網站滲透測試實務入門--工具清單

網站滲透測試實務入門--書中使用的工具列表                              (文字勘誤表)

工具清單
VMWare Player 虛擬機執行環境
nslookup Windows 自帶的 dns 查詢工具 
whois  查詢網域註冊的相關資訊
whois 查詢網域註冊的相關資訊
netcraft 線上查詢 Whois 的網站
twnic 線上查詢 Whois 的網站
whois.net 線上查詢 Whois 的網站
SiteDigger Google Hacking的輔助工具
theHarvester.py 找出指定網域裡的電子郵件資訊及其他相關資訊
HTTrack 複製網站,以供離線瀏覽
DirBuster 猜測網址的工具(暴力猜解URL)  (已整合到 ZAP)
NMAP 端口(連接埠)掃描工具
OWASP ZAP 整合型網站弱點探測及滲透工具
w3af 或 Windows安裝檔 提供 掃描、弱點評估、弱點利用的整合型工具
MSBSA 微軟提供區網內進行弱點評估的工具
wFetch 用來測試web站台提供哪些method存取的小工具
WebScarab 整合型網站弱點探測及滲透工具,功能與ZAP相仿,但已不再更新
BurpSuite 功能類似ZAP,但提供更深入的功能設定,使用彈性高
thc-hydra 可以暴力破解多種網路協定密碼的工具
SQLMap 針對網站 SQL injection 進行操作的強大工具
RainbowCrack 利用彩虹表進行離線密碼破解的工具,也提供彩虹表生成程式
John the Ripper 利用字典檔進行密碼破解的工具(也支援暴力破解規則)

線上資源
testfire 提供滲透測試練習的線上網站
zero bank 提供滲透測試練習的線上網站
cenzic bank 提供滲透測試練習的線上網站
vulnweb-asp
vulnweb-php
vulnweb-asp.net
提供滲透測試練習的線上網站
webgoatt WebGoat 滲透測試練習平台,請安裝於自己的機器上
DVWA PHP寫成的滲透測試練習平台,提供 LIVE CD
Java(JRE)  Java 的執行環境,請下載安裝
Python Python 的執行環境,請下載安裝

範例檔案
ZAP 2.3的中文語言包 提供ZAP2.3正體中文 
users.lst 範例用 使用者清單檔
password-2.lst 範例用 密碼清單檔 

其他輔助工具(持續整理中)






4 則留言:

  1. 為什麼我DOWNLOAD thc-hydra 的時候是文件當 不能開啟

    回覆刪除
    回覆
    1. https://github.com/0xAli/THC-Hydra/releases/download/7.5/hydra-7.5-windows.zip
      試試上面的網址看看。

      刪除
    2. OWASP ZAP 的載點好像已經掛了
      請問是否有更新的載點呢? 感謝

      刪除
    3. 最新版的ZAP下載網址:
      https://github.com/zaproxy/zaproxy/wiki/Downloads

      刪除