1) Netsparker
Netsparker is een gebruiksvriendelijke beveiligingsscanner voor webtoepassingen die automatisch SQL Injection, XSS en andere kwetsbaarheden in uw webtoepassingen en webservices kan vinden. Het is beschikbaar als on-premise en SAAS-oplossing. Kenmerken
- Volkomen nauwkeurige detectie van kwetsbaarheden met de unieke Proof-Based Scanning-technologie.
- Minimale configuratie vereist. De scanner detecteert automatisch URL-herschrijfregels, aangepaste 404-foutpagina's.
- REST API voor naadloze integratie met de SDLC, bugvolgsystemen etc.
- Volledig schaalbare oplossing. Scan 1.000 webapplicaties in slechts 24 uur.
2) Acunetix
Acunetix is een volledig geautomatiseerde penetratietesttool. De beveiligingsscanner voor webtoepassingen scant nauwkeurig HTML5-, JavaScript- en Single-page-applicaties. Het kan complexe, geauthenticeerde webapps controleren en compliance- en managementrapporten uitgeven over een breed scala aan web- en netwerkkwetsbaarheden, waaronder out-of-band kwetsbaarheden.
Kenmerken:
- Scant op alle varianten van SQL Injection, XSS en 4500+ aanvullende kwetsbaarheden
- Detecteert meer dan 1200 kwetsbaarheden in WordPress-kern, thema's en plug-ins
- Snel en schaalbaar - doorzoekt honderdduizenden pagina's zonder onderbrekingen
- Integreert met populaire WAF's en Issue Trackers om te helpen bij de SDLC
- Beschikbaar op locatie en als cloudoplossing.
3) Indringer
Intruder is een krachtige, geautomatiseerde penetratietesttool die zwakke plekken in de beveiliging in uw IT-omgeving ontdekt. Intruder biedt toonaangevende beveiligingscontroles, continue monitoring en een gebruiksvriendelijk platform om bedrijven van elke omvang te beschermen tegen hackers.
Kenmerken
- Best-in-class dreigingsdekking met meer dan 10.000 beveiligingscontroles
- Controleert op zwakke punten in de configuratie, ontbrekende patches, zwakke punten in applicaties (zoals SQL-injectie en cross-site scripting) en meer
- Automatische analyse en prioritering van scanresultaten
- Intuïtieve interface, snel in te stellen en uw eerste scans uit te voeren
- Proactieve beveiligingsmonitoring voor de nieuwste kwetsbaarheden
- AWS-, Azure- en Google Cloud-connectoren
- API-integratie met uw CI / CD-pijplijn
4) Indusface
Indusface WAS biedt handmatige penetratietesten en geautomatiseerd scannen om kwetsbaarheden te detecteren en te rapporteren op basis van OWASP top 10 en SANS top 25.
Kenmerken
- Crawler scant applicaties van één pagina
- Functie onderbreken en hervatten
- Handmatige PT- en geautomatiseerde scannerrapporten worden weergegeven in hetzelfde dashboard
- Onbeperkte proof of concept-verzoeken bieden bewijs van gerapporteerde kwetsbaarheden en helpen bij het elimineren van vals-positieven uit geautomatiseerde scanbevindingen
- Optionele WAF-integratie voor onmiddellijke virtuele patching met Zero False Positive
- Breidt automatisch de crawldekking uit op basis van echte verkeersgegevens van de WAF-systemen (ingeval WAF is geabonneerd en gebruikt)
- 24 × 7 ondersteuning om saneringsrichtlijnen / POC te bespreken
5) Inbraakdetectiesoftware
Intrusion Detection Software is een tool waarmee u alle soorten geavanceerde bedreigingen kunt detecteren. Het biedt nalevingsrapportage voor DSS (Decision Support System) en HIPAA. Deze applicatie kan continu verdachte aanvallen en activiteiten volgen.
Kenmerken:
- Minimaliseer de inspanningen voor het detecteren van inbraak.
- Biedt naleving met effectieve rapportage.
- Biedt realtime logboeken.
- Het kan kwaadaardige IP's, applicaties, accounts en meer detecteren.
6) Traceroute NG
Traceroute NG is een applicatie waarmee u het netwerkpad kunt analyseren. Deze software kan IP-adressen, hostnamen en pakketverlies identificeren. Het biedt nauwkeurige analyse via de opdrachtregelinterface
Kenmerken:
- Het biedt zowel TCP- als ICMP-netwerkpadanalyse.
- Deze applicatie kan een txt-logfile aanmaken.
- Ondersteunt zowel IP4 als IPV6.
- Detecteer padveranderingen en geef u een melding.
- Maakt continu onderzoek van een netwerk mogelijk.
7) ExpressVPN
ExpressVPN beveiligt surfen op internet tegen drieletterige bureaus en oplichters. Het biedt onbeperkte toegang tot muziek, sociale media en video, zodat deze programma's nooit IP-adressen, browsegeschiedenis, DNS-zoekopdrachten of verkeersbestemmingen registreren.
Kenmerken:
- Servers op 160 locaties en 94 landen
- Maak verbinding met de VPN zonder enige beperking van de bandbreedte.
- Biedt online bescherming door middel van lekbestendigheid en versleuteling.
- Blijf veilig door het IP-adres te verbergen en uw netwerkgegevens te versleutelen.
- Assistentie is 24/7 beschikbaar via e-mail en livechat.
- Betaal met Bitcoin en gebruik Tor om toegang te krijgen tot verborgen sites.
8) Owasp
Het Open Web Application Security Project (OWASP) is een wereldwijde non-profitorganisatie die zich richt op het verbeteren van de beveiliging van software. Het project heeft meerdere tools om verschillende softwareomgevingen en protocollen te testen. Vlaggenschip-tools van het project zijn onder meer
- Zed Attack Proxy (ZAP - een geïntegreerde penetratietesttool)
- OWASP-afhankelijkheidscontrole (het scant op projectafhankelijkheden en controleert op bekende kwetsbaarheden)
- OWASP Web Testing Environment Project (verzameling van beveiligingstools en documentatie)
De OWASP-testgids geeft "best practices" voor penetratietesten van de meest voorkomende webapplicatie
Owasp-link
9) WireShark
Wireshark is een pentest-tool voor netwerkanalyse die voorheen bekend stond als Ethereal. Het vangt pakketten in realtime op en geeft ze weer in een door mensen leesbaar formaat. In feite is het een netwerkpakketanalysator - die de kleinste details geeft over uw netwerkprotocollen, decodering, pakketinformatie, enz. Het is een open source en kan worden gebruikt op Linux, Windows, OS X, Solaris, NetBSD, FreeBSD en vele andere andere systemen. De informatie die via deze tool wordt opgehaald, kan worden bekeken via een GUI of de TTY-modus TShark Utility.
WireShark-functies omvatten
- Live opname en offline analyse
- Uitgebreide VoIP-analyse
- Capture-bestanden die zijn gecomprimeerd met gzip, kunnen direct worden gedecomprimeerd
- De uitvoer kan worden geëxporteerd naar XML, PostScript, CSV of platte tekst
- Multi-platform: draait op Windows, Linux, FreeBSD, NetBSD en vele anderen
- Live-gegevens kunnen worden gelezen van internet, PPP / HDLC, ATM, Blue-tooth, USB, Token Ring, enz.
- Decoderingsondersteuning voor veel protocollen waaronder IPsec, ISAKMP, SSL / TLS, WEP en WPA / WPA2
- Voor een snelle intuïtieve analyse kunnen kleurregels op het pakket worden toegepast
- Lees / schrijf veel verschillende bestandsindelingen voor vastleggen
Wireshark Downloaden
10) w3af
w3af is een aanvals- en auditframework voor webtoepassingen. Het heeft drie soorten plug-ins; discovery, audit en attack die met elkaar communiceren voor eventuele kwetsbaarheden op de site, bijvoorbeeld een discovery-plug-in in w3af zoekt naar verschillende url's om te testen op kwetsbaarheden en stuurt deze door naar de audit-plug-in die deze URL's vervolgens gebruikt om te zoeken naar kwetsbaarheden.
Het kan ook worden geconfigureerd om te worden uitgevoerd als een MITM-proxy. Het onderschepte verzoek kan naar de verzoekgenerator worden gestuurd en vervolgens kunnen handmatige webtoepassingen worden getest met behulp van variabele parameters. Het heeft ook functies om misbruik te maken van de kwetsbaarheden die het vindt.
W3af-functies
- Proxy-ondersteuning
- HTTP-antwoordcache
- DNS-cache
- Bestanden uploaden met behulp van multipart
- Cookie-afhandeling
- HTTP-basis- en digest-authenticatie
- Vervalsing van user-agent
- Voeg aangepaste kopteksten toe aan verzoeken
w3af downloadlink
11) Metaspoilt
Dit is het meest populaire en geavanceerde Framework dat kan worden gebruikt voor pentest. Het is een open source tool gebaseerd op het concept van 'exploit', wat betekent dat je een code doorgeeft die de beveiligingsmaatregelen schendt en een bepaald systeem betreedt. Indien ingevoerd, voert het een 'payload' uit, een code die bewerkingen uitvoert op een doelcomputer, waardoor het perfecte raamwerk wordt gecreëerd voor penetratietesten. Het is een geweldige testtool om te testen of de IDS erin slaagt de aanvallen te voorkomen die we omzeilen
Metaspoilt kan gebruikt worden op netwerken, applicaties, servers, etc. Het heeft een command line en GUI aanklikbare interface, werkt op Apple Mac OS X, werkt op Linux en Microsoft Windows.
Kenmerken van Metaspoilt
- Basis opdrachtregelinterface
- Import door derden
- Handmatige brute forcering
- Handmatige brute forcering
- website penetratietesten
Metaspoilt downloadlink
12) Kali
Kali werkt alleen op Linux-machines. Hiermee kunt u een back-up- en herstelschema maken dat aan uw behoeften voldoet. Het bevordert een snelle en gemakkelijke manier om de grootste database met tot nu toe verzamelde beveiligingspenetratietests te vinden en bij te werken. Het zijn de beste tools die beschikbaar zijn voor het snuiven en injecteren van pakketten. Een expertise in het TCP / IP-protocol en netwerken kan nuttig zijn bij het gebruik van deze tool.
Kenmerken
- Toevoeging van 64-bits ondersteuning maakt het kraken van wachtwoorden met brute kracht mogelijk
- Back Track wordt geleverd met vooraf geladen tools voor LAN- en WLAN-sniffing, scannen op kwetsbaarheden, wachtwoordcracking en digitaal forensisch onderzoek
- Backtrack kan worden geïntegreerd met enkele beste tools zoals Metaspoilt en Wireshark
- Naast netwerktool omvat het ook pidgin, xmms, Mozilla, k3b, enz.
- Back-track ondersteunt KDE en Gnome.
Kali downloadlink
13) Samoeraikader:
Het Samurai Web Testing Framework is software voor pentesten. Het wordt ondersteund op VirtualBox en VMWare die vooraf zijn geconfigureerd om te functioneren als een webpen-testomgeving.
Kenmerken:
- Het is open source, gratis te gebruiken tool
- Het bevat het beste van de open source en gratis tools die zich richten op het testen en aanvallen van websites
- Het bevat ook een vooraf geconfigureerde wiki om de centrale informatieopslag tijdens de pentest op te zetten
Downloadlink: https://sourceforge.net/projects/samurai/files/
14) Aircrack:
Aircrack is een handig hulpmiddel voor draadloze pentesting. Het kraakt kwetsbare draadloze verbindingen. Het wordt mogelijk gemaakt door WEP WPA- en WPA 2-coderingssleutels.
Kenmerken:
- Meer kaarten / stuurprogramma's ondersteund
- Ondersteunt alle soorten besturingssystemen en platforms
- Nieuwe WEP-aanval: PTW
- Ondersteuning voor WEP-woordenboekaanval
- Ondersteuning voor fragmentatieaanvallen
- Verbeterde volgsnelheid
Downloadlink: https://www.aircrack-ng.org/downloads.html
15) ZAP:
ZAP is een van de meest populaire open source beveiligingstesttools. Het wordt onderhouden door honderden internationale vrijwilligers. Het kan gebruikers helpen om beveiligingsproblemen in webapplicaties te vinden tijdens de ontwikkelings- en testfase.
Kenmerken:
- Het helpt om de beveiligingslekken in de webapplicatie te identificeren door een daadwerkelijke aanval te simuleren
- Passief scannen analyseert de reacties van de server om bepaalde problemen te identificeren
- Het probeert met brute kracht toegang te krijgen tot bestanden en mappen.
- Spidering-functie helpt bij het construeren van de hiërarchische structuur van de website
- Het aanleveren van ongeldige of onverwachte gegevens om het te laten crashen of om onverwachte resultaten te produceren
- Handige tool om de open poorten op de doelwebsite te achterhalen
- Het biedt een interactieve Java-shell die kan worden gebruikt om BeanShell-scripts uit te voeren
- Het is volledig geïnternationaliseerd en ondersteunt 11 talen
Downloadlink: https://github.com/zaproxy/zaproxy/wiki
16) Sqlmap:
Sqlmap is een open source penetratietesttool. Het automatiseert het hele proces van het detecteren en exploiteren van fouten in SQL-injectie. Het wordt geleverd met veel detectiemotoren en functies voor een ideale penetratietest.
Kenmerken:
- Volledige ondersteuning voor zes SQL-injectietechnieken
- Maakt een directe verbinding met de database mogelijk zonder via een SQL-injectie te passeren
- Ondersteuning voor het inventariseren van gebruikers, wachtwoord-hashes, privileges, rollen, databases, tabellen en kolommen
- Automatische herkenning van wachtwoorden in hash-formaten en ondersteuning voor het kraken ervan
- Ondersteuning om databasetabellen volledig of specifieke kolommen te dumpen
- De gebruikers kunnen ook een reeks tekens selecteren uit de invoer van elke kolom
- Maakt het mogelijk om een TCP-verbinding tot stand te brengen tussen het getroffen systeem en de databaseserver
- Ondersteuning voor het zoeken naar specifieke databasenamen, tabellen of specifieke kolommen in alle databases en tabellen
- Staat toe om willekeurige opdrachten uit te voeren en hun standaarduitvoer op de databaseserver op te halen
Downloadlink: https://github.com/sqlmapproject/sqlmap
17) Sqlninja:
Sqlninja is een penetratietesttool. Het is bedoeld om SQL Injection-kwetsbaarheden op een webtoepassing te misbruiken. Het gebruikt Microsoft SQL Server als back-end. Het biedt ook externe toegang tot de kwetsbare DB-server, zelfs in een zeer vijandige omgeving.
Kenmerken:
- Vingerafdrukken van de externe SQL
- Gegevensextractie, op tijd gebaseerd of met behulp van DNS-tunnel
- Maakt integratie met Metasploit3 mogelijk om grafische toegang tot de externe DB-server te verkrijgen
- Upload van uitvoerbaar bestand met alleen normale HTTP-verzoeken via VBScript of debug.exe
- Directe en reverse bindshell, zowel voor TCP als UDP
- Creëren van een aangepaste xp cmdshell als de originele niet beschikbaar is op w2k3 met behulp van token kidnapping
Downloadlink: http://sqlninja.sourceforge.net/download.html
18) Rundvlees:
Het Browser Exploitation Framework. Het is een pentesting-tool die zich richt op de webbrowser. Het gebruikt GitHub om problemen op te sporen en de git-repository te hosten.
Kenmerken:
- Het maakt het mogelijk om de feitelijke beveiligingsstatus te controleren door aanvalsvectoren aan de clientzijde te gebruiken
- BeEF maakt het mogelijk om met een of meer webbrowsers te haken. Het kan vervolgens worden gebruikt voor het starten van gerichte opdrachtmodules en verdere aanvallen op het systeem.
Downloadlink: http://beefproject.com
19) Dradis:
Dradis is een open source framework voor penetratietesten. Het maakt het mogelijk de informatie te behouden die kan worden gedeeld tussen de deelnemers aan een pentest. De verzamelde informatie helpt gebruikers te begrijpen wat is voltooid en wat moet worden voltooid.
Kenmerken:
- Eenvoudig proces voor het genereren van rapporten
- Ondersteuning voor bijlagen
- Naadloze samenwerking
- Integratie met bestaande systemen en tools met behulp van serverplug-ins
- Platform onafhankelijk
Downloadlink: https://dradisframework.com/ce
20) Snelle 7:
Nexpose Rapid 7 is nuttige software voor het beheer van kwetsbaarheden. Het bewaakt blootstellingen in realtime en past zich aan nieuwe bedreigingen aan met nieuwe gegevens, zodat gebruikers kunnen reageren op het moment van impact.
Kenmerken:
- Krijg een realtime overzicht van risico's
- Het biedt innovatieve en vooruitstrevende oplossingen die de gebruiker helpen zijn werk te doen
- Weet waarop u zich moet concentreren
- Breng meer naar uw beveiligingsprogramma
Downloadlink: https://www.rapid7.com/products/nexpose/download/
21) Hping:
Hping is een testtool voor het testen van een TCP / IP-pakketanalysator. Deze interface is geïnspireerd op het ping (8) UNIX-commando. Het ondersteunt TCP-, ICMP-, UDP- en RAW-IP-protocollen.
Kenmerken:
- Staat firewall testen toe
- Geavanceerde poortscanning
- Netwerktesten, gebruikmakend van verschillende protocollen, TOS, fragmentatie
- Handmatige pad-MTU-detectie
- Geavanceerde traceroute met alle ondersteunde protocollen
- Remote OS-vingerafdrukken en uptime raden
- Controle van TCP / IP-stapels
Downloadlink: https://github.com/antirez/hping
22) Superscan:
Superscan is een gratis, alleen voor Windows, closed-source penetratietesttool. Het bevat ook netwerktools zoals ping, traceroute, whois en HTTP HEAD.
Voorzien zijn van:
- Superieure scansnelheid
- Ondersteuning voor onbeperkte IP-bereiken
- Verbeterde hostdetectie met behulp van meerdere ICMP-methoden
- Bied ondersteuning voor het scannen van TCP SYN
- Eenvoudig genereren van HTML-rapporten
- Bronpoort scannen
- Uitgebreide banner grijpen
- Grote ingebouwde database met poortlijstbeschrijvingen
- Willekeurige volgorde van IP- en poortscanvolgorde
- Uitgebreide mogelijkheden voor het opsommen van Windows-hosts
Downloadlink: https://superscan.en.softonic.com/
23) ISS-scanner:
De IBM Internet Scanner is een pentesttool die de basis biedt voor effectieve netwerkbeveiliging voor elk bedrijf.
Kenmerken:
- Internet Scanner minimaliseert het bedrijfsrisico door de zwakke plekken in het netwerk te vinden
- Hiermee kunnen scans worden geautomatiseerd en kwetsbaarheden worden ontdekt
- Internet Scanner vermindert het risico door de beveiligingslekken of kwetsbaarheden in het netwerk te identificeren
- Compleet beheer van kwetsbaarheden
- Internet Scanner kan meer dan 1.300 soorten netwerkapparaten identificeren
Downloadlink : https://www.ibm.com/products/trials
24) Scapy:
Scapy is een krachtig en interactief hulpmiddel om de pentest te testen. Het kan veel klassieke taken aan, zoals scannen, onderzoeken en aanvallen op het netwerk.
Kenmerken:
- Het voert een aantal specifieke taken uit, zoals het verzenden van ongeldige frames, het injecteren van 802.11-frames. Het maakt gebruik van verschillende combinatietechnieken die moeilijk te doen zijn met andere tools
- Het stelt de gebruiker in staat om precies de pakketten te bouwen die ze willen
- Vermindert het aantal regels dat wordt geschreven om de specifieke code uit te voeren
Downloadlink: https://scapy.net/
25) IronWASP:
IronWASP is een open source-software voor het testen van de kwetsbaarheid van webapplicaties. Het is ontworpen om aanpasbaar te zijn, zodat gebruikers er hun eigen beveiligingsscanners mee kunnen maken.
Kenmerken:
- GUI gebaseerd en zeer gemakkelijk te gebruiken
- Het heeft een krachtige en effectieve scanengine
- Ondersteuning voor het opnemen van aanmeldingsvolgorde
- Rapporteren in zowel HTML- als RTF-indeling
- Controleert op meer dan 25 soorten webkwetsbaarheden
- Ondersteuning voor detectie van valse positieven en negatieven
- Het ondersteunt Python en Ruby
- Uitbreidbaar met plug-ins of modules in Python, Ruby, C # of VB.NET
Downloadlink: http://ironwasp.org/download.html
26) Ettercap:
Ettercap is een uitgebreide tool voor het testen van pennen. Het ondersteunt actieve en passieve dissectie. Het bevat ook veel functies voor netwerk- en hostanalyse.
Kenmerken:
- Het ondersteunt actieve en passieve dissectie van veel protocollen
- Kenmerk van ARP-vergiftiging om te snuffelen aan een geschakeld LAN tussen twee hosts
- Tekens kunnen in een server of een client worden geïnjecteerd terwijl ze een live verbinding onderhouden
- Ettercap kan een SSH-verbinding in full duplex opsporen
- Maakt het mogelijk om met HTTP SSL beveiligde gegevens te snuiven, zelfs wanneer de verbinding tot stand is gebracht met behulp van een proxy
- Maakt het maken van aangepaste plug-ins mogelijk met behulp van de API van Ettercap
Downloadlink: https://www.ettercap-project.org/downloads.html
27) Beveiligingsui:
Security Onion is een penetratietesttool. Het wordt gebruikt voor inbraakdetectie en bewaking van netwerkbeveiliging. Het heeft een gebruiksvriendelijke installatiewizard waarmee gebruikers een leger van gedistribueerde sensoren voor hun onderneming kunnen bouwen.
Kenmerken:
- Het is gebouwd op een gedistribueerd client-server-model
- Network Security Monitoring maakt bewaking van beveiligingsgerelateerde gebeurtenissen mogelijk
- Het biedt volledige pakketopname
- Netwerkgebaseerde en hostgebaseerde inbraakdetectiesystemen
- Het heeft een ingebouwd mechanisme om oude gegevens te verwijderen voordat het opslagapparaat zijn capaciteit heeft bereikt
Downloadlink: https://securityonion.net/
28) Personal Software Inspector:
Personal Software Inspector is een open source computerbeveiligingsoplossing. Deze tool kan kwetsbaarheden in applicaties op een pc of een server identificeren.
Kenmerken:
- Het is beschikbaar in acht verschillende talen
- Automatiseert de updates voor onveilige programma's
- Het omvat duizenden programma's en detecteert automatisch onveilige programma's
- Deze pentesttool scant de pc automatisch en regelmatig op kwetsbare programma's
- Detecteert en waarschuwt programma's die niet automatisch kunnen worden bijgewerkt
Downloadlink: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager
29) HconSTF:
HconSTF is een open source penetratietesttool op basis van verschillende browsertechnologieën. Het helpt elke beveiligingsprofessional om te assisteren bij de penetratietesten. Het bevat webtools die krachtig zijn in het doen van XSS, SQL-injectie, CSRF, Trace XSS, RFI, LFI, enz.
Kenmerken:
- Gecategoriseerde en uitgebreide toolset
- Elke optie is geconfigureerd voor penetratietesten
- Speciaal geconfigureerd en verbeterd om solide anonimiteit te verkrijgen
- Werkt voor het testen van webapps
- Eenvoudig te gebruiken en samenwerkend besturingssysteem
Downloadlink: http://www.hcon.in/
30) IBM Security AppScan:
IBM Security AppScan helpt de beveiliging van webapplicaties en mobiele applicaties te verbeteren. Het verbetert de applicatiebeveiliging en versterkt de naleving van regelgeving. Het helpt gebruikers om beveiligingsproblemen te identificeren en rapporten te genereren.
Kenmerken:
- Schakel ontwikkeling en kwaliteitscontrole in om tests uit te voeren tijdens het SDLC-proces
- Bepaal welke applicaties elke gebruiker kan testen
- Verspreid eenvoudig rapporten
- Vergroot de zichtbaarheid en krijg meer inzicht in bedrijfsrisico's
- Concentreer u op het vinden en oplossen van problemen
- Beheer de toegang tot informatie
Downloadlink: http://www-03.ibm.com/software/products/en/appscan
31) Arachni:
Arachni is een open source Ruby framework-gebaseerde tool voor penetratietesters en beheerders. Het wordt gebruikt om de veiligheid van moderne webapplicaties te evalueren.
Kenmerken:
- Het is een veelzijdige tool, dus het dekt een groot aantal use-cases. Dit varieert van een eenvoudig hulpprogramma voor de opdrachtregelscanner tot een wereldwijd hoogwaardig raster van scanners
- Optie voor meerdere implementaties
- Het biedt verifieerbare, inspecteerbare codebasis om het hoogste beschermingsniveau te garanderen
- Het kan gemakkelijk worden geïntegreerd met de browseromgeving
- Het biedt zeer gedetailleerde en goed gestructureerde rapporten
Downloadlink: https://sourceforge.net/projects/safe3wvs/files
32) Webbeveiliging:
Websecurify is een krachtige testomgeving voor beveiliging. Het is een gebruiksvriendelijke interface die eenvoudig en gemakkelijk te gebruiken is. Het biedt een combinatie van automatische en handmatige testtechnologieën voor kwetsbaarheid.
Kenmerken:
- Goede test- en scantechnologie
- Sterke testengine om URL's te detecteren
- Het is uitbreidbaar met veel beschikbare add-ons
- Het is beschikbaar voor alle grote desktop- en mobiele platforms
Downloadlink: https://www.websecurify.com/
33) Vega:
Vega is een open source webbeveiligingsscanner en pentestplatform om de beveiliging van webapplicaties te testen.
Kenmerken:
- Geautomatiseerde, handmatige en hybride beveiligingstests
- Het helpt gebruikers om kwetsbaarheden te vinden. Het kan cross-site scripting zijn, opgeslagen cross-site scripting, blinde SQL-injectie, shell-injectie, enz.
- Het kan automatisch inloggen op websites wanneer het wordt geleverd met gebruikersreferenties
- Het werkt effectief op Linux, OS X en Windows
- Vega-detectiemodules zijn geschreven in JavaScript
Downloadlink: https://subgraph.com/vega/download/index.nl.html
34) Wapiti:
Wapiti is een andere beroemde penetratietesttool. Hiermee kan de beveiliging van de webapplicaties worden gecontroleerd. Het ondersteunt zowel GET- als POST-HTTP-methoden voor de kwetsbaarheidscontrole.
Kenmerken:
- Genereert kwetsbaarheidsrapporten in verschillende formaten
- Het kan een scan of aanval onderbreken en hervatten
- Snelle en gemakkelijke manier om aanvalsmodules te activeren en deactiveren
- Ondersteuning van HTTP- en HTTPS-proxy's
- Het maakt het mogelijk de reikwijdte van de scan te beperken
- Automatische verwijdering van een parameter in URL's
- Importeren van cookies
- Het kan de verificatie van SSL-certificaten activeren of deactiveren
- Extraheer URL's uit Flash SWF-bestanden
Downloadlink: https://sourceforge.net/projects/wapiti/files/
35) Kismet:
Kismet is een draadloze netwerkdetector en inbraakdetectiesysteem. Het werkt met Wi-Fi-netwerken, maar kan worden uitgebreid via plug-ins, omdat het andere netwerktypes aankan.
Kenmerken:
- Staat standaard PCAP-logboekregistratie toe
- Client / Server modulaire architectuur
- Plug-in-architectuur om kernfuncties uit te breiden
- Ondersteuning voor meerdere opnamebronnen
- Gedistribueerd snuiven op afstand via lichtgewicht vastleggen op afstand
- XML-output voor integratie met andere tools
Downloadlink: https://www.kismetwireless.net/downloads/
36) Kali Linux:
Kali Linux is een open source pentesttool die wordt onderhouden en gefinancierd door Offensive Security.
Kenmerken:
- Volledige aanpassing van Kali ISO's met live-build om aangepaste Kali Linux-images te maken
- Het bevat een heleboel metapakketcollecties die verschillende toolsets samenvoegen
- ISO of Doom en andere Kali-recepten
- Schijfversleuteling op Raspberry Pi 2
- Live USB met meerdere Persistence Stores
Downloadlink: https://www.kali.org/
37) Papegaaienbeveiliging:
Parrot Security is een tool voor het testen van pennen. Het biedt een volledig draagbaar laboratorium voor experts op het gebied van beveiliging en digitaal forensisch onderzoek. Het helpt gebruikers ook om hun privacy te beschermen met anonimiteit en crypto-tools.
Kenmerken:
- Het bevat een volledig arsenaal aan op beveiliging gerichte tools om penetratietests, beveiligingsaudits en meer uit te voeren.
- Het wordt geleverd met vooraf geïnstalleerde en nuttige en bijgewerkte bibliotheken
- Biedt krachtige wereldwijde mirrorservers
- Maakt gemeenschapsgestuurde ontwikkeling mogelijk
- Biedt een afzonderlijk Cloud OS dat speciaal is ontworpen voor servers
Downloadlink: https://www.parrotsec.org/download/
38) OpenSSL:
Deze toolkit is in licentie gegeven onder een licentie in Apache-stijl. Het is een gratis en open source-project dat een complete toolkit biedt voor de TLS- en SSL-protocollen.
Kenmerken:
- Het is geschreven in C, maar wrappers zijn beschikbaar voor veel computertalen
- De bibliotheek bevat tools voor het genereren van RSA-privésleutels en verzoeken om certificaten te ondertekenen
- Controleer het CSR-bestand
- Verwijder Passphrase volledig van Key
- Maak een nieuwe privésleutel en laat het certificaatondertekeningsverzoek toe
Downloadlink: https://www.openssl.org/source/
39) Snuiven:
Snort is een open-source inbraakdetectie- en pentestsysteem. Het biedt de voordelen van op handtekeningen gebaseerde inspectiemethoden en op afwijkingen gebaseerde inspectiemethoden. Deze tool helpt gebruikers om maximale bescherming te krijgen tegen malwareaanvallen.
Kenmerken:
- Snort verwierf bekendheid omdat hij bedreigingen nauwkeurig op hoge snelheden kon detecteren
- Bescherm uw werkruimte snel tegen opkomende aanvallen
- Snort kan worden gebruikt om op maat gemaakte unieke netwerkbeveiligingsoplossingen te creëren
- Test het SSL-certificaat van een bepaalde URL
- Het kan controleren of een bepaald cijfer op de URL wordt geaccepteerd
- Controleer de autoriteit van de ondertekenaar van het certificaat
- Mogelijkheid om valse positieven / negatieven in te dienen
Downloadlink: https://www.snort.org/downloads
40) Kopkast:
BackBox is een Open Source Community-project met als doel de veiligheidscultuur in de IT-omgeving te verbeteren. Het is beschikbaar in twee verschillende variaties, zoals Backbox Linux en Backbox Cloud. Het bevat enkele van de meest algemeen bekende / gebruikte beveiligings- en analysehulpmiddelen.
Kenmerken:
- Het is een handig hulpmiddel om de behoefte aan bedrijfsmiddelen te verminderen en de kosten voor het beheer van meerdere netwerkapparaatvereisten te verlagen
- Het is een volledig geautomatiseerde pentesttool. Er zijn dus geen agents en geen netwerkconfiguratie nodig om wijzigingen aan te brengen. Om een geplande automatische configuratie uit te voeren
- Beveiligde toegang tot apparaten
- Organisaties kunnen tijd besparen omdat het niet nodig is om individuele netwerkapparaten te volgen
- Ondersteunt versleuteling van aanmeldingsgegevens en configuratiebestanden
- Zelfback-up en automatische externe opslag
- Biedt op IP gebaseerde toegangscontrole
- Het is niet nodig om een commando te schrijven, want het wordt geleverd met vooraf geconfigureerde commando's
Downloadlink: https://www.backbox.org/download/
41) THC Hydra:
Hydra is een parallelle login-cracker en pentesttool. Het is erg snel en flexibel, en nieuwe modules zijn gemakkelijk toe te voegen. Met deze tool kunnen onderzoekers en beveiligingsadviseurs ongeautoriseerde toegang opsporen.
Kenmerken:
- Full-time-geheugen trade-off tool-suites samen met het genereren, sorteren, converteren en opzoeken van regenboogtafels
- Het ondersteunt de regenboogtabel van elk hash-algoritme
- Ondersteunt regenboogtabel van elke karakterset
- Ondersteunt regenboogtafel in compact of onbewerkt bestandsformaat
- Berekening op ondersteuning van multi-coreprocessors
- Draait op Windows- en Linux-besturingssystemen
- Uniforme regenboogtabel-bestandsindeling op alle ondersteunde besturingssystemen
- Ondersteuning van GUI en opdrachtregelgebruikersinterface
Downloadlink: https://github.com/vanhauser-thc/thc-hydra
42) Reputatiemonitorwaarschuwing:
Open Threat Exchange Reputation Monitor is een gratis dienst. Hiermee kunnen professionals de reputatie van hun organisatie volgen. Met behulp van deze tool kunnen bedrijven en organisaties het openbare IP-adres en de domeinreputatie van hun activa volgen.
Kenmerken:
- Bewaakt cloud-, hybride cloud- en on-premise infrastructuur
- Levert continue informatie over bedreigingen om op de hoogte te blijven van bedreigingen wanneer deze zich voordoen
- Biedt de meest uitgebreide dreigingsdetectie en actiegerichte incidentresponsrichtlijnen
- Kan snel, gemakkelijk en met minder inspanningen worden geïmplementeerd
- Verlaagt de TCO ten opzichte van traditionele beveiligingsoplossingen
Downloadlink: https://cybersecurity.att.com/products/usm-anywhere/free-trial
43) John the Ripper:
John the Ripper, bekend als JTR, is een zeer populaire tool voor het kraken van wachtwoorden. Het wordt voornamelijk gebruikt om woordenboekaanvallen uit te voeren. Het helpt bij het identificeren van zwakke wachtwoordkwetsbaarheden in een netwerk. Het ondersteunt ook gebruikers tegen brute kracht en regenboogcrack-aanvallen.
Kenmerken:
- John the Ripper is gratis en Open Source-software
- Proactieve module voor het controleren van de wachtwoordsterkte
- Hiermee kunt u online door de documentatie bladeren
- Ondersteuning voor veel extra hash- en coderingstypen
- Hiermee kunt u online door de documentatie bladeren, inclusief een overzicht van wijzigingen tussen twee versies
Downloadlink: https://www.openwall.com/john/
44) Safe3-scanner:
Safe3WVS is een van de krachtigste testtools voor webkwetsbaarheid. Het wordt geleverd met kruiptechnologie voor webspinnen, met name webportals. Het is de snelste tool om problemen op te sporen zoals SQL-injectie, kwetsbaarheid bij uploaden en meer.
Kenmerken:
- Volledige ondersteuning voor Basic-, Digest- en HTTP-authenticaties.
- Intelligente webspin automatisch verwijdert herhaalde webpagina's
- Een automatische JavaScript-analysator biedt ondersteuning voor het extraheren van URL's uit Ajax, Web 2.0 en andere toepassingen
- Ondersteuning voor het scannen van SQL-injectie, het uploaden van kwetsbaarheid, het admin-pad en de kwetsbaarheid van de directorylijst
Downloadlink: https://sourceforge.net/projects/safe3wvs/files/latest/download
45) CloudFlare:
CloudFlare is CDN met robuuste beveiligingsfuncties. Online bedreigingen variëren van reactiespam en overmatig bot-crawlen tot kwaadaardige aanvallen zoals SQL-injectie. Het biedt bescherming tegen reactiespam, overmatig bot-crawlen en kwaadaardige aanvallen.
Voorzien zijn van:
- Het is een DDoS-beveiligingsnetwerk op ondernemingsniveau
- Webapplicatie-firewall helpt vanuit de collectieve intelligentie van het hele netwerk
- Het registreren van een domein met CloudFlare is de veiligste manier om u te beschermen tegen domeinkaping
- De functie Snelheidsbeperking beschermt de kritieke bronnen van de gebruiker. Het blokkeert bezoekers met een verdacht aantal aanvraagpercentages.
- CloudFlare Orbit lost beveiligingsproblemen op voor IOT-apparaten
Downloadlink: https://www.cloudflare.com/
46) Zenmap
Zenmap is de officiële Nmap Security Scanner-software. Het is een gratis en open source-applicatie voor meerdere platforms. Het is gemakkelijk te gebruiken voor beginners, maar biedt ook geavanceerde functies voor ervaren gebruikers.
Kenmerken:
- Interactieve en grafische resultaten bekijken
- Het vat details over een enkele host of een volledige scan samen op een handig scherm.
- Het kan zelfs een topologiekaart van ontdekte netwerken tekenen.
- Het kan de verschillen tussen twee scans laten zien.
- Hiermee kunnen beheerders nieuwe hosts of services volgen die op hun netwerk verschijnen. Of volg bestaande services die uitvallen
Downloadlink: https://nmap.org/download.html
De andere tools die nuttig kunnen zijn voor penetratietesten zijn
- Acunetix: het is een webkwetsbaarheidsscanner gericht op webapplicaties. Het is een dure tool in vergelijking met andere en biedt faciliteiten zoals cross-site scripting-testen, PCI-nalevingsrapporten, SQL-injectie, enz.
- Retina: het is meer een tool voor kwetsbaarheidsbeheer dan een pre-testtool
- Nessus: het concentreert zich op nalevingscontroles, het zoeken naar gevoelige gegevens, het scannen van IP-adressen, het scannen van websites, enz.
- Netsparker: deze tool wordt geleverd met een robuuste webapplicatiescanner die kwetsbaarheden identificeert en oplossingen suggereert. Er zijn gratis beperkte proefversies beschikbaar, maar meestal is het een commercieel product. Het helpt ook om SQL-injectie en LFI (Local File Induction) te benutten
- CORE Impact: deze software kan worden gebruikt voor penetratie van mobiele apparaten, wachtwoordidentificatie en -cracking, netwerkontwikkelingspenetratie enz. Het is een van de dure tools bij het testen van software
- Burpsuite: net als andere is deze software ook een commercieel product. Het werkt door proxy te onderscheppen, webapplicaties te scannen, content en functionaliteit te crawlen etc. Het voordeel van Burpsuite is dat je dit kunt gebruiken op Windows, Linux en Mac OS X-omgevingen.