1) Netsparker
Netsparker, web uygulamalarınızda ve web hizmetlerinizde SQL Injection, XSS ve diğer güvenlik açıklarını otomatik olarak bulabilen, kullanımı kolay bir web uygulama güvenlik tarayıcısıdır. Şirket içi ve SAAS çözümü olarak mevcuttur. Özellikleri
- Benzersiz Kanıt Tabanlı Tarama Teknolojisi ile tam doğru güvenlik açığı tespiti.
- Minimum yapılandırma gerekli. Tarayıcı, URL yeniden yazma kurallarını, özel 404 hata sayfalarını otomatik olarak algılar.
- SDLC, hata izleme sistemleri vb. İle sorunsuz entegrasyon için REST API
- Tamamen ölçeklenebilir çözüm. Yalnızca 24 saat içinde 1.000 web uygulamasını tarayın.
2) Acunetix
Acunetix, tam otomatik bir penetrasyon test aracıdır. Web uygulaması güvenlik tarayıcısı, HTML5, JavaScript ve Tek sayfalı uygulamaları doğru şekilde tarar. Karmaşık, kimliği doğrulanmış web uygulamalarını denetleyebilir ve bant dışı güvenlik açıkları dahil olmak üzere çok çeşitli web ve ağ güvenlik açıkları hakkında uyum ve yönetim raporları yayınlayabilir.
Özellikleri:
- Tüm SQL Injection, XSS ve 4500+ ek güvenlik açığı çeşitlerini tarar
- 1200'den fazla WordPress çekirdeği, teması ve eklenti güvenlik açıklarını tespit eder
- Hızlı ve Ölçeklenebilir - kesintisiz yüz binlerce sayfayı tarar
- SDLC'ye yardımcı olmak için popüler WAF'ler ve Sorun İzleyiciler ile entegre olur
- Şirket İçi ve Bulut çözümü olarak sunulur.
3) Hırsız
Intruder, BT ortamınızdaki güvenlik zayıflıklarını keşfeden güçlü, otomatik bir sızma testi aracıdır. Sektör lideri güvenlik kontrolleri, sürekli izleme ve kullanımı kolay bir platform sunan Intruder, her boyuttaki işletmeyi bilgisayar korsanlarından korur.
Özellikleri
- 10.000'den fazla güvenlik kontrolüyle sınıfının en iyisi tehdit kapsamı
- Yapılandırma zayıflıkları, eksik yamalar, uygulama zayıflıkları (SQL enjeksiyonu ve siteler arası komut dosyası oluşturma gibi) ve daha fazlasını denetler
- Tarama sonuçlarının otomatik analizi ve önceliklendirilmesi
- Sezgisel arayüz, hızlı kurulum ve ilk taramalarınızı çalıştırma
- En son güvenlik açıkları için proaktif güvenlik izleme
- AWS, Azure ve Google Cloud bağlayıcıları
- CI / CD ardışık düzeninizle API entegrasyonu
4) İndusface
Indusface WAS, OWASP ilk 10 ve SANS ilk 25'e göre güvenlik açıklarını tespit etmek ve bildirmek için manuel Penetrasyon testi ve otomatik tarama sunar.
Özellikleri
- Tarayıcı, tek sayfalı uygulamaları tarar
- Duraklatma ve devam ettirme özelliği
- Aynı panoda görüntülenen Manuel PT ve Otomatik tarayıcı raporları
- Sınırsız konsept kanıtı talepleri, bildirilen güvenlik açıklarının kanıtını sunar ve otomatik tarama bulgularından yanlış pozitifin ortadan kaldırılmasına yardımcı olur
- Sıfır Yanlış pozitif ile anında sanal yama sağlamak için isteğe bağlı WAF entegrasyonu
- WAF sistemlerinden gelen gerçek trafik verilerine dayalı olarak tarama kapsamını otomatik olarak genişletir (WAF'a abone olunması ve kullanılması durumunda)
- İyileştirme yönergelerini / POC'yi tartışmak için 7 gün 24 saat destek
5) Saldırı Tespit Yazılımı
İzinsiz Giriş Tespit Yazılımı, her tür gelişmiş tehdidi tespit etmenizi sağlayan bir araçtır. DSS (Karar Destek Sistemi) ve HIPAA için uyumluluk raporlaması sağlar. Bu uygulama şüpheli saldırıları ve etkinlikleri sürekli olarak izleyebilir.
Özellikleri:
- İzinsiz girişi tespit etme çabalarını en aza indirin.
- Etkili raporlama ile uyum sağlar.
- Gerçek zamanlı günlükler sağlar.
- Kötü amaçlı IP'leri, uygulamaları, hesapları ve daha fazlasını tespit edebilir.
6) Traceroute NG
Traceroute NG, ağ yolunu analiz etmenizi sağlayan bir uygulamadır. Bu yazılım, IP adreslerini, ana bilgisayar adlarını ve paket kaybını belirleyebilir. Komut satırı arayüzü aracılığıyla doğru analiz sağlar
Özellikleri:
- Hem TCP hem de ICMP ağ yolu analizi sunar.
- Bu uygulama bir txt günlük dosyası oluşturabilir.
- Hem IP4 hem de IPV6'yı destekler.
- Yol değişikliklerini tespit edin ve size bir bildirim verin.
- Bir ağın sürekli araştırılmasına izin verir.
7) ExpressVPN
ExpressVPN, internette gezinmeyi üç harfli ajanslara ve dolandırıcılara karşı korur. Müziğe, sosyal medyaya ve videoya sınırsız erişim sağlar, öyle ki bu programlar hiçbir zaman IP adreslerini, tarama geçmişini, DNS sorgularını veya trafik hedefini kaydetmez.
Özellikleri:
- 160 lokasyonda ve 94 ülkede sunucular
- Herhangi bir bant genişliği sınırlaması olmaksızın VPN'e bağlanın.
- Sızıntı önleme ve şifreleme kullanarak çevrimiçi koruma sağlar.
- IP adresini gizleyerek ve ağ verilerinizi şifreleyerek güvende kalın.
- Yardım, e-posta ve canlı sohbet yoluyla 7/24 mevcuttur.
- Gizli sitelere erişmek için Bitcoin ile ödeme yapın ve Tor'u kullanın.
8) Owasp
Açık Web Uygulama Güvenliği Projesi (OWASP), yazılım güvenliğini artırmaya odaklanan dünya çapında kar amacı gütmeyen bir kuruluştur. Proje, çeşitli yazılım ortamlarını ve protokollerini test etmek için birden fazla araca sahiptir. Projenin amiral gemisi araçları şunları içerir:
- Zed Attack Proxy (ZAP - entegre bir sızma testi aracı)
- OWASP Bağımlılık Kontrolü (proje bağımlılıklarını tarar ve bilinen güvenlik açıklarına karşı kontrol eder)
- OWASP Web Test Ortamı Projesi (güvenlik araçları ve dokümantasyon koleksiyonu)
OWASP test kılavuzu, en yaygın web uygulamasına sızma testi yapmak için "en iyi uygulamayı" verir
Owasp bağlantısı
9) WireShark
Wireshark, daha önce Ethereal olarak bilinen bir ağ analiz pentest aracıdır. Paketi gerçek zamanlı olarak yakalar ve bunları insan tarafından okunabilir biçimde görüntüler. Temel olarak, ağ protokolleriniz, şifre çözme, paket bilgileriniz vb. Hakkında en küçük ayrıntıları sağlayan bir ağ paket analizcisidir. Açık kaynaktır ve Linux, Windows, OS X, Solaris, NetBSD, FreeBSD ve birçok diğer sistemler. Bu araç aracılığıyla alınan bilgiler bir GUI veya TTY modu TShark Yardımcı Programı aracılığıyla görüntülenebilir.
WireShark özellikleri şunları içerir:
- Canlı yakalama ve çevrimdışı analiz
- Zengin VoIP analizi
- Gzip ile sıkıştırılmış yakalama dosyaları anında açılabilir
- Çıktı XML, PostScript, CSV veya düz metne aktarılabilir
- Çoklu platform: Windows, Linux, FreeBSD, NetBSD ve diğerleri üzerinde çalışır
- Canlı veriler internetten, PPP / HDLC'den, ATM'den, Blue-diş'ten, USB'den, Token Ring'den vb. Okunabilir.
- IPsec, ISAKMP, SSL / TLS, WEP ve WPA / WPA2 içeren birçok protokol için şifre çözme desteği
- Hızlı sezgisel analiz için renklendirme kuralları pakete uygulanabilir
- Birçok farklı yakalama dosyası formatını okuyun / yazın
Wireshark İndir
10) w3af
w3af, bir web uygulaması saldırı ve denetim çerçevesidir. Üç tür eklenti vardır; Sitedeki güvenlik açıkları için birbirleriyle iletişim kuran keşif, denetim ve saldırı, örneğin w3af'daki bir keşif eklentisi, güvenlik açıklarını test etmek için farklı url'leri arar ve daha sonra güvenlik açıklarını aramak için bu URL'leri kullanan denetim eklentisine iletir.
Ayrıca bir MITM proxy'si olarak çalışacak şekilde yapılandırılabilir. Yakalanan istek, istek üreticisine gönderilebilir ve ardından değişken parametreler kullanılarak manuel web uygulama testi yapılabilir. Ayrıca bulduğu güvenlik açıklarından yararlanacak özelliklere de sahiptir.
W3af özellikleri
- Proxy desteği
- HTTP yanıt önbelleği
- DNS önbelleği
- Çok parçalı dosya yükleme
- Çerez kullanımı
- HTTP temel ve özet kimlik doğrulaması
- Kullanıcı aracısı taklidi
- İsteklere özel başlıklar ekleyin
w3af indirme bağlantısı
11) Metaspoilt
Bu, pentest için kullanılabilecek en popüler ve gelişmiş Çerçevedir. Güvenlik önlemlerini ihlal eden ve belirli bir sisteme giren bir kodu geçtiğiniz anlamına gelen 'istismar' kavramına dayanan açık kaynaklı bir araçtır. Girilirse, bir hedef makinede işlemleri gerçekleştiren bir kod olan bir 'yük' çalıştırır ve böylece sızma testi için mükemmel bir çerçeve oluşturur. IDS'nin atladığımız saldırıları önlemede başarılı olup olmadığını test etmek için harika bir test aracıdır.
Metaspoilt ağlarda, uygulamalarda, sunucularda vb. Kullanılabilir. Komut satırı ve GUI tıklanabilir arayüze sahiptir, Apple Mac OS X üzerinde çalışır, Linux ve Microsoft Windows üzerinde çalışır.
Metaspoilt'in Özellikleri
- Temel komut satırı arayüzü
- Üçüncü taraf ithalatı
- Manuel kaba zorlama
- Manuel kaba zorlama
- web sitesi penetrasyon testi
Metaspoilt indirme bağlantısı
12) Kali
Kali yalnızca Linux Makinelerinde çalışır. İhtiyaçlarınıza uygun bir yedekleme ve kurtarma programı oluşturmanıza olanak sağlar. Bugüne kadarki en büyük güvenlik sızma testi koleksiyonunu bulmanın ve güncellemenin hızlı ve kolay bir yolunu destekler. Paket koklamak ve enjekte etmek için mevcut en iyi araçtır. Bu aracı kullanırken TCP / IP protokolü ve ağ oluşturma konusunda bir uzmanlık faydalı olabilir.
Özellikleri
- 64 bit desteğinin eklenmesi, kaba kuvvet şifre kırmaya izin verir
- Back Track, LAN ve WLAN koklama, güvenlik açığı taraması, şifre kırma ve dijital adli tıp için önceden yüklenmiş araçlarla birlikte gelir
- Backtrack, Metaspoilt ve Wireshark gibi bazı en iyi araçlarla bütünleşir
- Ağ aracının yanı sıra, pidgin, xmms, Mozilla, k3b vb. İçerir.
- Arka parça desteği KDE ve Gnome.
Kali indirme bağlantısı
13) Samuray çerçevesi:
Samurai Web Testing Framework bir kalem test yazılımıdır. Bir web kalem testi ortamı olarak işlev görecek şekilde önceden yapılandırılmış olan VirtualBox ve VMWare'de desteklenir.
Özellikleri:
- Açık kaynaktır, kullanımı ücretsizdir
- Web sitesini test etmeye ve saldırmaya odaklanan en iyi açık kaynak ve ücretsiz araçları içerir.
- Ayrıca, kalem testi sırasında merkezi bilgi deposunu kurmak için önceden yapılandırılmış bir wiki içerir.
İndirme bağlantısı: https://sourceforge.net/projects/samurai/files/
14) Aircrack:
Aircrack, kullanışlı bir kablosuz pentesting aracıdır. Savunmasız kablosuz bağlantıları kırar. WEP WPA ve WPA 2 şifreleme Anahtarları ile güçlendirilmiştir.
Özellikleri:
- Daha fazla kart / sürücü desteklenir
- Her tür işletim sistemini ve platformu destekleyin
- Yeni WEP saldırısı: PTW
- WEP sözlük saldırısı desteği
- Parçalanma saldırısı desteği
- İyileştirilmiş izleme hızı
İndirme bağlantısı: https://www.aircrack-ng.org/downloads.html
15) ZAP:
ZAP, en popüler açık kaynaklı güvenlik test araçlarından biridir. Yüzlerce uluslararası gönüllü tarafından sürdürülmektedir. Kullanıcıların geliştirme ve test aşamasında web uygulamalarındaki güvenlik açıklarını bulmalarına yardımcı olabilir.
Özellikleri:
- Gerçek bir saldırıyı simüle ederek web uygulamasında bulunan güvenlik açıklarını belirlemeye yardımcı olur
- Pasif tarama, belirli sorunları belirlemek için sunucudan gelen yanıtları analiz eder
- Dosyalara ve dizinlere kaba kuvvet erişimini dener.
- Örümcek özelliği, web sitesinin hiyerarşik yapısını oluşturmaya yardımcı olur
- Geçersiz veya beklenmedik verileri çökertmek veya beklenmedik sonuçlar üretmek için sağlamak
- Hedef web sitesindeki açık bağlantı noktalarını bulmak için yararlı bir araç
- BeanShell komut dosyalarını yürütmek için kullanılabilen etkileşimli bir Java kabuğu sağlar
- Tamamen uluslararasılaştırılmıştır ve 11 dili destekler
İndirme bağlantısı: https://github.com/zaproxy/zaproxy/wiki
16) Sqlmap:
Sqlmap, açık kaynaklı bir sızma testi aracıdır. SQL enjeksiyon kusurlarını tespit etme ve kullanma sürecini otomatikleştirir. İdeal bir sızma testi için birçok algılama motoru ve özelliği ile birlikte gelir.
Özellikleri:
- Altı SQL enjeksiyon tekniği için tam destek
- SQL enjeksiyonu yoluyla geçmeden veritabanına doğrudan bağlantıya izin verir
- Kullanıcıları, şifre karmalarını, ayrıcalıkları, rolleri, veritabanlarını, tabloları ve sütunları numaralandırma desteği
- Hash formatlarında verilen şifrenin otomatik olarak tanınması ve kırılması için destek
- Veritabanı tablolarının tamamını veya belirli sütunları dökmek için destek
- Kullanıcılar ayrıca her bir sütunun girişinden bir karakter aralığı seçebilirler.
- Etkilenen sistem ile veritabanı sunucusu arasında TCP bağlantısı kurmaya izin verir
- Tüm veritabanları ve tablolarda belirli veritabanı adlarını, tabloları veya belirli sütunları arama desteği
- İsteğe bağlı komutları yürütmeye ve standart çıktılarını veritabanı sunucusunda almaya izin verir
İndirme bağlantısı: https://github.com/sqlmapproject/sqlmap
17) Sqlninja:
Sqlninja bir sızma testi aracıdır. Bir web uygulamasında SQL Enjeksiyon zafiyetlerinden yararlanılması amaçlanmaktadır. Arka uç olarak Microsoft SQL Sunucusunu kullanır. Ayrıca, çok düşmanca bir ortamda bile savunmasız DB sunucusuna uzaktan erişim sağlar.
Özellikleri:
- Uzak SQL'in parmak izi
- Veri çıkarma, zamana dayalı veya DNS tüneli kullanarak
- Uzak DB sunucusuna grafiksel erişim elde etmek için Metasploit3 ile Entegrasyona izin verir
- VBScript veya debug.exe aracılığıyla yalnızca normal HTTP istekleri kullanılarak yürütülebilir dosyanın yüklenmesi
- Hem TCP hem de UDP için doğrudan ve ters bağlantı kabuğu
- Orijinal olan w2k3'te token kaçırma kullanılarak mevcut değilse, özel bir xp cmdshell oluşturma
İndirme bağlantısı: http://sqlninja.sourceforge.net/download.html
18) Sığır Eti:
Tarayıcı Sömürü Çerçevesi. Web tarayıcısına odaklanan bir test aracıdır. Sorunları izlemek ve git deposunu barındırmak için GitHub kullanır.
Özellikleri:
- İstemci tarafı saldırı vektörlerini kullanarak gerçek güvenlik duruşunu kontrol etmeyi sağlar
- BeEF, bir veya daha fazla web tarayıcısı ile bağlantı kurmaya izin verir. Daha sonra yönlendirilmiş komut modüllerini başlatmak ve sisteme yapılacak diğer saldırılar için kullanılabilir.
İndirme bağlantısı: http://beefproject.com
19) Dradis:
Dradis, sızma testi için açık kaynaklı bir çerçevedir. Kalem testinin katılımcıları arasında paylaşılabilecek bilgilerin korunmasını sağlar. Toplanan bilgiler, kullanıcıların neyin tamamlandığını ve neyin tamamlanması gerektiğini anlamasına yardımcı olur.
Özellikleri:
- Rapor oluşturmak için kolay süreç
- Ekler için destek
- Sorunsuz işbirliği
- Sunucu eklentilerini kullanarak mevcut sistemler ve araçlarla entegrasyon
- Platform bağımsız
İndirme bağlantısı: https://dradisframework.com/ce
20) Hızlı 7:
Nexpose Rapid 7, kullanışlı bir güvenlik açığı yönetimi yazılımıdır. Maruziyetleri gerçek zamanlı olarak izler ve yeni tehditlere yeni verilerle uyum sağlayarak kullanıcıların etki anında harekete geçmesine yardımcı olur.
Özellikleri:
- Gerçek Zamanlı Bir Risk Görünümü Alın
- Kullanıcının işlerini halletmesine yardımcı olan yenilikçi ve ilerici çözümler getiriyor
- Nereye Odaklanacağınızı Bilin
- Güvenlik Programınıza Daha Fazlasını Getirin
İndirme bağlantısı: https://www.rapid7.com/products/nexpose/download/
21) Hping:
Hping, bir TCP / IP paket analizörü kalem test aracıdır. Bu arayüz, ping (8) UNIX komutundan esinlenmiştir. TCP, ICMP, UDP ve RAW-IP protokollerini destekler.
Özellikleri:
- Güvenlik duvarı testine izin verir
- Gelişmiş bağlantı noktası taraması
- Farklı protokoller, TOS, parçalanma kullanarak ağ testi
- Manuel yol MTU keşfi
- Desteklenen tüm protokollerle gelişmiş traceroute
- Uzaktan işletim sistemi parmak izi ve çalışma süresi tahmini
- TCP / IP yığın denetimi
İndirme bağlantısı: https://github.com/antirez/hping
22) Süper Tarama:
Superscan, Windows'a özel ücretsiz bir kapalı kaynak sızma testi aracıdır. Ayrıca ping, traceroute, whois ve HTTP HEAD gibi ağ oluşturma araçlarını da içerir.
Özellik:
- Üstün tarama hızı
- Sınırsız IP aralığı desteği
- Birden çok ICMP yöntemi kullanılarak geliştirilmiş ana bilgisayar algılama
- TCP SYN taraması için destek sağlayın
- Basit HTML raporu oluşturma
- Kaynak bağlantı noktası taraması
- Kapsamlı afiş kapma
- Büyük yerleşik bağlantı noktası listesi açıklama veritabanı
- IP ve port tarama sırası randomizasyonu
- Kapsamlı Windows ana bilgisayar numaralandırma yeteneği
İndirme bağlantısı: https://superscan.en.softonic.com/
23) ISS Tarayıcı:
IBM Internet Scanner, herhangi bir işletme için etkili ağ güvenliği için temel oluşturan bir kalem test aracıdır.
Özellikleri:
- İnternet Tarayıcı, ağdaki zayıf noktaları bularak iş riskini en aza indirir
- Taramaları otomatikleştirmeye ve güvenlik açıklarını keşfetmeye izin verir
- İnternet Tarayıcı, ağdaki güvenlik açıklarını veya güvenlik açıklarını belirleyerek riski azaltır
- Eksiksiz Güvenlik Açığı Yönetimi
- İnternet Tarayıcı, 1.300'den fazla ağ bağlantılı cihazı tanımlayabilir
İndirme bağlantısı : https://www.ibm.com/products/trials
24) Scapy:
Scapy, güçlü ve etkileşimli bir kalem test aracıdır. Ağda tarama, araştırma ve saldırı gibi birçok klasik görevi yerine getirebilir.
Özellikleri:
- Geçersiz çerçeveler göndermek, 802.11 çerçevelerini enjekte etmek gibi bazı özel görevleri gerçekleştirir. Diğer araçlarla yapılması zor olan çeşitli birleştirme tekniklerini kullanır.
- Kullanıcının tam olarak istediği paketleri oluşturmasına izin verir
- Belirli kodu çalıştırmak için yazılan satır sayısını azaltır
İndirme bağlantısı: https://scapy.net/
25) IronWASP:
IronWASP, web uygulaması güvenlik açığı testleri için açık kaynaklı bir yazılımdır. Kullanıcıların bunu kullanarak kendi özel güvenlik tarayıcılarını oluşturabilmeleri için özelleştirilebilir olacak şekilde tasarlanmıştır.
Özellikleri:
- GUI tabanlı ve kullanımı çok kolay
- Güçlü ve etkili bir tarama motoruna sahiptir
- Oturum açma sırasını kaydetme desteği
- Hem HTML hem de RTF formatlarında raporlama
- 25'ten fazla web güvenlik açığı türünü denetler
- Yanlış Pozitifler ve Negatifler algılama desteği
- Python ve Ruby'yi destekler
- Python, Ruby, C # veya VB.NET'teki eklentiler veya modüller kullanılarak genişletilebilir
İndirme bağlantısı: http://ironwasp.org/download.html
26) Ettercap:
Ettercap kapsamlı bir kalem test aracıdır. Aktif ve pasif diseksiyonu destekler. Ayrıca, ağ ve ana bilgisayar analizi için birçok özellik içerir.
Özellikleri:
- Birçok protokolün aktif ve pasif diseksiyonunu destekler
- İki ana bilgisayar arasında anahtarlanmış bir LAN'ı koklamak için ARP zehirlenmesi özelliği
- Canlı bir bağlantı sürdürülürken bir sunucuya veya bir istemciye karakterler enjekte edilebilir
- Ettercap, tam çift yönlü olarak bir SSH bağlantısını koklayabilir
- Bağlantı proxy kullanılarak yapıldığında bile HTTP SSL güvenli verilerinin koklanmasına izin verir
- Ettercap'in API'sini kullanarak özel eklentiler oluşturmaya izin verir
İndirme bağlantısı: https://www.ettercap-project.org/downloads.html
27) Güvenlik Soğanı:
Security Onion bir sızma testi aracıdır. Saldırı tespiti ve ağ güvenliği takibi için kullanılır. Kullanımı kolay bir Kurulum sihirbazına sahiptir, kullanıcıların işletmeleri için dağıtılmış bir sensör ordusu oluşturmasına olanak tanır.
Özellikleri:
- Dağıtılmış bir istemci-sunucu modeli üzerine inşa edilmiştir
- Ağ Güvenliği İzleme, güvenlikle ilgili olayların izlenmesine olanak tanır
- Tam paket yakalama sunar
- Ağ tabanlı ve ana bilgisayar tabanlı saldırı tespit sistemleri
- Depolama cihazı kapasitesini doldurmadan önce eski verileri temizlemek için yerleşik bir mekanizmaya sahiptir
İndirme bağlantısı: https://securityonion.net/
28) Kişisel Yazılım Müfettişi:
Personal Software Inspector, açık kaynaklı bir bilgisayar güvenlik çözümüdür. Bu araç, bir PC veya Sunucudaki uygulamalardaki güvenlik açıklarını belirleyebilir.
Özellikleri:
- Sekiz farklı dilde mevcuttur
- Güvenli olmayan programlar için güncellemeleri otomatikleştirir
- Binlerce programı kapsar ve güvenli olmayan programları otomatik olarak algılar
- Bu kalem test aracı, PC'yi savunmasız programlara karşı otomatik ve düzenli olarak tarar
- Otomatik olarak güncellenemeyen programları algılar ve bilgilendirir
İndirme bağlantısı: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager
29) HconSTF:
HconSTF, farklı tarayıcı teknolojilerine dayalı Açık Kaynak Sızma Testi aracıdır. Herhangi bir güvenlik uzmanının Penetrasyon testine yardımcı olmasına yardımcı olur. XSS, SQL enjeksiyonu, CSRF, Trace XSS, RFI, LFI vb. Yapmada güçlü olan web araçlarını içerir.
Özellikleri:
- Kategorize ve kapsamlı araç seti
- Her seçenek sızma testi için yapılandırılmıştır
- Sağlam bir anonimlik elde etmek için özel olarak yapılandırılmış ve geliştirilmiştir
- Web uygulaması test değerlendirmeleri için çalışır
- Kullanımı kolay ve işbirliğine dayalı İşletim Sistemi
İndirme bağlantısı: http://www.hcon.in/
30) IBM Security AppScan:
IBM Security AppScan, web uygulaması güvenliğini ve mobil uygulama güvenliğini artırmaya yardımcı olur. Uygulama güvenliğini artırır ve yasal uyumluluğu güçlendirir. Kullanıcıların güvenlik açıklarını belirlemelerine ve raporlar oluşturmalarına yardımcı olur.
Özellikleri:
- SDLC işlemi sırasında test yapmak için Geliştirme ve QA'yı etkinleştirin
- Her kullanıcının hangi uygulamaları test edebileceğini kontrol edin
- Raporları kolayca dağıtın
- Görünürlüğü artırın ve kurumsal riskleri daha iyi anlayın
- Sorunları bulmaya ve gidermeye odaklanın
- Bilgiye erişimi kontrol edin
İndirme bağlantısı: http://www-03.ibm.com/software/products/en/appscan
31) Arachni:
Arachni, sızma test ediciler ve yöneticiler için açık kaynaklı Ruby çerçevesi tabanlı bir araçtır. Modern web uygulamalarının güvenliğini değerlendirmek için kullanılır.
Özellikleri:
- Çok yönlü bir araçtır, bu nedenle çok sayıda kullanım durumunu kapsar. Bu, basit bir komut satırı tarayıcı yardımcı programından küresel bir yüksek performanslı tarayıcı ızgarasına kadar uzanır.
- Çoklu dağıtım seçeneği
- En yüksek seviyede koruma sağlamak için doğrulanabilir, incelenebilir kod tabanı sunar
- Tarayıcı ortamına kolayca entegre olabilir
- Oldukça ayrıntılı ve iyi yapılandırılmış raporlar sunar
İndirme bağlantısı: https://sourceforge.net/projects/safe3wvs/files
32) Web Güvenliği:
Web güvenliği, güçlü bir güvenlik testi ortamıdır. Basit ve kullanımı kolay, kullanıcı dostu bir arayüzdür. Otomatik ve manuel güvenlik açığı testi teknolojilerinin bir kombinasyonunu sunar.
Özellikleri:
- İyi test ve tarama teknolojisi
- URL'leri tespit etmek için güçlü test motoru
- Mevcut birçok eklenti ile genişletilebilir
- Tüm büyük masaüstü ve mobil platformlar için mevcuttur
İndirme bağlantısı: https://www.websecurify.com/
33) Vega:
Vega, web uygulamalarının güvenliğini test etmek için açık kaynaklı bir web güvenlik tarayıcısı ve kalem test platformudur.
Özellikleri:
- Otomatik, Manuel ve Hibrit Güvenlik Testi
- Kullanıcıların güvenlik açıklarını bulmasına yardımcı olur. Siteler arası komut dosyası oluşturma, depolanmış siteler arası komut dosyası oluşturma, kör SQL enjeksiyonu, kabuk enjeksiyonu vb.
- Kullanıcı kimlik bilgileriyle sağlandığında web sitelerinde otomatik olarak oturum açabilir
- Linux, OS X ve Windows üzerinde etkili bir şekilde çalışır
- Vega algılama modülleri JavaScript ile yazılmıştır
İndirme bağlantısı: https://subgraph.com/vega/download/index.en.html
34) Wapiti:
Wapiti bir başka ünlü penetrasyon test aracıdır. Web uygulamalarının güvenliğinin denetlenmesini sağlar. Güvenlik açığı kontrolü için hem GET hem de POST HTTP yöntemlerini destekler.
Özellikleri:
- Çeşitli formatlarda güvenlik açığı raporları oluşturur
- Bir taramayı veya bir saldırıyı askıya alabilir ve devam ettirebilir
- Saldırı modüllerini etkinleştirmenin ve devre dışı bırakmanın hızlı ve kolay yolu
- HTTP ve HTTPS proxy'lerini destekleyin
- Taramanın kapsamını kısıtlamaya izin verir
- URL'lerdeki bir parametrenin otomatik olarak kaldırılması
- Çerezlerin içe aktarılması
- SSL sertifikaları doğrulamasını etkinleştirebilir veya devre dışı bırakabilir
- Flash SWF dosyalarından URL'leri ayıklayın
İndirme bağlantısı: https://sourceforge.net/projects/wapiti/files/
35) Kısmet:
Kismet bir kablosuz ağ detektörü ve izinsiz giriş tespit sistemidir. Wi-Fi ağlarıyla çalışır, ancak diğer ağ türlerini yönetmeye izin verdiği için eklentiler aracılığıyla genişletilebilir.
Özellikleri:
- Standart PCAP günlüğüne izin verir
- İstemci / Sunucu modüler mimari
- Temel özellikleri genişletmek için eklenti mimarisi
- Çoklu yakalama kaynağı desteği
- Hafif uzaktan yakalama yoluyla dağıtılmış uzaktan koklama
- Diğer araçlarla entegrasyon için XML çıktısı
İndirme bağlantısı: https://www.kismetwireless.net/downloads/
36) Kali Linux:
Kali Linux, Offensive Security tarafından sağlanan ve finanse edilen açık kaynaklı bir kalem test aracıdır.
Özellikleri:
- Özelleştirilmiş Kali Linux görüntüleri oluşturmak için canlı yapım ile Kali ISO'larının tam olarak özelleştirilmesi
- Farklı araç setlerini bir araya getiren bir grup Meta paketi koleksiyonu içerir.
- ISO of Doom ve Diğer Kali Tarifler
- Raspberry Pi 2'de Disk Şifreleme
- Çoklu Kalıcılık Mağazalarıyla Canlı USB
İndirme bağlantısı: https://www.kali.org/
37) Papağan Güvenliği:
Parrot Security, bir kalem test aracıdır. Güvenlik ve dijital adli tıp uzmanları için tamamen taşınabilir bir laboratuvar sunar. Ayrıca, anonimlik ve kripto araçlarıyla kullanıcıların gizliliklerini korumalarına yardımcı olur.
Özellikleri:
- Sızma testleri, güvenlik denetimleri ve daha fazlasını gerçekleştirmek için eksiksiz bir güvenlik odaklı araç cephaneliği içerir.
- Önceden yüklenmiş ve kullanışlı ve güncellenmiş kitaplıklarla birlikte gelir
- Dünya çapında güçlü yansıtma sunucuları sunar
- Topluluk odaklı geliştirmeye izin verir
- Sunucular için özel olarak tasarlanmış ayrı Bulut İşletim Sistemi sunar
İndirme bağlantısı: https://www.parrotsec.org/download/
38) OpenSSL:
Bu araç seti, Apache tarzı bir lisans altında lisanslanmıştır. TLS ve SSL protokolleri için tam özellikli bir araç seti sağlayan ücretsiz ve açık kaynaklı bir projedir.
Özellikleri:
- C ile yazılmıştır, ancak birçok bilgisayar dili için sarmalayıcılar mevcuttur
- Kitaplık, RSA özel anahtarları ve Sertifika İmzalama İstekleri oluşturmak için araçlar içerir
- CSR dosyasını doğrulayın
- Parolayı Anahtardan tamamen kaldırın
- Yeni Özel Anahtar oluşturun ve Sertifika İmzalama İsteğine izin verin
İndirme bağlantısı: https://www.openssl.org/source/
39) Buruk:
Snort, açık kaynaklı bir saldırı tespit ve kalem test sistemidir. İmza protokolü ve anormallik tabanlı denetim yöntemlerinin faydalarını sunar. Bu araç, kullanıcıların kötü amaçlı yazılım saldırılarına karşı maksimum koruma sağlamasına yardımcı olur.
Özellikleri:
- Snort, tehditleri yüksek hızlarda doğru bir şekilde tespit edebildiği için ün kazandı
- Çalışma alanınızı hızla ortaya çıkan saldırılardan koruyun
- Snort, özelleştirilmiş benzersiz ağ güvenliği çözümleri oluşturmak için kullanılabilir
- Belirli bir URL'nin SSL sertifikasını test edin
- URL'de belirli bir şifrenin kabul edilip edilmediğini kontrol edebilir
- Sertifika İmza Yetkilisini Doğrulayın
- Yanlış pozitifler / negatifler gönderme yeteneği
İndirme bağlantısı: https://www.snort.org/downloads
40) Arka Kutu:
BackBox, BT ortamında güvenlik kültürünü geliştirme hedefi olan bir Açık Kaynak Topluluk projesidir. Backbox Linux ve Backbox Cloud gibi iki farklı varyasyonda mevcuttur. En çok bilinen / kullanılan güvenlik ve analiz araçlarından bazılarını içerir.
Özellikleri:
- Şirket kaynak ihtiyaçlarını azaltmak ve birden çok ağ cihazı gereksinimini yönetme maliyetlerini düşürmek için yararlı bir araçtır.
- Tam otomatik kalem test aracıdır. Bu nedenle, değişiklik yapmak için hiçbir aracıya ve ağ yapılandırmasına gerek yoktur. Zamanlanmış otomatik konfigürasyon gerçekleştirmek için
- Cihazlara Güvenli Erişim
- Bireysel ağ cihazlarını takip etmeye gerek olmadığı için kuruluşlar zamandan tasarruf edebilir
- Kimlik Bilgileri ve Yapılandırma Dosyası Şifrelemesini Destekler
- Kendi Kendini Yedekleme ve Otomatik Uzak Depolama
- IP Tabanlı Erişim Kontrolü Sunar
- Önceden Yapılandırılmış Komutlarla birlikte geldiği için komut yazmaya gerek yok
İndirme bağlantısı: https://www.backbox.org/download/
41) THC Hydra:
Hydra, paralelleştirilmiş bir oturum açma kırıcı ve kalem test aracıdır. Çok hızlı ve esnektir ve yeni modüllerin eklenmesi kolaydır. Bu araç, araştırmacıların ve güvenlik danışmanlarının yetkisiz erişimi bulmasını sağlar.
Özellikleri:
- Gökkuşağı tablosu oluşturma, sıralama, dönüştürme ve arama ile birlikte tam zamanlı bellek takas araç takımları
- Herhangi bir karma algoritmanın gökkuşağı tablosunu destekler
- Herhangi bir karakter kümesinin gökkuşağı tablosunu destekleyin
- Gökkuşağı tablosunu kompakt veya ham dosya biçiminde destekleyin
- Çok çekirdekli işlemci desteğiyle ilgili hesaplama
- Windows ve Linux işletim sistemlerinde çalışır
- Desteklenen tüm işletim sistemlerinde birleşik gökkuşağı tablo dosya formatı
- GUI ve Komut satırı kullanıcı arayüzünü destekleyin
İndirme bağlantısı: https://github.com/vanhauser-thc/thc-hydra
42) İtibar İzleme Uyarısı:
Açık Tehdit Değişimi İtibar İzleyicisi ücretsiz bir hizmettir. Profesyonellerin kuruluşlarının itibarını izlemelerine olanak tanır. Bu aracın yardımıyla işletmeler ve kuruluşlar, varlıklarının genel IP ve etki alanı itibarını izleyebilir.
Özellikleri:
- Bulutu, hibrit bulutu ve şirket içi altyapıyı izler
- Ortaya çıkan tehditler hakkında güncel bilgi sağlamak için sürekli tehdit istihbaratı sağlar
- En kapsamlı tehdit tespitini ve eyleme geçirilebilir olay müdahale direktiflerini sağlar
- Hızlı, kolay ve daha az çabayla dağıtılır
- Geleneksel güvenlik çözümlerine göre toplam sahip olma maliyetini düşürür
İndirme bağlantısı: https://cybersecurity.att.com/products/usm-anywhere/free-trial
43) Karındeşen John:
JTR olarak bilinen John the Ripper, çok popüler bir şifre kırma aracıdır. Öncelikle sözlük saldırıları gerçekleştirmek için kullanılır. Bir ağdaki zayıf parola açıklarının belirlenmesine yardımcı olur. Ayrıca kullanıcıları kaba kuvvet ve gökkuşağı çatlağı saldırılarından destekler.
Özellikleri:
- John the Ripper ücretsiz ve Açık Kaynak bir yazılımdır
- Proaktif şifre gücü kontrol modülü
- Belgelere çevrimiçi göz atmaya izin verir
- Birçok ek karma ve şifre türü desteği
- İki sürüm arasındaki değişikliklerin özeti dahil olmak üzere belgelere çevrimiçi göz atmanıza izin verir
İndirme bağlantısı: https://www.openwall.com/john/
44) Safe3 tarayıcı:
Safe3WVS, en güçlü web güvenlik açığı test araçlarından biridir. Web örümceği tarama teknolojisi, özellikle web portalları ile birlikte gelir. SQL enjeksiyonu, yükleme güvenlik açığı ve daha fazlası gibi sorunları bulmak için en hızlı araçtır.
Özellikleri:
- Temel, Özet ve HTTP kimlik doğrulamaları için tam destek.
- Akıllı web örümceği otomatik olarak tekrarlanan web sayfalarını kaldırır
- Otomatik bir JavaScript analizörü, URL'lerin Ajax, Web 2.0 ve diğer uygulamalardan ayıklanması için destek sağlar
- SQL enjeksiyonu, yükleme güvenlik açığı, yönetici yolu ve dizin listesi güvenlik açığını tarama desteği
İndirme bağlantısı: https://sourceforge.net/projects/safe3wvs/files/latest/download
45) CloudFlare:
CloudFlare, sağlam güvenlik özelliklerine sahip bir CDN'dir. Çevrimiçi tehditler, yorum spam'i ve aşırı bot taramasından SQL enjeksiyonu gibi kötü niyetli saldırılara kadar çeşitlilik gösterir. Yorum spam'lerine, aşırı bot taramasına ve kötü niyetli saldırılara karşı koruma sağlar.
Özellik:
- Kurumsal düzeyde bir DDoS koruma ağıdır
- Web uygulaması güvenlik duvarı, tüm ağın toplu zekasından yardımcı olur
- CloudFlare kullanarak etki alanını kaydettirmek, etki alanı ele geçirilmesinden korumanın en güvenli yoludur
- Hız Sınırlama özelliği, kullanıcının kritik kaynaklarını korur. Şüpheli sayıda istek oranına sahip ziyaretçileri engeller.
- CloudFlare Orbit, IOT cihazları için güvenlik sorunlarını çözer
İndirme bağlantısı: https://www.cloudflare.com/
46) Zenmap
Zenmap, resmi Nmap Güvenlik Tarayıcısı yazılımıdır. Çok platformlu ücretsiz ve açık kaynaklı bir uygulamadır. Yeni başlayanlar için kullanımı kolaydır, ancak aynı zamanda deneyimli kullanıcılar için gelişmiş özellikler sunar.
Özellikleri:
- Etkileşimli ve grafiksel sonuçların görüntülenmesi
- Tek bir ana bilgisayar veya eksiksiz bir tarama hakkındaki ayrıntıları kullanışlı bir ekranda özetler.
- Keşfedilen ağların bir topoloji haritasını bile çizebilir.
- İki tarama arasındaki farkları gösterebilir.
- Yöneticilerin ağlarında görünen yeni ana bilgisayarları veya hizmetleri izlemelerine olanak tanır. Veya çökmekte olan mevcut hizmetleri takip edin
İndirme bağlantısı: https://nmap.org/download.html
Sızma testi için yararlı olabilecek diğer araçlar
- Acunetix: Web uygulamalarını hedef alan bir web güvenlik açığı tarayıcısıdır. Diğerlerine kıyasla pahalı bir araçtır ve siteler arası komut dosyası testi, PCI uyumluluk raporları, SQL enjeksiyonu vb. Gibi kolaylıklar sağlar.
- Retina: Bir ön test aracından çok bir güvenlik açığı yönetimi aracı gibidir
- Nessus: Uyum kontrollerine, hassas veri aramalarına, IP taramasına, web sitesi taramasına vb. Odaklanır.
- Netsparker: Bu araç, güvenlik açıklarını belirleyen ve çözümler öneren güçlü bir web uygulaması tarayıcısıyla birlikte gelir. Ücretsiz sınırlı denemeler mevcuttur ancak çoğu zaman ticari bir üründür. Ayrıca SQL enjeksiyonundan ve LFI'dan (Yerel Dosya Oluşturma) yararlanmaya yardımcı olur
- CORE Etkisi: Bu yazılım, mobil cihaz penetrasyonu, şifre tanımlama ve kırma, ağ tasarımı penetrasyonu vb. İçin kullanılabilir. Yazılım testlerinde pahalı araçlardan biridir.
- Burpsuite: Diğerleri gibi bu yazılım da ticari bir üründür. Proxy, web uygulaması taraması, tarama içeriği ve işlevselliği vb. Yoluyla çalışır. Burpsuite kullanmanın avantajı, bunu Windows, Linux ve Mac OS X ortamında kullanabilmenizdir.