net做网站,著名网站建设公司,廊坊建设网站的公司,网站开发 先做前端吗一、实战集成工具
1. 虚拟机 VMware Workstation#xff1a;大家熟知的虚拟机 Virtual Box#xff1a;开源免费、轻量级
2. Kali Linux
工具集
信息收集
Nmap#xff1a;免费开放的网络扫描和嗅探包#xff0c;可探测主机是否在线#xff0c;扫描主机端口和嗅探网络…一、实战集成工具
1. 虚拟机 VMware Workstation大家熟知的虚拟机 Virtual Box开源免费、轻量级
2. Kali Linux
工具集
信息收集
Nmap免费开放的网络扫描和嗅探包可探测主机是否在线扫描主机端口和嗅探网络服务、推断主机所用的操作系统。Recon-NG用Python编写的开源Web侦查信息收集框架。
扫描类
Nessus世界上最流行的漏洞扫描程序可同时在本机或远端上遥控支持自定义插件BurpSuite为其它工具提供一个能处理并显示HTTP消息、持久性、认证、代理、日志、警报的强大的可扩展的框架
渗透类
SubterfugePython编写的中间人攻击框架集成代码注入、隧道模块、网络视图控制接口功能Metasploit免费、可下载的框架内含大量渗透攻击工具
密码类
mimikatz密码抓取破解神器Hydra暴力密码破解工具
无线网络
aircrack-ng无线网络破解工具Gerix Wifi Cracker嗅探无线网络数据
取证类
Wireshark网络封包分析软件。可对网络上的数据分组截取并分析。Maltego具有优秀的开源情报搜集能力可深入挖掘域名信息、收集相关新闻报道等
3. BlackArch Linux
基于Arch Linux的发行版服务于系统渗透测试人员及安全研究人员
4. Metasploit
集成在Kali Linux系统中 基本模块如下
渗透模块辅助模块攻击载荷模块Shellcode模块
二、其他渗透工具集成系统
BackBox 基于Ubuntu被开发用于网络渗透测试及安全评估同时包含了一些最常用的Linux安全及分析工具使用群体十分广泛Web 应用程序分析、网络分析、压力测试、嗅探漏洞评估、计算机取证分析以及漏洞利用。快捷易于使用。Parrot Security -基于 Debian GNU/Linux 的操作系统混合了 Frozenbox OS 和Kali Linux提供最优质的渗透测试体验。DEFT (数字证据及取证工具箱)是一款带有高级数字响应工具的基于Linux Kerel 3的操作系统包含了最佳的硬件用于应急响应和计算机取证的其他开源应用软件。Live Hacking 一款基于Linux的带有强大渗透功能的黑客工具。自带的工具可进行Hacking信息探察、密码破解、网络嗅探、欺骗(或伪装)和无线网络工具等。提供了一个内置GNOME的图形界面同时也能支持命令行。Samurai Web Security Framework 基于 Live Linux 环境下的预置了Web渗透测试的系统包含了多款优秀的开源和免费测试工具。开发者已经把包括侦查、映射、探索和利用的攻击的4个步骤都集成到了发行版中。Network Security Toolkit( NST ) 基于FedoraCore。这份工具包主要目的是理员提供一套较全面的开源网络安全工具能够方便地使用。可以执行网络流量分析、入侵监测、无线网络监控和模拟系统服务或是用作一台精密的网络/主机扫描器。BugTrag 一个完整的对计算机安全漏洞的公告及详细论述进行适度披露的邮件列表。是一个很全面的发行版,包括了优化后的、稳定的实时自动服务管理器。基于Linux内核3.2和3.4支持32位和64位。NodeZero 基于Ubuntu搭建的、专门用于渗透测试的完整系统保证不断更新磁盘安装和自由可定制提供300个用于渗透测试的工具和一系列基本服务程序。Pentoo 专为渗透测试和安全评估之用。提供了 32 位和 64位的 Live CD。功能有数据分组注入、GPU破解软件等。自身携带了大量的自定义工具和内核。GnackTrack 是一个开放、自由的项目目的是将渗透测试工具与Linux Gnome桌面相整合是一款 Live(也可安装)的基于Ubuntu 的Linux 发行版类似 BackTrack包含很多工具这些工具对渗透测试很有帮助。Blackbuntu 这个发行版带来了如网络扫描、信息获取、渗透、漏洞识别权限提升无线网络分析、VoIP分析等名类工具。是一套专门为安全训练的学习者和信息安全的练习者准备的渗透测试系统所以很适合初学者使用。Knoppix STD 从Ubuntu迁移到了Debian现在的版本是一款基于Debian的LiveCD Linux 发行版。Weakerth4n 基于Debian Squeeze 的渗透测试系统它的桌面环境用的是Fluxbox. 这套系统很适合WiFi hacking它包含了很多无线工具最适用于 Wi-Fi攻击。它基于Debian Squeeze 发行版具有 Wi-Fi攻击、Cisco漏洞利用、SQL 入侵、Web 入侵、蓝牙及其他功能。还有一个非常热心的社区。Cyborg Hawk 是迄今以来最先进、强大而美观的渗透测试发行版收集了最完备的具,包含了很多给专业的伦理黑客、网络安全专家们提供的优秀工具可供专业的白帽黑客和网络安全专家使用。它带有700个以上的工具而Kali Linux仅有300多个。
三、攻防模拟环境
1. DVWA
PHPMySQL编写的需要ApachePHPMySQL调试环境 用于常规Web漏洞教学和检测的Web脆弱性测试程序包含SQL注入、XSS、CSRF等常见安全漏洞 官方网址
2. WebGoat
WebGoat 是由著名的OWASP(Open Web Application Security Project)负责维护的一个漏洞百出的J2EE Web应用程序使用Java编写需要Apache Tomcat和Java环境。 WebGoat项目的主要目标很简单就是为Web应用程序安全学习创建一个生动的交互式教学环境。其中设计了大量的 Web 缺陷,一步步地指导用户如何去利用这些漏洞进行攻击同时也指出了如何在程序设计和编码时避免这些漏洞。 war文件下载地址
3. SQLi-Labs
专业的SQL注入练习平台基本操作均与SQL注入相关 依赖Web环境需要先安装PHP和MySQL等并对SQLi-Labs进行安装 安装源程序下载地址
可测试类型
报错型注入Union Select包括字符串型和数字型报错型注入基于二次注入盲注包括普通判定注入和基于时间的注入。更新查询注入。插入查询注入。HTTP头部注入包括基于提供者、用户代理、Cookies 的注入。二次排序注入。绕过 WAF:绕过黑名单过滤剥离ORAND、空格、注释和UNIONSELECT;阻抗不匹配。绕过预定义字符。绕过mysql real escape_string(特定条件下)。多语句 SQL 注入。带外通道提取。
4. Metasploitable
基于Ubuntu Linux可以用来做网络安全学习训练测试安全工具以及练习通用的渗透测试技巧。由于基于UbuntuMetasploitable 就是用来作为攻击用的靶机所以它存在大量未打补丁的漏洞并且开放了无数高危端口。 所需虚拟机下载地址 登录系统的默认用户名和密码是msfadmin:msfadmin。
参考文献
网络空间安全实战基础 陈铁名 中国工信出版集团 人民邮电出版社
