哪些网站可以用来做渗透测试
以下网站可以用来做渗透测试:
Kali Linux:Kali的前身是BackTrack Linux,由进攻性安全部门的专业人员维护,它在各个方面都进行了优化,可以作为进攻性渗透测试器使用。
Nmap:作为端口扫描器的鼻祖,nmap (network mapper)是一种久经考验的测试工具,很少有人能离开它。哪些端口是开放的?那些端口上运行着什么?这是pentester在测试阶段必不可少的信息,nmap通常是这项工作的最佳工具。
Metasploit:对于大多数的测试者而言,Metasploit自动化了大量以前繁琐的工作,并且真正成为“世界上最常用的渗透测试框架”,正如它的网站所鼓吹的那样。Metasploit是一个由Rapid7提供商业支持的开源项目,对于防御者来说,它是保护他们的系统免受攻击的必备工具。
Wireshark:Wireshark是一种无处不在的工具,用于理解通过网络传输的流量。虽然Wireshark通常用于深入研究日常TCP/IP连接问题,但它支持对数百个协议的分析,包括对其中许多协议的实时分析和解密支持。如果您是测试新手,Wireshark是一个必须学习的工具。
Hydra:当您需要在线破解密码时,John的伙伴Hydra就会发挥作用,比如SSH或FTP登录、IMAP、IRC、RDP等。把Hydra指向你想要破解的服务,如果你愿意,可以给它一个密码列表,然后开始破解。诸如Hydra之类的工具会提醒我们,为什么限制密码尝试的次数,以及在少量登录尝试后断开用户连接可以成功减轻攻击者的防御能力。
Burp Suite:任何关于pentest工具的讨论都必须提到web漏洞扫描器Burp Suite,与目前提到的其他工具不同,它不是免费的,而是专业人员使用的昂贵工具。虽然有一个Burp Suite社区版,但它缺少很多功能,而Burp Suite企业版的售价高达每年3999美元。
黑客导航:含有众多网安同类的官方网站及平台,无论是老司机还是萌新,都可以找到相关的技术文章以学习。
Game of Hacks:基于游戏的方式来测试使用者的安全技术,每个任务题目提供了大量的代码,其中有可能有也可能没有的安全漏洞。
封神台靶场:是一个在线练习靶场,也是一个在线黑客攻防演练平台,市面上的网站漏洞组成复杂,且有法律风险,想要提升技术能力,封神台靶场无疑是一个很好的选择。
BWAPP:是一个集成了各种常见漏洞和最新漏洞的免费和开源的web应用程序安全项目,为了帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。
Damn Vulnerable IOS App(DVIA):是一个IOS安全应用,它的主要目标是给移动安全爱好者IOS的渗透测试技巧提供一个合法的平台,其涵盖了所有常见的IOS安全漏洞,免费开放源代码、漏洞测试和解决方案。
Dman Vulnerable Web Application(DVWA):基于php和mysql的虚拟web应用,其内置常见的Web漏洞,如SQL注入、xss之类的,也可以搭建在自己的电脑上。