, XSS und mehr als 4500 zusätzlichen Sicherheitslücken
- Erkennt über 1200 Schwachstellen in WordPress Core, Theme und Plugin
- Schnell und skalierbar - crawlt Hunderttausende von Seiten ohne Unterbrechungen
- Integriert sich in gängige WAFs und Issue Tracker, um den SDLC zu unterstützen
- Verfügbar vor Ort und als Cloud-Lösung.
3) Eindringling
Intruder ist ein leistungsstarkes, automatisiertes Penetrationstest-Tool, das Sicherheitslücken in Ihrer IT-Umgebung entdeckt. Intruder bietet branchenführende Sicherheitsüberprüfungen, kontinuierliche Überwachung und eine benutzerfreundliche Plattform und schützt Unternehmen jeder Größe vor Hackern.
Eigenschaften
- Best-in-Class-Bedrohungsabdeckung mit über 10.000 Sicherheitsüberprüfungen
- Überprüft, ob Konfigurationsschwächen, fehlende Patches, Anwendungsschwächen (z. B. SQL-Injection und Cross-Site-Scripting) und mehr vorliegen
- Automatische Analyse und Priorisierung der Scanergebnisse
- Intuitive Benutzeroberfläche, schnelles Einrichten und Ausführen Ihrer ersten Scans
- Proaktive Sicherheitsüberwachung für die neuesten Sicherheitslücken
- AWS-, Azure- und Google Cloud-Connectors
- API-Integration in Ihre CI / CD-Pipeline
4) Indusface
Indusface WAS bietet manuelle Penetrationstests und automatisiertes Scannen, um Schwachstellen basierend auf OWASP Top 10 und SANS Top 25 zu erkennen und zu melden.
Eigenschaften
- Crawler scannt Anwendungen mit nur einer Seite
- Funktion anhalten und fortsetzen
- Manuelle PT- und automatisierte Scannerberichte werden im selben Dashboard angezeigt
- Unbegrenzte Proof-of-Concept-Anforderungen bieten Hinweise auf gemeldete Schwachstellen und helfen dabei, falsch positive Ergebnisse aus automatisierten Scan-Ergebnissen zu entfernen
- Optionale WAF-Integration für sofortiges virtuelles Patchen mit Zero False Positive
- Erweitert automatisch die Crawling-Abdeckung basierend auf realen Verkehrsdaten aus den WAF-Systemen (falls WAF abonniert und verwendet wird).
- 24 × 7-Support zur Erörterung von Sanierungsrichtlinien / POC
5) Intrusion Detection Software
Intrusion Detection Software ist ein Tool, mit dem Sie alle Arten von erweiterten Bedrohungen erkennen können. Es bietet Compliance-Berichte für DSS (Decision Support System) und HIPAA. Diese Anwendung kann verdächtige Angriffe und Aktivitäten kontinuierlich überwachen.
Eigenschaften:
- Minimieren Sie den Aufwand für die Erkennung von Eindringlingen.
- Bietet die Einhaltung einer effektiven Berichterstattung.
- Bietet Echtzeitprotokolle.
- Es kann böswillige IPs, Anwendungen, Konten und mehr erkennen.
6) Traceroute NG
Traceroute NG ist eine Anwendung, mit der Sie den Netzwerkpfad analysieren können. Diese Software kann IP-Adressen, Hostnamen und Paketverlust identifizieren. Es bietet eine genaue Analyse über die Befehlszeilenschnittstelle
Eigenschaften:
- Es bietet sowohl TCP- als auch ICMP-Netzwerkpfadanalyse.
- Diese Anwendung kann eine txt-Protokolldatei erstellen.
- Unterstützt sowohl IP4 als auch IPV6.
- Erkennen Sie Pfadänderungen und erhalten Sie eine Benachrichtigung.
- Ermöglicht die kontinuierliche Prüfung eines Netzwerks.
7) ExpressVPN
ExpressVPN sichert das Surfen im Internet gegen Drei-Buchstaben-Agenturen und Betrüger. Es bietet uneingeschränkten Zugriff auf Musik, soziale Medien und Videos, sodass diese Programme niemals IP-Adressen, Browserverlauf, DNS-Abfragen oder Verkehrsziele protokollieren.
Eigenschaften:
- Server an 160 Standorten und 94 Ländern
- Stellen Sie ohne Bandbreitenbeschränkung eine Verbindung zum VPN her.
- Bietet Online-Schutz durch Lecksicherheit und Verschlüsselung.
- Bleiben Sie sicher, indem Sie die IP-Adresse verbergen und Ihre Netzwerkdaten verschlüsseln.
- Die Unterstützung ist rund um die Uhr per E-Mail sowie im Live-Chat verfügbar.
- Zahlen Sie mit Bitcoin und verwenden Sie Tor, um auf versteckte Websites zuzugreifen.
8) Owasp
Das Open Web Application Security Project (OWASP) ist eine weltweite gemeinnützige Organisation, die sich auf die Verbesserung der Sicherheit von Software konzentriert. Das Projekt verfügt über mehrere Tools zum Testen verschiedener Softwareumgebungen und -protokolle. Zu den Flaggschiff-Tools des Projekts gehören
- Zed Attack Proxy (ZAP - ein integriertes Penetrationstest-Tool)
- OWASP-Abhängigkeitsprüfung (sucht nach Projektabhängigkeiten und prüft auf bekannte Schwachstellen)
- OWASP Web Testing Environment Project (Sammlung von Sicherheitstools und Dokumentation)
Der OWASP-Testleitfaden enthält "Best Practice" für den Penetrationstest der am häufigsten verwendeten Webanwendung
Owasp Link
9) WireShark
Wireshark ist ein Pentest-Tool für die Netzwerkanalyse, das früher als Ethereal bekannt war. Es erfasst Pakete in Echtzeit und zeigt sie in einem für Menschen lesbaren Format an. Grundsätzlich handelt es sich um einen Netzwerkpaketanalysator, der die kleinsten Details zu Ihren Netzwerkprotokollen, Entschlüsselung, Paketinformationen usw. bereitstellt. Es handelt sich um Open Source und kann unter Linux, Windows, OS X, Solaris, NetBSD, FreeBSD und vielen anderen verwendet werden andere Systeme. Die Informationen, die über dieses Tool abgerufen werden, können über eine GUI oder das TSHark-Dienstprogramm im TTY-Modus angezeigt werden.
Zu den WireShark-Funktionen gehören:
- Live-Erfassung und Offline-Analyse
- Rich VoIP-Analyse
- Mit gzip komprimierte Erfassungsdateien können im laufenden Betrieb dekomprimiert werden
- Die Ausgabe kann in XML, PostScript, CSV oder Klartext exportiert werden
- Multi-Plattform: Läuft unter Windows, Linux, FreeBSD, NetBSD und vielen anderen
- Live-Daten können aus dem Internet, PPP / HDLC, Geldautomaten, Bluetooth, USB, Token Ring usw. gelesen werden.
- Entschlüsselungsunterstützung für viele Protokolle, einschließlich IPSec, ISAKMP, SSL / TLS, WEP und WPA / WPA2
- Für eine schnelle intuitive Analyse können Farbregeln auf das Paket angewendet werden
- Lesen / Schreiben Sie viele verschiedene Capture-Dateiformate
Wireshark herunterladen
10) w3af
w3af ist ein Webanwendungs-Angriffs- und Überwachungsframework. Es gibt drei Arten von Plugins. Erkennung, Prüfung und Angriff, die für Schwachstellen auf der Website miteinander kommunizieren. Beispielsweise sucht ein Erkennungs-Plugin in w3af nach verschiedenen URLs, um auf Schwachstellen zu testen, und leitet sie an das Überwachungs-Plugin weiter, das diese URLs dann zur Suche nach Schwachstellen verwendet.
Es kann auch so konfiguriert werden, dass es als MITM-Proxy ausgeführt wird. Die abgefangene Anforderung könnte an den Anforderungsgenerator gesendet werden, und dann können manuelle Webanwendungstests unter Verwendung variabler Parameter durchgeführt werden. Es verfügt auch über Funktionen zum Ausnutzen der gefundenen Sicherheitslücken.
W3af-Funktionen
- Proxy-Unterstützung
- HTTP-Antwortcache
- DNS-Cache
- Hochladen von Dateien mit mehreren Teilen
- Umgang mit Cookies
- HTTP-Basis- und Digest-Authentifizierung
- Fälschung von Benutzeragenten
- Fügen Sie Anforderungen benutzerdefinierte Header hinzu
w3af Download-Link
11) Metaspoilt
Dies ist das beliebteste und fortschrittlichste Framework, das für Pentest verwendet werden kann. Es ist ein Open-Source-Tool, das auf dem Konzept des "Exploits" basiert. Dies bedeutet, dass Sie einen Code übergeben, der gegen die Sicherheitsmaßnahmen verstößt, und ein bestimmtes System eingeben. Bei Eingabe wird eine 'Nutzlast' ausgeführt, ein Code, der Operationen auf einem Zielcomputer ausführt und so den perfekten Rahmen für Penetrationstests schafft. Es ist ein großartiger Test, um zu testen, ob es dem IDS gelingt, die Angriffe zu verhindern, die wir umgehen
Metaspoilt kann in Netzwerken, Anwendungen, Servern usw. verwendet werden. Es verfügt über eine Befehlszeile und eine anklickbare Benutzeroberfläche, funktioniert unter Apple Mac OS X, unter Linux und Microsoft Windows.
Eigenschaften von Metaspoilt
- Grundlegende Befehlszeilenschnittstelle
- Import durch Dritte
- Manuelles Brute Forcing
- Manuelles Brute Forcing
- Website-Penetrationstests
Metaspoilt Download-Link
12) Kali
Kali funktioniert nur auf Linux-Maschinen. Sie können damit einen Sicherungs- und Wiederherstellungsplan erstellen, der Ihren Anforderungen entspricht. Es bietet eine schnelle und einfache Möglichkeit, die bislang größte Datenbank mit Sicherheitstests für Penetrationstests zu finden und zu aktualisieren. Es ist das beste verfügbare Tool zum Schnüffeln und Injizieren von Paketen. Kenntnisse in Bezug auf das TCP / IP-Protokoll und die Vernetzung können bei der Verwendung dieses Tools von Vorteil sein.
Eigenschaften
- Das Hinzufügen von 64-Bit-Unterstützung ermöglicht das Knacken von Brute-Force-Passwörtern
- Back Track enthält vorinstallierte Tools für LAN- und WLAN-Sniffing, Schwachstellen-Scanning, Passwort-Cracking und digitale Forensik
- Backtrack lässt sich in einige der besten Tools wie Metaspoilt und Wireshark integrieren
- Neben dem Netzwerk-Tool enthält es auch Pidgin, XMMS, Mozilla, K3B usw.
- Back Track unterstützt KDE und Gnome.
Kali Download-Link
13) Samurai-Rahmen:
Das Samurai Web Testing Framework ist eine Stifttestsoftware. Es wird von VirtualBox und VMWare unterstützt, die vorkonfiguriert wurden, um als Web-Pen-Testumgebung zu fungieren.
Eigenschaften:
- Es ist Open Source, kostenlos zu verwendendes Tool
- Es enthält die besten Open Source- und kostenlosen Tools, die sich auf das Testen und Angreifen von Websites konzentrieren
- Es enthält auch ein vorkonfiguriertes Wiki zum Einrichten des zentralen Informationsspeichers während des Pen-Tests
Download-Link: https://sourceforge.net/projects/samurai/files/
14) Aircrack:
Aircrack ist ein praktisches drahtloses Pentesting-Tool. Es knackt anfällige drahtlose Verbindungen. Es wird mit WEP WPA- und WPA 2-Verschlüsselungsschlüsseln betrieben.
Eigenschaften:
- Weitere Karten / Treiber werden unterstützt
- Unterstützt alle Arten von Betriebssystemen und Plattformen
- Neuer WEP-Angriff: PTW
- Unterstützung für WEP-Wörterbuchangriffe
- Unterstützung für Fragmentierungsangriffe
- Verbesserte Verfolgungsgeschwindigkeit
Download-Link: https://www.aircrack-ng.org/downloads.html
15) ZAP:
ZAP ist eines der beliebtesten Open Source-Sicherheitstest-Tools. Es wird von Hunderten von internationalen Freiwilligen gepflegt. Es kann Benutzern helfen, Sicherheitslücken in Webanwendungen während der Entwicklungs- und Testphase zu finden.
Eigenschaften:
- Es hilft, die in der Webanwendung vorhandenen Sicherheitslücken zu identifizieren, indem ein tatsächlicher Angriff simuliert wird
- Passives Scannen analysiert die Antworten vom Server, um bestimmte Probleme zu identifizieren
- Es wird versucht, brutal auf Dateien und Verzeichnisse zuzugreifen.
- Die Spidering-Funktion hilft beim Aufbau der hierarchischen Struktur der Website
- Bereitstellung ungültiger oder unerwarteter Daten, um sie zum Absturz zu bringen oder unerwartete Ergebnisse zu erzielen
- Hilfreiches Tool zum Herausfinden der offenen Ports auf der Zielwebsite
- Es bietet eine interaktive Java-Shell, mit der BeanShell-Skripte ausgeführt werden können
- Es ist vollständig internationalisiert und unterstützt 11 Sprachen
Download-Link: https://github.com/zaproxy/zaproxy/wiki
16) Sqlmap:
Sqlmap ist ein Open Source-Penetrationstest-Tool. Es automatisiert den gesamten Prozess des Erkennens und Ausnutzens von SQL-Injection-Fehlern. Es kommt mit vielen Detektions-Engines und Funktionen für einen idealen Penetrationstest.
Eigenschaften:
- Volle Unterstützung für sechs SQL-Injection-Techniken
- Ermöglicht die direkte Verbindung zur Datenbank ohne Weitergabe über eine SQL-Injection
- Unterstützung für die Aufzählung von Benutzern, Kennwort-Hashes, Berechtigungen, Rollen, Datenbanken, Tabellen und Spalten
- Automatische Erkennung von Passwörtern in Hash-Formaten und Unterstützung für das Knacken
- Unterstützung für das vollständige Speichern von Datenbanktabellen oder bestimmten Spalten
- Die Benutzer können auch einen Zeichenbereich aus dem Eintrag jeder Spalte auswählen
- Ermöglicht das Herstellen einer TCP-Verbindung zwischen dem betroffenen System und dem Datenbankserver
- Unterstützung für die Suche nach bestimmten Datenbanknamen, Tabellen oder bestimmten Spalten in allen Datenbanken und Tabellen
- Ermöglicht das Ausführen beliebiger Befehle und das Abrufen ihrer Standardausgabe auf dem Datenbankserver
Download-Link: https://github.com/sqlmapproject/sqlmap
17) Sqlninja:
Sqlninja ist ein Penetrationstest-Tool. Ziel ist es, SQL Injection-Schwachstellen in einer Webanwendung auszunutzen. Es verwendet Microsoft SQL Server als Back-End. Es bietet auch einen Remotezugriff auf den anfälligen DB-Server, selbst in einer sehr feindlichen Umgebung.
Eigenschaften:
- Fingerabdruck des Remote-SQL
- Datenextraktion, zeitbasiert oder über DNS-Tunnel
- Ermöglicht die Integration mit Metasploit3, um einen grafischen Zugriff auf den Remote-DB-Server zu erhalten
- Hochladen der ausführbaren Datei nur mit normalen HTTP-Anforderungen über VBScript oder debug.exe
- Direkte und umgekehrte Bindshell, sowohl für TCP als auch für UDP
- Erstellen einer benutzerdefinierten xp-Cmdshell, wenn die ursprüngliche Cmdshell mit Token-Kidnapping auf w2k3 nicht verfügbar ist
Download-Link: http://sqlninja.sourceforge.net/download.html
18) BeEF:
Das Browser Exploitation Framework. Es ist ein Pentesting-Tool, das sich auf den Webbrowser konzentriert. Es verwendet GitHub, um Probleme zu verfolgen und sein Git-Repository zu hosten.
Eigenschaften:
- Es ermöglicht die Überprüfung der tatsächlichen Sicherheitslage mithilfe clientseitiger Angriffsmethoden
- Mit BeEF können Sie sich mit einem oder mehreren Webbrowsern verbinden. Es kann dann zum Starten von gerichteten Befehlsmodulen und weiteren Angriffen auf das System verwendet werden.
Download-Link: http://beefproject.com
19) Dradis:
Dradis ist ein Open-Source-Framework für Penetrationstests. Es ermöglicht die Verwaltung der Informationen, die zwischen den Teilnehmern eines Pen-Tests ausgetauscht werden können. Die gesammelten Informationen helfen Benutzern zu verstehen, was abgeschlossen ist und was abgeschlossen werden muss.
Eigenschaften:
- Einfacher Prozess für die Berichterstellung
- Unterstützung für Anhänge
- Nahtlose Zusammenarbeit
- Integration in vorhandene Systeme und Tools mithilfe von Server-Plugins
- Plattformunabhängig
Download-Link: https://dradisframework.com/ce
20) Rapid 7:
Nexpose Rapid 7 ist eine nützliche Software zum Verwalten von Sicherheitslücken. Es überwacht die Exposition in Echtzeit und passt sich mit neuen Daten neuen Bedrohungen an, sodass Benutzer im Moment des Aufpralls handeln können.
Eigenschaften:
- Erhalten Sie eine Echtzeitansicht des Risikos
- Es bietet innovative und fortschrittliche Lösungen, die dem Benutzer helfen, seine Arbeit zu erledigen
- Wissen, wo man sich konzentrieren muss
- Bringen Sie mehr in Ihr Sicherheitsprogramm
Download-Link: https://www.rapid7.com/products/nexpose/download/
21) Hping:
Hping ist ein Testtool für TCP / IP-Paketanalysatoren. Diese Schnittstelle ist vom UNIX-Befehl ping (8) inspiriert. Es unterstützt die Protokolle TCP, ICMP, UDP und RAW-IP.
Eigenschaften:
- Ermöglicht Firewall-Tests
- Erweitertes Port-Scannen
- Netzwerktests mit verschiedenen Protokollen, Nutzungsbedingungen und Fragmentierung
- Manuelle Pfad-MTU-Erkennung
- Erweiterte Traceroute mit allen unterstützten Protokollen
- Fingerabdruck und Verfügbarkeit von Remote-Betriebssystemen
- TCP / IP-Stapelüberwachung
Download-Link: https://github.com/antirez/hping
22) SuperScan:
Superscan ist ein kostenloses Windows-Closed-Source-Penetrationstest-Tool. Es enthält auch Netzwerk-Tools wie Ping, Traceroute, Whois und HTTP HEAD.
Merkmal:
- Überlegene Scangeschwindigkeit
- Unterstützung für unbegrenzte IP-Bereiche
- Verbesserte Hosterkennung mit mehreren ICMP-Methoden
- Bieten Sie Unterstützung für das TCP-SYN-Scannen
- Einfache Erstellung von HTML-Berichten
- Scannen des Quellports
- Umfangreiche Banner greifen
- Große integrierte Portlisten-Beschreibungsdatenbank
- Randomisierung der IP- und Port-Scan-Reihenfolge
- Umfangreiche Windows-Host-Aufzählungsfunktionen
Download-Link: https://superscan.en.softonic.com/
23) ISS-Scanner:
Der IBM Internet Scanner ist ein Stifttest-Tool, das die Grundlage für eine effektive Netzwerksicherheit für jedes Unternehmen bietet.
Eigenschaften:
- Internet Scanner minimieren das Geschäftsrisiko, indem sie die Schwachstellen im Netzwerk finden
- Es ermöglicht die Automatisierung von Scans und das Erkennen von Schwachstellen
- Der Internet-Scanner verringert das Risiko, indem Sicherheitslücken oder Schwachstellen im Netzwerk identifiziert werden
- Komplettes Vulnerability Management
- Der Internet-Scanner kann mehr als 1.300 Arten von Netzwerkgeräten identifizieren
Download-Link : https://www.ibm.com/products/trials
24) Scapy:
Scapy ist ein leistungsstarkes und interaktives Tool zum Testen von Stiften. Es kann viele klassische Aufgaben wie Scannen, Prüfen und Angriffe auf das Netzwerk ausführen.
Eigenschaften:
- Es führt einige spezifische Aufgaben aus, z. B. das Senden ungültiger Frames und das Einfügen von 802.11-Frames. Es werden verschiedene Kombinationstechniken verwendet, die mit anderen Werkzeugen nur schwer möglich sind
- Es ermöglicht dem Benutzer, genau die Pakete zu erstellen, die er möchte
- Reduziert die Anzahl der Zeilen, die zur Ausführung des spezifischen Codes geschrieben wurden
Download-Link: https://scapy.net/
25) IronWASP:
IronWASP ist eine Open Source-Software zum Testen von Sicherheitslücken in Webanwendungen. Es ist so anpassbar, dass Benutzer damit ihre benutzerdefinierten Sicherheitsscanner erstellen können.
Eigenschaften:
- GUI-basiert und sehr einfach zu bedienen
- Es verfügt über eine leistungsstarke und effektive Scan-Engine
- Unterstützung für die Aufzeichnung der Anmeldesequenz
- Berichterstellung in HTML- und RTF-Formaten
- Prüft auf über 25 Arten von Web-Schwachstellen
- Unterstützung für die Erkennung falsch positiver und negativer Ergebnisse
- Es unterstützt Python und Ruby
- Erweiterbar mit Plug-Ins oder Modulen in Python, Ruby, C # oder VB.NET
Download-Link: http://ironwasp.org/download.html
26) Ettercap:
Ettercap ist ein umfassendes Tool zum Testen von Stiften. Es unterstützt die aktive und passive Dissektion. Es enthält auch viele Funktionen für die Netzwerk- und Hostanalyse.
Eigenschaften:
- Es unterstützt die aktive und passive Dissektion vieler Protokolle
- Funktion der ARP-Vergiftung zum Schnüffeln in einem Switched LAN zwischen zwei Hosts
- Zeichen können in einen Server oder einen Client eingefügt werden, während eine Live-Verbindung aufrechterhalten wird
- Ettercap ist in der Lage, eine SSH-Verbindung im Vollduplex zu schnüffeln
- Ermöglicht das Abhören von HTTP-SSL-gesicherten Daten, selbst wenn die Verbindung über einen Proxy hergestellt wird
- Ermöglicht die Erstellung benutzerdefinierter Plugins mithilfe der Ettercap-API
Download-Link: https://www.ettercap-project.org/downloads.html
27) Sicherheitszwiebel:
Security Onion ist ein Penetrationstest-Tool. Es wird zur Erkennung von Eindringlingen und zur Überwachung der Netzwerksicherheit verwendet. Es verfügt über einen benutzerfreundlichen Setup-Assistenten, mit dem Benutzer eine Armee verteilter Sensoren für ihr Unternehmen aufbauen können.
Eigenschaften:
- Es basiert auf einem verteilten Client-Server-Modell
- Die Netzwerksicherheitsüberwachung ermöglicht die Überwachung auf sicherheitsrelevante Ereignisse
- Es bietet vollständige Paketerfassung
- Netzwerkbasierte und hostbasierte Intrusion Detection-Systeme
- Es verfügt über einen integrierten Mechanismus zum Löschen alter Daten, bevor das Speichergerät seine Kapazität erreicht
Download-Link: https://securityonion.net/
28) Personal Software Inspector:
Personal Software Inspector ist eine Open Source-Sicherheitslösung für Computer. Dieses Tool kann Schwachstellen in Anwendungen auf einem PC oder Server identifizieren.
Eigenschaften:
- Es ist in acht verschiedenen Sprachen verfügbar
- Automatisiert die Updates für unsichere Programme
- Es deckt Tausende von Programmen ab und erkennt automatisch unsichere Programme
- Dieses Stifttest-Tool durchsucht den PC automatisch und regelmäßig nach anfälligen Programmen
- Erkennt und benachrichtigt Programme, die nicht automatisch aktualisiert werden können
Download-Link: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager
29) HconSTF:
HconSTF ist ein Open Source Penetration Testing-Tool, das auf verschiedenen Browsertechnologien basiert. Es hilft jedem Sicherheitsexperten, bei den Penetrationstests zu helfen. Es enthält Web-Tools, die für XSS, SQL-Injection, CSRF, Trace XSS, RFI, LFI usw. leistungsstark sind.
Eigenschaften:
- Kategorisiertes und umfassendes Toolset
- Jede Option ist für Penetrationstests konfiguriert
- Speziell konfiguriert und erweitert, um eine solide Anonymität zu erreichen
- Funktioniert für Web-App-Testbewertungen
- Einfach zu bedienendes und kollaboratives Betriebssystem
Download-Link: http://www.hcon.in/
30) IBM Security AppScan:
IBM Security AppScan verbessert die Sicherheit von Webanwendungen und mobilen Anwendungen. Es verbessert die Anwendungssicherheit und stärkt die Einhaltung gesetzlicher Vorschriften. Es hilft Benutzern, Sicherheitslücken zu identifizieren und Berichte zu erstellen.
Eigenschaften:
- Aktivieren Sie Entwicklung und Qualitätssicherung, um Tests während des SDLC-Prozesses durchzuführen
- Steuern Sie, welche Anwendungen jeder Benutzer testen kann
- Berichte einfach verteilen
- Erhöhen Sie die Sichtbarkeit und verstehen Sie Unternehmensrisiken besser
- Konzentrieren Sie sich darauf, Probleme zu finden und zu beheben
- Kontrollieren Sie den Zugriff auf Informationen
Download-Link: http://www-03.ibm.com/software/products/en/appscan
31) Arachni:
Arachni ist ein Open Source Ruby Framework-basiertes Tool für Penetrationstester und Administratoren. Es wird zur Bewertung der Sicherheit moderner Webanwendungen verwendet.
Eigenschaften:
- Es ist ein vielseitiges Werkzeug, das eine große Anzahl von Anwendungsfällen abdeckt. Dies reicht von einem einfachen Dienstprogramm für Befehlszeilenscanner bis hin zu einem globalen Hochleistungsraster von Scannern
- Option für mehrere Bereitstellungen
- Es bietet eine überprüfbare, überprüfbare Codebasis, um ein Höchstmaß an Schutz zu gewährleisten
- Es kann leicht in die Browserumgebung integriert werden
- Es bietet sehr detaillierte und gut strukturierte Berichte
Download-Link: https://sourceforge.net/projects/safe3wvs/files
32) Websecurify:
Websecurify ist eine leistungsstarke Umgebung für Sicherheitstests. Es ist eine benutzerfreundliche Oberfläche, die einfach und benutzerfreundlich ist. Es bietet eine Kombination aus automatischen und manuellen Technologien zum Testen von Sicherheitslücken.
Eigenschaften:
- Gute Test- und Scan-Technologie
- Starke Test-Engine zum Erkennen von URLs
- Es ist mit vielen verfügbaren Add-Ons erweiterbar
- Es ist für alle wichtigen Desktop- und Mobilplattformen verfügbar
Download-Link: https://www.websecurify.com/
33) Vega:
Vega ist eine Open-Source-Plattform für Web-Sicherheitsscanner und Stifttests zum Testen der Sicherheit von Webanwendungen.
Eigenschaften:
- Automatisierte, manuelle und hybride Sicherheitstests
- Es hilft Benutzern, Schwachstellen zu finden. Dies kann Cross-Site-Scripting, gespeichertes Cross-Site-Scripting, Blind-SQL-Injection, Shell-Injection usw. sein.
- Es kann sich automatisch bei Websites anmelden, wenn Benutzeranmeldeinformationen angegeben werden
- Es läuft effektiv unter Linux, OS X und Windows
- Vega-Erkennungsmodule sind in JavaScript geschrieben
Download-Link: https://subgraph.com/vega/download/index.en.html
34) Wapiti:
Wapiti ist ein weiteres bekanntes Penetrationstest-Tool. Es ermöglicht die Überprüfung der Sicherheit der Webanwendungen. Es unterstützt sowohl GET- als auch POST-HTTP-Methoden für die Schwachstellenprüfung.
Eigenschaften:
- Generiert Schwachstellenberichte in verschiedenen Formaten
- Es kann einen Scan oder einen Angriff aussetzen und fortsetzen
- Schnelle und einfache Möglichkeit, Angriffsmodule zu aktivieren und zu deaktivieren
- Unterstützt HTTP- und HTTPS-Proxys
- Dadurch kann der Umfang des Scans eingeschränkt werden
- Automatisches Entfernen eines Parameters in URLs
- Import von Cookies
- Es kann die Überprüfung von SSL-Zertifikaten aktivieren oder deaktivieren
- Extrahieren Sie URLs aus Flash-SWF-Dateien
Download-Link: https://sourceforge.net/projects/wapiti/files/
35) Kismet:
Kismet ist ein drahtloses Netzwerkdetektor- und Intrusion Detection-System. Es funktioniert mit Wi-Fi-Netzwerken, kann jedoch über Plugins erweitert werden, da es andere Netzwerktypen unterstützt.
Eigenschaften:
- Ermöglicht die Standard-PCAP-Protokollierung
- Modulare Client / Server-Architektur
- Plug-In-Architektur zur Erweiterung der Kernfunktionen
- Unterstützung für mehrere Erfassungsquellen
- Verteiltes Remote-Sniffing über leichte Remote-Erfassung
- XML-Ausgabe zur Integration mit anderen Tools
Download-Link: https://www.kismetwireless.net/downloads/
36) Kali Linux:
Kali Linux ist ein Open-Source-Tool zum Testen von Stiften, das von Offensive Security verwaltet und finanziert wird.
Eigenschaften:
- Vollständige Anpassung der Kali-ISOs mit Live-Build zur Erstellung angepasster Kali-Linux-Images
- Es enthält eine Reihe von Meta-Paketsammlungen, in denen verschiedene Werkzeugsätze zusammengefasst sind
- ISO of Doom und andere Kali-Rezepte
- Festplattenverschlüsselung auf Raspberry Pi 2
- Live-USB mit mehreren Persistenzspeichern
Download-Link: https://www.kali.org/
37) Papageien-Sicherheit:
Parrot Security ist ein Stifttest-Tool. Es bietet ein vollständig tragbares Labor für Experten für Sicherheit und digitale Forensik. Es hilft Benutzern auch, ihre Privatsphäre mit Anonymitäts- und Krypto-Tools zu schützen.
Eigenschaften:
- Es enthält ein umfassendes Arsenal an sicherheitsorientierten Tools zur Durchführung von Penetrationstests, Sicherheitsüberprüfungen und mehr.
- Es kommt mit vorinstallierten und nützlichen und aktualisierten Bibliotheken
- Bietet leistungsstarke weltweite Spiegelserver
- Ermöglicht Community-gesteuerte Entwicklung
- Bietet ein separates Cloud-Betriebssystem, das speziell für Server entwickelt wurde
Download-Link: https://www.parrotsec.org/download/
38) OpenSSL:
Dieses Toolkit ist unter einer Apache-Lizenz lizenziert. Es ist ein kostenloses Open-Source-Projekt, das ein umfassendes Toolkit für die TLS- und SSL-Protokolle bietet.
Eigenschaften:
- Es ist in C geschrieben, aber Wrapper sind für viele Computersprachen verfügbar
- Die Bibliothek enthält Tools zum Generieren von privaten RSA-Schlüsseln und Zertifikatsignierungsanforderungen
- Überprüfen Sie die CSR-Datei
- Entfernen Sie die Passphrase vollständig aus dem Schlüssel
- Erstellen Sie einen neuen privaten Schlüssel und ermöglichen Sie die Anforderung der Zertifikatsignierung
Download-Link: https://www.openssl.org/source/
39) Schnauben:
Snort ist ein Open-Source-System zur Erkennung von Eindringlingen und zum Testen von Stiften. Es bietet die Vorteile von auf Signaturprotokollen und Anomalien basierenden Inspektionsmethoden. Mit diesem Tool erhalten Benutzer maximalen Schutz vor Malware-Angriffen.
Eigenschaften:
- Snort wurde bekannt dafür, dass er Bedrohungen bei hohen Geschwindigkeiten genau erkennen konnte
- Schützen Sie Ihren Arbeitsbereich schnell vor neuen Angriffen
- Mit Snort können benutzerdefinierte, einzigartige Netzwerksicherheitslösungen erstellt werden
- Testen Sie das SSL-Zertifikat einer bestimmten URL
- Es kann überprüfen, ob eine bestimmte Verschlüsselung in der URL akzeptiert wird
- Überprüfen Sie die Certificate Signer Authority
- Fähigkeit, falsch positive / negative Ergebnisse einzureichen
Download-Link: https://www.snort.org/downloads
40) Backbox:
BackBox ist ein Open Source Community-Projekt mit dem Ziel, die Sicherheitskultur in der IT-Umgebung zu verbessern. Es ist in zwei verschiedenen Varianten erhältlich, z. B. Backbox Linux und Backbox Cloud. Es enthält einige der bekanntesten / am häufigsten verwendeten Sicherheits- und Analysetools.
Eigenschaften:
- Es ist ein hilfreiches Tool, um den Ressourcenbedarf des Unternehmens zu senken und die Kosten für die Verwaltung mehrerer Netzwerkgeräteanforderungen zu senken
- Es ist ein vollautomatisches Stifttest-Tool. Es sind also keine Agenten und keine Netzwerkkonfiguration erforderlich, um Änderungen vorzunehmen. Um eine geplante automatisierte Konfiguration durchzuführen
- Sicherer Zugriff auf Geräte
- Unternehmen können Zeit sparen, da einzelne Netzwerkgeräte nicht nachverfolgt werden müssen
- Unterstützt die Verschlüsselung von Anmeldeinformationen und Konfigurationsdateien
- Selbstsicherung und automatischer Remote-Speicher
- Bietet IP-basierte Zugriffskontrolle
- Sie müssen keinen Befehl schreiben, da er mit vorkonfigurierten Befehlen geliefert wird
Download-Link: https://www.backbox.org/download/
41) THC Hydra:
Hydra ist ein parallelisiertes Login-Cracker- und Pen-Test-Tool. Es ist sehr schnell und flexibel und neue Module können einfach hinzugefügt werden. Mit diesem Tool können Forscher und Sicherheitsberater unbefugten Zugriff finden.
Eigenschaften:
- Kompromiss-Tool-Suiten mit vollem Zeitspeicher sowie Generierung, Sortierung, Konvertierung und Nachschlagen von Regenbogentabellen
- Es unterstützt die Regenbogentabelle eines beliebigen Hash-Algorithmus
- Unterstützen Sie den Regenbogentisch eines beliebigen Zeichensatzes
- Unterstützt Regenbogentabellen im kompakten oder unformatierten Dateiformat
- Berechnung zur Unterstützung von Multi-Core-Prozessoren
- Läuft unter Windows- und Linux-Betriebssystemen
- Einheitliches Regenbogentabellen-Dateiformat auf allen unterstützten Betriebssystemen
- Unterstützt die Benutzeroberfläche und die Befehlszeilenbenutzeroberfläche
Download-Link: https://github.com/vanhauser-thc/thc-hydra
42) Reputation Monitor Alert:
Open Threat Exchange Reputation Monitor ist ein kostenloser Dienst. Es ermöglicht Fachleuten, den Ruf ihres Unternehmens zu verfolgen. Mithilfe dieses Tools können Unternehmen und Organisationen die öffentliche IP- und Domain-Reputation ihrer Assets verfolgen.
Eigenschaften:
- Überwacht die Cloud, die Hybrid Cloud und die lokale Infrastruktur
- Liefert kontinuierliche Bedrohungsinformationen, um über auftretende Bedrohungen auf dem Laufenden zu bleiben
- Bietet die umfassendsten Richtlinien zur Erkennung von Bedrohungen und zur Umsetzung von Vorfällen
- Wird schnell, einfach und mit weniger Aufwand bereitgestellt
- Reduziert die Gesamtbetriebskosten gegenüber herkömmlichen Sicherheitslösungen
Download-Link: https://cybersecurity.att.com/products/usm-anywhere/free-trial
43) John the Ripper:
John the Ripper, bekannt als JTR, ist ein sehr beliebtes Tool zum Knacken von Passwörtern. Es wird hauptsächlich verwendet, um Wörterbuchangriffe durchzuführen. Es hilft dabei, schwache Kennwortschwachstellen in einem Netzwerk zu identifizieren. Es unterstützt auch Benutzer vor Brute-Force- und Regenbogen-Crack-Angriffen.
Eigenschaften:
- John the Ripper ist eine kostenlose Open Source-Software
- Modul zur Überprüfung der proaktiven Kennwortstärke
- Es ermöglicht das Online-Durchsuchen der Dokumentation
- Unterstützung für viele zusätzliche Hash- und Verschlüsselungstypen
- Ermöglicht das Online-Durchsuchen der Dokumentation einschließlich einer Zusammenfassung der Änderungen zwischen zwei Versionen
Download-Link: https://www.openwall.com/john/
44) Safe3-Scanner:
Safe3WVS ist eines der leistungsstärksten Tools zum Testen von Web-Schwachstellen. Es kommt mit Web Spider Crawler-Technologie, insbesondere Web-Portale. Es ist das schnellste Tool, um Probleme wie SQL-Injection, Upload-Schwachstelle und mehr zu finden.
Eigenschaften:
- Volle Unterstützung für Basic-, Digest- und HTTP-Authentifizierungen.
- Intelligente Web-Spider-Automatik entfernt wiederholte Webseiten
- Ein automatischer JavaScript-Analysator unterstützt das Extrahieren von URLs aus Ajax, Web 2.0 und anderen Anwendungen
- Unterstützung für das Scannen der SQL-Injection, das Hochladen von Sicherheitslücken, den Administratorpfad und die Sicherheitslücke in der Verzeichnisliste
Download-Link: https://sourceforge.net/projects/safe3wvs/files/latest/download
45) CloudFlare:
CloudFlare ist ein CDN mit robusten Sicherheitsfunktionen. Online-Bedrohungen reichen von Kommentar-Spam und übermäßigem Bot-Crawlen bis hin zu böswilligen Angriffen wie SQL-Injection. Es bietet Schutz vor Kommentar-Spam, übermäßigem Bot-Crawlen und böswilligen Angriffen.
Merkmal:
- Es ist ein DDoS-Schutznetzwerk der Enterprise-Klasse
- Die Webanwendungs-Firewall unterstützt die kollektive Intelligenz des gesamten Netzwerks
- Das Registrieren einer Domain mit CloudFlare ist der sicherste Weg, um sich vor Domain-Hijacking zu schützen
- Die Funktion zur Ratenbegrenzung schützt die kritischen Ressourcen des Benutzers. Es blockiert Besucher mit verdächtiger Anzahl von Anforderungsraten.
- CloudFlare Orbit löst Sicherheitsprobleme für IOT-Geräte
Download-Link: https://www.cloudflare.com/
46) Zenmap
Zenmap ist die offizielle Nmap Security Scanner-Software. Es ist eine plattformübergreifende kostenlose Open Source-Anwendung. Es ist für Anfänger einfach zu bedienen, bietet aber auch erweiterte Funktionen für erfahrene Benutzer.
Eigenschaften:
- Interaktive und grafische Ergebnisanzeige
- Es fasst Details zu einem einzelnen Host oder einen vollständigen Scan in einer praktischen Anzeige zusammen.
- Es kann sogar eine Topologiekarte erkannter Netzwerke zeichnen.
- Es kann die Unterschiede zwischen zwei Scans anzeigen.
- Administratoren können damit neue Hosts oder Dienste verfolgen, die in ihren Netzwerken angezeigt werden. Oder verfolgen Sie vorhandene Dienste, die ausfallen
Download-Link: https://nmap.org/download.html
Die anderen Tools, die für Penetrationstests nützlich sein könnten, sind
- Acunetix: Es handelt sich um einen Web-Schwachstellenscanner für Webanwendungen. Es ist ein teures Tool im Vergleich zu anderen und bietet Funktionen wie Cross-Site-Scripting-Tests, PCI-Konformitätsberichte, SQL-Injection usw.
- Retina: Es ist eher ein Tool zum Verwalten von Sicherheitslücken als ein Tool zum Testen vor dem Testen
- Nessus: Es konzentriert sich auf Konformitätsprüfungen, Suche nach sensiblen Daten, IP-Scans, Website-Scans usw.
- Netsparker: Dieses Tool wird mit einem robusten Webanwendungsscanner geliefert , der Schwachstellen erkennt und Lösungen vorschlägt. Es gibt kostenlose, limitierte Testversionen, aber meistens handelt es sich um ein kommerzielles Produkt. Es hilft auch, SQL-Injection und LFI (Local File Induction) zu nutzen.
- CORE Impact: Diese Software kann für die Penetration mobiler Geräte, die Identifizierung und das Knacken von Passwörtern, die Penetration von Netzwerkgeräten usw. verwendet werden. Sie ist eines der teuren Tools beim Testen von Software
- Burpsuite: Wie andere ist auch diese Software ein kommerzielles Produkt. Es funktioniert durch Abfangen von Proxy, Scannen von Webanwendungen, Crawlen von Inhalten und Funktionen usw. Der Vorteil der Verwendung von Burpsuite besteht darin, dass Sie dies in Windows-, Linux- und Mac OS X-Umgebungen verwenden können.