阅读此列表的更新版本：您应该考虑的47个强大的开源应用程序秒工具

您无需花费大量资金在应用程序开发和交付日程中引入高功率安全性。这本开源应用程序工具指南旨在帮助那些希望投资应用程序安全软件的团队了解开源领域的内容，以及如何思考这些选择。随后将发布商业app sec供应商指南。

为什么需要免费的app sec工具指南？一般而言，有关应用程序安全性的信息可能会令人困惑，因为网站通常会在没有明确描述所提供解决方案类别的情况下展示产品的优势。这使得将一种产品与下一种产品进行比较变得困难。开源项目的网站通常提供有关特定工具的非常精细的信息，这要求读者已经了解如何以及为何使用特定工具。

开源app sec工具的价值

大多数开源项目都是针对app sec要求而设计的，其规模小于商业供应商所倾向的目标。尽管如此，我们认为这个高度专注的开源应用程序提供商名单应该为安全爱好者所熟悉，他们寻求针对特定类型的网络威胁的新的创造性方法。

其中一些操作系统项目非常活跃，并且经常使用新功能进行更新;其他人，嗯，不是那么多，但他们值得一试。自网络诞生以来，一些更强大的OS技术已经存在;其他人都很新，在推特和其他地方有越来越多的粉丝。

请注意，此处的一些列表是免费的“社区版”的高级商业产品。另请注意，您无法再通过.org或.net后缀识别开源项目。正如您将看到的，许多人现在使用.com约定以及许多其他URL约定。

Andiparos

着名的Paros Proxy的一个分支，一个开源Web应用程序安全评估工具，为渗透测试人员提供了抓取网站，分析内容，拦截和修改请求的能力

网址：https：//code.google.com/archive/p/andiparos

 

BackTrack

这个发行版称为基于Linux的渗透测试工具，配置有数百种安全测试工具和脚本

网址：http：//www.backtrack-linux.org

BeEF

开源的渗透测试

网址：http：//beefproject.com

 

Caja

用于使第三方HTML，CSS和JavaScript安全嵌入网站的编译器。它使用对象功能安全模型来实现各种灵活的安全策略。

网址：http：//developers.google.com/caja

 

ClamAV

用于检测特洛伊木马，病毒，恶意软件和其他恶意威胁的开源防病毒引擎

网址：http：//clamav.net

 

DOM Snitch

实验性Chrome扩展程序，使开发人员和测试人员能够识别客户端代码中常见的不安全做法。开发人员和测试人员可以在浏览器内部进行DOM修改，无需使用调试器逐步执行JavaScript代码或暂停其应用程序的执行

网址：https：//code.google.com/archive/p/domsnitchdomsnitch

 

Ettercap

被称为“针对中间人攻击的综合套件......具有嗅探现场连接，动态内容过滤以及许多其他有趣的技巧。”

网址：http：//ettercap.github.io/ettercap

 

GoLismero

用于安全测试的免费软件框架。

网址：http：//www.golismero.com

 

谷歌黑客数据库（GHDB）

SecTools.org将其描述为“安全研究人员和渗透测试人员的金矿”，该网站是漏洞利用数据库的一部分，这是一个非营利性项目，由进攻性安全部门提供为公共服务。

网址：https：//www.exploit-db.com/google-hacking-database

 

Google应用安全工具

谷歌表示，这些工具“解决了其他开源工具中存在的差距。这些工具可能需要进行一些小的调整或编译才能在您的系统上运行。”有些是单独列在此列表中。

网址：https：//www.google.com/about/appsecurity/tools

Grabber

Web应用程序扫描程序，可以检测Web应用程序中的许多安全漏洞。一个开源的Web应用程序渗透测试工具

网址：http：//rgaucher.info/beta/grabber

 

Grendel

扫描Web应用程序安全工具以查找安全漏洞;功能也可用于手动渗透测试

网址：https：//sourceforge.net/projects/grendel

 

Gruyere

被称为“小型，俗气的网络应用程序”;允许用户发布文本片段并存储各种文件。警告：Gruyere有多个安全漏洞，包括跨站点脚本和跨站点请求伪造，信息泄露，拒绝服务和远程代码执行

网址：http：//google-gruyere.appspot.com

 

Kali

Linux渗透测试

网址：http：//kali.org

 

Keyczar

开源加密工具包旨在使开发人员在其应用程序中使用加密更容易，更安全。它支持对称和非对称密钥的身份验证和加密;旨在实现开放，可扩展和跨平台兼容。

网址：https：//github.com/google/keyczar

 

Kismet

无线网络探测器，嗅探器和入侵检测系统。 Kismet主要使用Wi-Fi（IEEE 802.11）网络，但可以通过插件扩展以处理其他网络类型。

网址：http：//kismetwireless.org

 

Malwarebytes

适用于Windows的端点安全恶意软件扫描程序。

网址：http：//malwarebytes.org

 

Metasploit

通过Rapid7渗透测试开源的Metasploit

网址：http：//metasploit.com

 

ModSecurity

WAF开源

网址：http：//modsecurity.org

 

Nagios

监控整个IT基础架构，以确保系统，应用程序，服务和业务流程正常运行。

网址：http：//nagios.org

Native Client (NaCl)

一种在浏览器中运行本机编译代码的技术。 NaCl旨在保持人们对Web应用程序的操作系统可移植性和安全性

网址：http：//developer.chrome.com/native-client

 

Nikto2

Web服务器测试工具，用于查找已知的易受攻击脚本，配置错误和相关的安全问题

网址：http：//cirt.net/nikto2

 

NMAP

使用NSE脚本进行网络发现和安全审核的渗透测试实用程序，可以检测网络服务中的漏洞，错误配置和安全相关信息

网址：http：//nmap.org

 

NoScript

Firefox插件，为Firefox，Seamonkey和其他基于Mozilla的浏览器提供额外保护;允许JavaScript，Java，Flash和其他插件只能由您选择的受信任网站执行

网址：http：//noscript.net

 

OpenSSH

通过SSH隧道隧道安装不安全的协议来保护两点之间的流量

网址：http：//www.openssh.com

 

OpenVAS

开源漏洞扫描套件

网址：http：//openvas.org

 

OSSEC

基于主机的入侵检测系统或HIDS

网址：http：//ossec.github.io

 

OWASP

owasp.org提供了一大类开源sec测试工具

网址：https：//www.owasp.org/index.php/Appendix_A:_Testing_Tools

 

Packet Storm

提供各种用于漏洞和渗透的扫描仪工具

网址：http：//packetstormsecurity.org/files/tags/scanner

 

Paros Proxy

用于安全性和漏洞测试的测试工具。用于对整个站点进行爬行/爬网，然后执行预装漏洞扫描程序测试

网址：http：//www.testingsecurity.com/paros_proxy

 

Powerfuzzer

基于HTTP协议的应用程序模糊器基于许多其他开源模糊器

网址：http：//www.powerfuzzer.com

 

Ratproxy

旨在克服用户在使用其他代理工具进行安全审核时通常面临的问题;能够区分CSS样式表和JavaScript代码

网址：https：//code.google.com/archive/p/ratproxy

 

Secunia PSI

一种免费的计算机安全解决方案，可识别私人PC上的应用程序中的漏洞

Web：http：//learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

 

Security Onion

用于入侵检测，网络安全监控和日志管理的Linux发行版

网址：http：//blog.securityonion.net

 

Skipfish

活跃的Web应用程序安全侦察工具。它通过执行递归爬网和字典工具为站点准备交互式站点地图。使用自定义HTTP堆栈编写的C语言，性能高，易于使用且可靠

网址：https：//code.google.com/archive/p/skipfish

 

Snort

用于UNIX衍生产品和Windows的开源，免费和轻量级网络入侵检测系统（NIDS）

网址：http：//snort.org

 

SonarQube

SonarQube™软件（以前称为“Sonar”）是一个管理代码质量的开放平台。因此，它涵盖了7轴代码质量。

网址：https：//github.com/SonarSource/sonarqube

SQLMAP

渗透测试工具，自动化在网站数据库中查找和利用SQL注入漏洞的过程

网址：http：//sqlmap.org

 

TCPDUMP

在其网站上称为“功能强大的命令行数据包分析器”，许多人仍然使用此工具作为资源密集型Wireshark的替代工具。

网址：http：//tcpdump.org

 

Vega

Web漏洞扫描器和测试平台; SQL注入，跨站点脚本等

网址：https：//subgraph.com/vega

 

W3AF

SQL注入，跨站点脚本检测工具

网址：http：//w3af.org

 

Wapiti

Web漏洞扫描程序，可让您审核Web应用程序的安全性。它通过扫描网页和注入数据来执行黑盒测试

网址：http：//wapiti.sourceforge.net

 

Watcher

一个Fiddler插件，帮助渗透测试人员被动地发现Web应用程序漏洞

网址：http：//websecuritytool.codeplex.com

 

WATOBO

执行高效（半自动）Web应用程序安全审核

网址：http：//watobo.sourceforge.net/index.html

 

WebScarab

基于Java的安全框架，用于使用HTTP或HTTPS协议分析Web应用程序。用Java编写，可移植到许多平台;提供多种操作模式，由多个插件实现。在最常见的用法中，WebScarab作为拦截代理运行

网址：http：//www.owasp.org/index.php/Category：WHASP_WebScarab_Project

 

Websecurify

GNUCITIZEN（参见商业供应商列表）

网址：

 

Wfuzz

免费提供的用于Web应用程序渗透测试的开源工具。它可用于强制GET和POST参数，以便针对SQL，XSS，LDAP等许多其他注入进行测试

网址：http：//code.google.com/p/wfuzz

 

SensePost

设备，网络和应用程序的漏洞工具。工具包括autoDANE，reGeorg，Jack和SensePost Maltego工具集

网址：http：//sensepost.com

 

Wireshark

Wireshark渗透测试和数据包级监控开源;根据需要查看详细的流量;关注网络流并发现问题

网址：http：//wireshark.org

 

Zed攻击代理

也称为Zap。开源，拦截代理是fork和更新严重过时的Paros Proxy。相当强大的手动测试，并包含一些自动测试功能。

网址：https：//www.owasp.org

 

原文：https://techbeacon.com/app-dev-testing/57-open-source-app-sec-tools-guide-free-application-security-software

本文：http://pub.intelligentx.net/57-open-source-app-sec-tools-guide-free-application-security-software

讨论：请加入只是星球或者小红圈【首席架构师圈】