【51CTO.com快譯】現(xiàn)如今，隨著DevOps(其中也包括DevSecOps)正逐漸將安全性測試添加到我們的管道之中。有時候，人們會認為與安全相關(guān)的測試是最難以實現(xiàn)自動化的部分。此類測試往往缺乏容易上手的簡單工具。其實，這主要是由于測試人員未找到合適的資源。本文將向您介紹十三種頂級易用的、且免費開源的安全測試工具。

[[311975]]

1. Excercise in a Box

Excercise in a Box是由英國國家網(wǎng)絡(luò)安全中心(National Cyber Security Center)所推出的在線工具。它可以幫助用戶獲悉自己的應用是否容易遭受到網(wǎng)絡(luò)攻擊。

同時，該工具可以提供各種場景，以便貴組織在安全的環(huán)境中，根據(jù)自己所設(shè)定的允許的時間，反復演練自身面對安全攻擊事件的響應能力?？梢哉f，它匯聚了您需要執(zhí)行的各種計劃、設(shè)置、交付、以及事后整改活動等一切資源。

2. Needle

作為iOS版的測試框架，Needle是由美國黑帽公司(Black Hat USA)所推出的。它是一種模塊化的開源框架，其目標是為了簡化針對iOS應用安全評估的整體過程。同時，該工具能夠為您提供各種安全測試活動的關(guān)鍵要點。

除了面向?qū)I(yè)的安全測試人員，開發(fā)人員也可以用它來加固自己編寫出的程序代碼。

3. DevSlop

隨著技術(shù)應用的發(fā)展，以及用戶對于產(chǎn)品質(zhì)量與服務性能要求的提升，您可能會接到類似于針對那些采用了微服務、API、以及容器化等應用程序的測試任務。

這些實現(xiàn)技術(shù)方面的迭代，迫使安全人員重新審視自己的傳統(tǒng)測試方式。作為OWASP的一個子項目Sloppy DevOps(或稱為DevSlop)能夠通過不同的模塊開展各項深入研究。其中包括了：應用程序的易受攻擊點，各種管道，以及提供DevSlop Show的相關(guān)功能。

可以說：如果您正在考慮全面地加固DevOps管道安全性的話，那么DevSlop就是一款非常不錯的入門級工具與資源。

4. 移動安全框架(Mobile Security Framework)

移動安全框架(https://dzone.com/articles/three-essential-mobile-security-measures)被業(yè)界稱為：一種多功能的自動化移動應用類滲透測試框架。它可以執(zhí)行動態(tài)分析，靜態(tài)分析，Web APT測試、以及惡意軟件等方面的分析。

在實際測試中，它可以被用于針對iOS、Android和Windows等平臺移動應用內(nèi)部的二進制源代碼，乃至于程序截圖，采取快速、有效的安全性分析。同時，它還可以在運行時(runtime)級別，對Android應用程序進行動態(tài)應用測試。另外，它還擁有針對Web API的特殊安全掃描程序—CapFuzz，并能夠支持Web API的模糊處理。

5. Frida

Frida是面向逆向工程師、開發(fā)人員、以及安全研究人員的一種動態(tài)工具包。同時，它也是一種實現(xiàn)了應用程序鉤子(hooking)的工具包和框架。

在Frida網(wǎng)站上，它要求用戶將自己的不同腳本放入其黑盒進程中，以便“鉤取”各種功能與crypto API，并監(jiān)視與跟蹤那些私有的程序代碼。顯然，它并不需要任何應用的源代碼。

6. Nishang

如果您的默認安全腳本語言是PowerShell的話，那么請選用Nishang框架。作為有效負載與腳本的結(jié)合，Nishang允許用戶使用PowerShell來進行滲透式、攻擊性安全、以及紅隊(Red Teaming，譯者注：是在傳統(tǒng)滲透測試的基礎(chǔ)上，更著重于針對企業(yè)人員、業(yè)務系統(tǒng)、供應鏈、辦公系統(tǒng)、物理安全等方面真實脆弱點的攻擊評估。)測試。用戶可以在當前滲透測試的各個階段使用到該工具。

7. Tamper

作為瀏覽器的擴展程序，Tamper Chrome允許用戶即時地更改HTTP請求，并能夠協(xié)助進行各項網(wǎng)絡(luò)安全的相關(guān)測試。目前，它適用于包括Chrome OS在內(nèi)的所有操作系統(tǒng)。同時，它還允許用戶深入地檢查瀏覽器所發(fā)送的請求及其響應。

8. InSpec

InSpec是一種高級的軟件測試和審核框架。作為基礎(chǔ)架構(gòu)的開源式框架，該工具能夠針對程序中的人類可讀(human-readable)語言和機器語言，分析和闡釋代碼級別的安全性、合規(guī)性、以及策略需求。

9. Faraday

作為集成式滲透測試環(huán)境(Integrated Penetration-Test Environment，IPE)，F(xiàn)araday它是一種多用戶滲透測試方式的補足工具。它可以被用于針對那些在安全審核過程中所產(chǎn)生的數(shù)據(jù)，進行專業(yè)的索引、分發(fā)和分析。

在實際使用過程中，測試人員能夠以多用戶的方式，充分利用到社區(qū)里現(xiàn)有的各類工具，這也是Faraday的開發(fā)目的所在。由于在設(shè)計之初就已經(jīng)考慮到了簡單性，因此用戶在使用過程中，會發(fā)現(xiàn)Faraday的終端與系統(tǒng)上的常用終端并無太大的區(qū)別。另外，該工具還提供了一系列特殊功能，以協(xié)助用戶改善其現(xiàn)有的工作流程。

10. Pocsuite

Pocsuite是一種概念驗證(proof-of-concept)和遠程漏洞測試的開發(fā)框架。對于安全研究人員和滲透測試人員來說，該工具具有強大的概念驗證引擎，以及各種細分的功能。

11. Taipan

作為一種自動化的Web應用類漏洞掃描程序，Taipan能夠方便用戶自動化地進行Web漏洞的識別。Taipan是一種開放式的項目，它包含了能夠兼容與支持其他組件的測試引擎。該工具的界面類似于一個Web儀表板，用戶可以在其中掃描并管理各類漏洞，下載掃描器代理程序、以及在特定的主機上運行并輸出PDF格式的報告。

12. Pacu

Pacu是一種AWS的開發(fā)框架。它的主要功能是針對Amazon的Web Services進行各項安全性測試。

13. Secure Guild

眾所周知，測試人員從來不缺少五花八門的工具圖譜，安全測試也同樣如此。如果您是剛剛?cè)腴T、或初次開展安全類測試的話，那么請不要放過對于Secure Guild的試用。該資源是一種專門致力于討論安全測試相關(guān)問題的在線會議服務。該平臺不但能夠為您答疑解惑，還可以讓您學到各種安全測試的知識與技能。

原文標題：Top Free Security Testing Tools，作者：Taqi Ahmed

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】