安全測(cè)試是很重要的東西!!可以提高信息系統(tǒng)中的數(shù)據(jù)安全性，未經(jīng)批準(zhǔn)的用戶就無(wú)法訪問。成功的安全測(cè)試可以保護(hù)Web應(yīng)用程序免受嚴(yán)重的惡意軟件和其他惡意威脅的侵害，這些侵害會(huì)導(dǎo)致Web應(yīng)用程序崩潰或產(chǎn)生意外行為。全球范圍內(nèi)的組織和專業(yè)人員都使用安全測(cè)試來(lái)確保系統(tǒng)的安全性。目前有很多免費(fèi)、付費(fèi)或開源工具可用來(lái)檢查應(yīng)用程序中的漏洞和缺陷。以下，是今日推薦的8個(gè)安全測(cè)試工具。

1. 劫掠者

便攜式Grabber主要是為了掃描小型Web應(yīng)用程序，包括論壇和個(gè)人網(wǎng)站。輕量級(jí)的安全測(cè)試工具沒有GUI界面，并且使用Python編寫。它可以發(fā)現(xiàn)的漏洞有：備份文件驗(yàn)證、跨站腳本、文件包含、簡(jiǎn)單的AJAX驗(yàn)證、SQL注入。它不僅簡(jiǎn)單編寫還可以自動(dòng)生成統(tǒng)計(jì)分析文件并且支持JS代碼分析。

2. Iron Wasp

Iron Wasp是一個(gè)開源的擁有強(qiáng)大功能的掃描工具，可以發(fā)現(xiàn)25種以上的Web應(yīng)用程序漏洞!不僅如此還可以檢測(cè)誤報(bào)。Iron Wasp可以幫助的有身份驗(yàn)證失敗、跨站腳本、CSRF、隱藏參數(shù)、特權(quán)提升。它基于GUI，可以用HTML和RTF格式生成報(bào)告。

3. Nogotofail

Nogotofail是網(wǎng)絡(luò)流量安全測(cè)試工具，一款輕量級(jí)的應(yīng)用程序，非常輕巧易于使用，易于部署，能夠檢測(cè)TLS / SSL漏洞和配置錯(cuò)誤，支持設(shè)置為路由器、代理或虛擬專用網(wǎng)服務(wù)器。Nogotofail可以暴露的漏洞有MiTM攻擊、SSL證書驗(yàn)證問題、SSL和TLS注入，快來(lái)試試吧。

4. SonarQube

這也是一個(gè)值得推薦的開源安全測(cè)試工具。除了公開漏洞外，還可以衡量Web應(yīng)用程序的源代碼質(zhì)量。不管你使用什么編寫，SonarQube可以分析20多種編程語(yǔ)言。另外它的持續(xù)集成工具可以輕松地集成到Jenkins之類的產(chǎn)品中。發(fā)現(xiàn)問題后以綠色或紅色突出顯示，清晰明了。綠色不是沒問題而是代表低風(fēng)險(xiǎn)的漏洞和問題，紅色則表示嚴(yán)重的漏洞和問題。對(duì)于相對(duì)較新的測(cè)試人員，有一個(gè)交互式GUI;而高級(jí)用戶可以通過命令提示符進(jìn)行訪問。

5. SQLMap

SQLMap完全免費(fèi)，可以自動(dòng)化查找SQL注入漏洞的過程，也可以用于網(wǎng)站的安全測(cè)試。它附帶一個(gè)功能強(qiáng)大的測(cè)試引擎，支持多種數(shù)據(jù)庫(kù)，能夠支持6種類型的SQL注入技術(shù)：基于布爾的盲注、基于錯(cuò)誤、帶外、堆疊查詢、基于時(shí)間的盲注、UNION查詢。

6. Wireshark

Wireshark也是免費(fèi)開源的網(wǎng)絡(luò)數(shù)據(jù)包分析軟件。它可以截取網(wǎng)絡(luò)數(shù)據(jù)包，會(huì)為你盡可能顯示出最詳細(xì)的數(shù)據(jù)。還可以可提供實(shí)時(shí)網(wǎng)絡(luò)分析，讓用戶看到重建的TCP會(huì)話流。很多安全從業(yè)者對(duì)它都很熟悉，因?yàn)閃ireshark的使用頻率高，是個(gè)很好用的工具喔。

7. Kismet

Kismet是一個(gè)流量監(jiān)測(cè)工具，基于控制臺(tái)的802.11第2層無(wú)線網(wǎng)絡(luò)檢測(cè)器、嗅探器和入侵檢測(cè)系統(tǒng)。主要通過被動(dòng)嗅探識(shí)別網(wǎng)絡(luò)，還可以發(fā)現(xiàn)正在使用中的隱藏網(wǎng)絡(luò)。通過嗅探TCP、UDP、ARP和DHCP數(shù)據(jù)包自動(dòng)檢測(cè)網(wǎng)絡(luò)IP塊，以Wireshark / tcpdump兼容格式記錄流量，甚至可以在下載的地圖上繪制檢測(cè)到的網(wǎng)絡(luò)和預(yù)估范圍。

8. Nessus

Nessus 可以說是漏洞評(píng)估領(lǐng)域的行業(yè)標(biāo)準(zhǔn)，能夠快速識(shí)別和修復(fù)問題，有了它安全人員可以省心一半。借助預(yù)先構(gòu)建的策略和模板、群組暫停功能和實(shí)時(shí)更新等功能，可以輕松、直觀地進(jìn)行漏洞評(píng)估。這款工具很活躍，常常會(huì)發(fā)布新版本。