1,Wireshark:網絡協議和數據包分析器,可以實時消除安全漏洞。如果要用它來分析發布到基於Web的應用程序表單上的信息和數據的固有安全風險,那麽它是非常合適的。它可以從藍牙、幀中繼、Ipsec、Kerberos和IEEE802.11采集實時數據。基於以太網的任何連接等。最好的功能是如何生成分析結果,並且很容易理解。
2.谷歌黑客:利用谷歌強大的搜索能力,我們可以在浩瀚的互聯網中搜索我們需要的信息。輕量級可以搜索出壹些不想被發現的後門和後臺入口。中量級可以搜索出壹些用戶信息泄露、未授權訪問、源代碼泄露等問題。重量級可以搜索出網站配置密碼、mdb文件下載、包含漏洞的php遠程文件CMS解鎖安裝頁面等重要信息。
3.What Web:壹個用於Kali網站指紋識別的工具,用Ruby語言開發。WhatWeb可以識別Web技術,包括:博客平臺、JavaScript庫、內容管理系統、統計/分析包、web服務器和嵌入式設備。Whatweb有900多個插件,每個插件都可以識別不同的東西。WhatWeb還可以識別版本號,如帳戶ID、電子郵件地址、SQL錯誤、Web框架模塊等。
4.Metasploit:網絡安全專業人士和白帽黑客的首選。許多大神在這個平臺上發布他們的知識。它有壹系列PERL支持的滲透測試工具,可以用來模擬任何類型的滲透測試。最大的優勢是它可以跟上不斷的發展和變化。
5.apps can:IBM的壹款網絡安全測試工具,價格昂貴但功能強大。它主要使用黑盒測試,通過網站的主頁抓取網站下所有可見的頁面和背景,通過SQL註入和跨腳本攻擊測試網站是否存在漏洞,還可以檢測cookie和會話周期等常見的web漏洞,並發布檢測結果的可視化報告,不僅可以看到漏洞,還可以提供詳細的漏洞原理、修改建議和手動驗證等功能。