2017黑帽(Black Hat)大会十大渗透测试安全测试工具

admin
12860admin首席执行运营官
2018-08-09 07:22:19
12860 2018-08-09 07:22:19
黑客话题: 安全测试工具

十大安全工具由观众投票


我们非常高兴地宣布黑帽阿森纳十大安全工具背景结果。
到目前为止,我们收到了900多条回复。我们还排除了平均50票,因为他们被同化为尝试使用“自动化”脚本。
以下是观众选择的工具。


1 - WiPi猎人


它旨在检测由特殊软件和硬件执行的非法无线网络活动
示例: WiFi Pineapple
WiPi-Hunter模块
  • PiSavar:检测PineAP模块的活动并启动解除身份验证攻击(假接入点 - WiFi菠萝活动检测)
  • PiFinger:搜索wifi-pineapple跟踪并计算无线网络安全分数
  • PiDense:监控非法的无线网络活动。(假接入点)
  • PiKarma:检测由KARMA模块(假AP)执行的无线网络攻击。启动解除身份验证攻击(对于虚假接入点)
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/network_defense/wipihunter.md


2 - 利维坦框架


Leviathan是一个大规模审计工具包,具有广泛的服务发现,强力,SQL注入检测和运行自定义漏洞利用功能。它包含开源工具,如masscan,ncrack,dsss,并为您提供组合使用它们的灵活性。
该项目的主要目标是在全国范围内或在广泛的IP范围内审核尽可能多的系统。
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/exploitation/leviathan-framework.md


3 - WHID注射器


自HID Attacks首次公开亮相以来,已经发布了许多令人敬畏的研究,工具和设备。
然而,进攻性安全人员总是在寻找可以远程控制的廉价专用硬件(即通过WiFi或BT)。这就是WHID注射器的诞生方式。WHID代表WiFi-HID注射器,它是类固醇上的USB-Rubberducky / Bad-USB,旨在满足RedTeamers在其工作期间的需求。基于Atmega 32u4(即键盘,鼠标和串行仿真)和ESP-12(即Wifi AP /客户端),它可以通过WiFi网络轻松控制,并可能绕过气隙环境。

https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/hardware_iot/whid.md


4 - LuLu


LuLu是免费的开源macOS防火墙,旨在阻止未经授权(传出)的网络流量,除非用户明确批准
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/network_defense/lulu.md


5 - OWASP Zed攻击代理(ZAP)


OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全工具之一,并由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。它也是经验丰富的测试人员用于手动安全测试的绝佳工具。
一些内置功能包括:拦截代理服务器,传统和AJAX Web爬虫,自动扫描程序,被动扫描程序,强制浏览,Fuzzer,WebSocket支持,脚本语言和Plug-n-Hack支持。它有一个基于插件的架构和一个在线“市场”,允许添加新的或更新的功能。GUI控制面板易于使用,API功能使其成为SDLC中自动化测试和连续评估的理想选择。
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/webapp_security/zap.md


6 - Lynis


Lynis是运行Linux,macOS,BSD和其他Unix版本的系统的安全审计工具。该工具执行深入的安全扫描并在系统本身上运行。主要目标是测试安全防御并提供进一步系统强化的提示。它还将扫描一般系统信息,易受攻击的软件包以及可能的配置问题。由于Lynis是用POSIX shell脚本编写的,因此资源很少且依赖性很低。这使得该工具非常适合将其置于构建管道中,将其作为取证任务的一部分运行,或者在分配期间作为渗透测试工具运行。
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/hardening/lynis.md


7 - 法拉第


Faraday®,一个全面的漏洞管理平台,可简化您的工作,实现扫描和报告的自动化。实时协作环境,可提高审计和团队的透明度,速度和效率。这提供了更高的可见性,可帮助您进行更明智的安全投资并利用现有资源。
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/vulnerability_assessment/faraday.md


8 - Halcyon IDE


Halcyon是第一个专注于Nmap脚本(NSE)开发的IDE。这个研究思想起源于为企业渗透测试场景编写自定义Nmap脚本。开发Nmap脚本(NSE)的现有挑战是缺乏一个开发环境,可以轻松地为现实世界的扫描构建自定义脚本,同时足够快地开发这样的自定义脚本。Halcyon是免费使用的基于Java的应用程序,它带有代码智能,代码生成器,自动完成,调试和纠错选项以及其他一些开发IDE所具有的其他功能。这项研究开始为研究人员提供更好的开发接口/环境,从而增加了信息安全社区中NSE编写者的数量。
Halcyon IDE可以理解Nmap库以及传统的LUA语法。IDE中预先构建了可能的重复代码,例如Web爬行,强制执行等,这使得脚本编写者可以在开发大多数测试场景时节省时间。
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/frameworks/halcyon_ide.md


9 - 移动安全框架 - MobSF


移动安全框架(MobSF)是一种智能的,一体化的开源移动应用程序(Android / iOS / Windows)自动笔测试框架,能够执行静态和动态分析。它可用于Android,iOS和Windows移动应用程序的有效和快速安全性分析,并支持二进制文件(APK,IPA和APPX)和压缩源代码。MobSF还可以使用其API Fuzzer执行Web API安全测试,该API Fuzzer可以执行信息收集,分析安全标头,识别移动API特定漏洞,如XXE,SSRF,路径遍历,IDOR以及与会话和API速率限制相关的其他逻辑问题。
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/mobile_hacking/mobsf.md


10 - WarBerryPi


WarBerryPi在红色团队场景中被用作硬件植入物,我们希望在短时间内尽可能多地获取尽可能多的信息。只需找到一个网络端口并将其插入即可。脚本的设计方式旨在避免网络中可能导致检测并尽可能高效的噪声。WarBerry脚本是一组扫描工具,用于提供该功能。
https://github.com/toolswatch/blackhat-arsenal-tools/blob/master/red_team/warberrypi.md
本文标题:2017黑帽(Black Hat)大会十大渗透测试安全测试工具
本文作者:admin
本文来自:蚁安黑客官网
转载请注明本文链接:http://bbs.mayidui.net/t2041.html
游客
登录黑客论坛后才可以回帖,黑客登录 或者 注册黑客
weixin
蚁安黑客

找黑客工具、找黑客教程、找黑客朋友,你想不到的黑客技术这儿都有!

微信号:baiyiwangan