[[377778]]

隨著無數(shù)企業(yè)和實體搭上數(shù)字化的快車，網(wǎng)絡(luò)安全逐漸成為人們關(guān)注的焦點。此外，大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能以及機器學(xué)習(xí)等新技術(shù)也正逐漸涉足我們的日常生活，隨之而來的是，與網(wǎng)絡(luò)犯罪有關(guān)的威脅也在不斷攀升。同時，在處理財務(wù)信息時使用移動和Web應(yīng)用程序也已使完整的數(shù)字內(nèi)容暴露于網(wǎng)絡(luò)安全漏洞中，攻擊者或網(wǎng)絡(luò)犯罪分子可以利用此類應(yīng)用程序中發(fā)現(xiàn)的固有風(fēng)險和漏洞來竊取關(guān)鍵的財務(wù)數(shù)據(jù)。

根據(jù)Statista公司發(fā)布的調(diào)查數(shù)據(jù)顯示，在2019年，網(wǎng)絡(luò)安全漏洞已經(jīng)造成了全球2038萬美元的經(jīng)濟(jì)損失。另外，Cybriant公司數(shù)據(jù)顯示，網(wǎng)絡(luò)犯罪已導(dǎo)致全球GDP在2019年折損0.80%(約2.1萬億美元)。

如今，不斷加劇的新冠疫情對全球經(jīng)濟(jì)都造成了無法估量的影響，大多數(shù)企業(yè)都在嘗試或?qū)⑵錁I(yè)務(wù)部門轉(zhuǎn)移到未受影響的數(shù)字空間。然而，大多數(shù)安全領(lǐng)域也因整個經(jīng)濟(jì)不景氣的附帶影響而遭受重創(chuàng)。安全預(yù)算的嚴(yán)重縮水導(dǎo)致企業(yè)組織完全忽視了對于隱私和網(wǎng)絡(luò)安全組件的投入，從而加劇了數(shù)字化轉(zhuǎn)型的難度。

為了阻止和遏制網(wǎng)絡(luò)威脅或犯罪對企業(yè)組織造成的不利影響，例如喪失客戶的信任以及名譽受損，必須強制執(zhí)行網(wǎng)絡(luò)安全測試。預(yù)計網(wǎng)絡(luò)安全支出將在2021年出現(xiàn)反彈現(xiàn)象，這也能為疲累的首席信息安全官(CISO)及其不堪重負(fù)的IT網(wǎng)絡(luò)安全團(tuán)隊帶來一絲喘息機會。

為了幫助企業(yè)組織更好地面對未來的各種挑戰(zhàn)，接下來，我們將為大家介紹一系列最佳的網(wǎng)絡(luò)安全工具，希望能夠為您的總體安全計劃以及2021年的安全預(yù)算計劃提供參考。

什么是滲透測試?

滲透測試是一種安全測試方法，旨在評估系統(tǒng)(軟件、硬件、信息系統(tǒng)或網(wǎng)絡(luò)環(huán)境)的安全性。這種測試的主要目的是通過使用惡意技術(shù)評估系統(tǒng)的安全性，以仔細(xì)檢查應(yīng)用程序中發(fā)現(xiàn)的所有安全風(fēng)險或漏洞，并保護(hù)被攻擊者覬覦的關(guān)鍵數(shù)據(jù)以及管理系統(tǒng)的各項功能。值得注意的是，滲透測試是一種非功能性測試，旨在嘗試破壞系統(tǒng)的安全性，以此發(fā)現(xiàn)安全風(fēng)險及漏洞的存在。執(zhí)行測試的QA工程師或測試員也被稱為道德黑客。

2021年最佳的網(wǎng)絡(luò)安全工具

任何應(yīng)用程序安全性測試方法均需進(jìn)行功能測試。這樣一來，可以檢測到很多安全問題和漏洞，如果不及時糾正，可能會導(dǎo)致黑客入侵。目前，市場上有大量付費和開源的安全測試工具，下面我們就來認(rèn)識一下2021年最值得關(guān)注的10大網(wǎng)絡(luò)安全測試工具：

1. NMap

作為Network Mapper的縮寫，NMap是一個開源的免費安全掃描工具，可用于安全審計和網(wǎng)絡(luò)發(fā)現(xiàn)。它適用于Windows、Linux、HP-UX、Solaris、BSD變體(包括Mac OS)以及AmigaOS。Nmap可用于探測網(wǎng)絡(luò)上哪些主機可訪問，它們正在運行的操作系統(tǒng)類型和版本，這些主機正在提供哪些服務(wù)以及正在使用哪種防火墻/數(shù)據(jù)包過濾器等。由于它既帶有GUI界面，又提供命令行，很多網(wǎng)絡(luò)和系統(tǒng)管理員認(rèn)為它對于常規(guī)工作非常有用，例如檢查開放端口，維護(hù)服務(wù)升級計劃，發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)湟约氨O(jiān)視服務(wù)或主機的正常運行時間等等。

核心功能：

•  識別網(wǎng)絡(luò)上的主機;
•  確定網(wǎng)絡(luò)清單與網(wǎng)絡(luò)映射，維護(hù)和管理資產(chǎn);
•  產(chǎn)生針對網(wǎng)絡(luò)中主機流量、響應(yīng)時間度量和響應(yīng)分析;
•  識別審計安排中目標(biāo)主機上的開放端口;
•  搜索和利用網(wǎng)絡(luò)中的漏洞和風(fēng)險;

下載鏈接：https://nmap.org/

2. Wireshark

Wireshark是業(yè)界最好的工具之一，并且是可以免費訪問的開源滲透測試工具。通常來說，它可以作為網(wǎng)絡(luò)協(xié)議分析器之一，幫助您捕獲并協(xié)調(diào)目標(biāo)系統(tǒng)和網(wǎng)絡(luò)上運行的流量。它可以在Linux、Windows、Unix、Solaris、Mac OS、NetBSD、FreeBSD以及其他多種操作系統(tǒng)上運行。教育工作者、安全專家、網(wǎng)絡(luò)專業(yè)人員以及開發(fā)人員都可以廣泛應(yīng)用到Wireshark。經(jīng)由Wireshark軟件測試工具恢復(fù)的信息可以通過圖形用戶界面(GUI)或TTY模式的TShark實用程序進(jìn)行查看。

核心功能：

• 豐富的VoIP分析;
• 實時捕獲和離線檢查;
•  深入檢查數(shù)百種協(xié)議;
•  在UNIX、Linux、Windows、Solaris、macOS、NetBSD、FreeBSD和其他各種版本上運行;
• 捕獲系統(tǒng)或網(wǎng)絡(luò)數(shù)據(jù)，并通過GUI或TTY模式的TShark工具呈現(xiàn);
• 讀/寫多種變體捕獲文件的格式;
•  通過gzip來壓縮已捕獲的文件，并能同時解壓縮;
• 可以將著色規(guī)則應(yīng)用到數(shù)據(jù)包列表上，以進(jìn)行直觀、快速的分析;
•  可以從藍(lán)牙、PPP/HDLC、互聯(lián)網(wǎng)、ATM、令牌環(huán)、USB等途徑讀取實時數(shù)據(jù);
• 結(jié)果可以導(dǎo)出為PostScript、CSV、XML或純文本形式;

下載鏈接：https://www.wireshark.org/

3. Metasploit

Metasploit是一個計算機安全項目，可以為用戶提供有關(guān)安全風(fēng)險或漏洞等方面的重要信息。該框架是一個開源代碼的滲透測試和開發(fā)平臺，可供用戶訪問多個應(yīng)用程序、平臺和操作系統(tǒng)上的最新漏洞利用代碼。從滲透測試角度來看，Metasploit可以完成一些工作包括漏洞掃描、偵聽和利用已知漏洞、項目報告以及證據(jù)收集等。它提供可在Linux、Windows以及Apple Mac OS上運行的命令行和圖形用戶界面。雖然Metasploit是一種商業(yè)工具，但它附帶有一個開源代碼的有限試用版。

核心功能：

•  網(wǎng)絡(luò)發(fā)現(xiàn);
•  具有命令行和GUI界面;
•  適用于Windows、Linux和Mac OS X;
• 模塊化瀏覽器;
•  支持基本開發(fā)和手動開發(fā)兩種模式;
•  漏洞掃描器導(dǎo)入;
• Metasploit社區(qū)版免費提供給信息安全(InfoSec)社區(qū);

下載鏈接：https://www.metasploit.com/

4.Netsparker

作為一款商業(yè)級的安全測試工具，Netsparker是一款精確、自動化且易于使用的Web應(yīng)用安全掃描程序。該工具主要用于自動識別安全風(fēng)險，例如Web服務(wù)、Web應(yīng)用服務(wù)以及網(wǎng)站中的跨站點腳本(XSS)和SQL注入風(fēng)險。其基于證據(jù)的掃描技術(shù)不僅可以簡單地報告風(fēng)險，還能夠生成概念證明(Proof of Concept)，來確認(rèn)它們是否誤報，以減少手動驗證漏洞耗費的時間。

核心功能：

•  高級Web掃描;
•  漏洞評估;
•  HTTP請求生成器;
•  以證據(jù)為核心的掃描技術(shù)，可實現(xiàn)精確的威脅發(fā)現(xiàn)和掃描結(jié)果;
• 全面的HTML5支持;
• 整合軟件開發(fā)生命周期(SDLC);
• 開發(fā)和報告;
• 手動測試;
• 自動識別定制的404錯誤頁面;
•  支持反跨站點請求偽造(CSRF)令牌、反CSRF令牌以及REST API;

下載鏈接：https://www.netsparker.com/

5. Acunetix

Acunetix是一款全自動的Web漏洞掃描程序，可以識別并報告超過4500種Web應(yīng)用程序漏洞，其中包括XSS XXE、SSRF、主機頭注入和SQL注入的所有變體。作為一款商業(yè)級工具，Acunetix可以智能地檢測大約4500個Web漏洞。其DeepScan Crawler可掃描重AJAX(AJAX-heavy)客戶端的單頁面應(yīng)用(SPA)和HTML5網(wǎng)站。用戶可以利用它將檢測到的漏洞導(dǎo)出到問題跟蹤器中，例如GitHub、Atlassian JIRA、Microsoft TFS(Team Foundation Server)。它還可以在Linux、Windows和在線環(huán)境上運行。

核心功能：

• 針對風(fēng)險和漏洞的高檢測率和低誤報率;
•  集成漏洞管理-組織和控制風(fēng)險;
• 深入檢索和審查-自動掃描所有網(wǎng)站;
• 能夠與流行的WAF和GitHub、JIRA、TFS等問題跟蹤器相集成;
•  開源Web安全掃描和手動測試工具;
•  可以在Linux、Windows、以及在線環(huán)境中運行;

下載鏈接：https://www.acunetix.com/

6. Nessus

Nessus是針對安全從業(yè)人員的漏洞評估解決方案，由一家名為Tenable Network Security的公司開發(fā)和維護(hù)。Nessus有助于檢測和修復(fù)各種操作系統(tǒng)、應(yīng)用程序以及設(shè)備上的漏洞，例如軟件缺陷、惡意軟件、補丁缺失以及配置錯誤等。它可以運行在Windows、Linux、Mac、Solaris上，用戶可以用它來進(jìn)行IP掃描、網(wǎng)站掃描、合規(guī)性檢查以及敏感數(shù)據(jù)搜索等，并有助于檢測“弱點”。

核心功能：

•  配置審核;
•  移動設(shè)備審核;
•  可以簡單地定制報告，按照主機或漏洞進(jìn)行排序，生成執(zhí)行摘要或比較掃描結(jié)果以突出顯示更改;
•  檢測可被遠(yuǎn)程攻擊者訪問到的機密數(shù)據(jù)系統(tǒng)的漏洞;
•  識別網(wǎng)絡(luò)上主機的遠(yuǎn)程故障以及本地缺陷和補丁缺失情況;

下載鏈接：http://www.tenable.com/products/nessus

7. W3af

W3af是一個Web應(yīng)用程序攻擊和審計框架，且可以免費使用。它通過搜索和利用所有Web應(yīng)用程序漏洞來保護(hù)Web應(yīng)用程序。它能夠確定200多種Web應(yīng)用漏洞，并掌控目標(biāo)網(wǎng)站的總體風(fēng)險。它能夠檢測多種漏洞，例如跨站點腳本(XSS)、SQL注入、未處理的應(yīng)用錯誤、可猜測的密鑰憑據(jù)以及PHP錯誤配置。W3af適用于Mac、Linux和Windows OS，同時提供控制臺和圖形用戶界面。

核心功能：

•  將Web和代理服務(wù)器納入代碼;
• 支持代理;
•  將有效的負(fù)載注入到HTTP請求的各個部分;
•  支持HTTP的基礎(chǔ)和摘要式身份驗證;
• Cookie處理;
•  UserAgent偽造;
• HTTP響應(yīng)緩存;
•  DNS緩存;
•  使用分段的方式上傳文件;
•  向請求添加自定義的標(biāo)頭;

下載鏈接：http://w3af.org/

8. Zed Attack Proxy

Zed Attack Proxy是由OWASP開發(fā)的一款免費開源代碼安全測試工具，通常也被稱為ZAP，支持Unix/Linux、Windows和Mac OS，即便在開發(fā)和測試階段，它也可以讓您在Web應(yīng)用中發(fā)現(xiàn)一系列安全風(fēng)險與漏洞。即使您是滲透測試的新手，也能輕松地上手該工具。

核心功能：

•  認(rèn)證支持;
•  AJAX爬取;
•  自動化掃描;
•  強制瀏覽;
•  動態(tài)SSL證書;
•  支持Web套接字;
• 支持即插即用;
•  攔截代理;
•  支持基于REST的API等;

下載鏈接：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

9. Burpsuite

作為一款嚴(yán)控“入侵者”的掃描工具，Burpsuite被一些安全測試專家贊許為“如果沒有這種工具，滲透測試將無法開展。”雖然它并不是免費的，但卻能夠提供非常高的投資回報。通常情況下，它可以通過爬取內(nèi)容和功能、攔截代理以及掃描Web應(yīng)用等實現(xiàn)測試目的。同時，它可以在Mac OS X，Windows和Linux環(huán)境中運行。

核心功能：

• 跨平臺支持;
•  穩(wěn)定且輕量級;
•  可以與幾乎所有的主流瀏覽器協(xié)同使用;
•  執(zhí)行自定義攻擊;
•  設(shè)計用戶界面;
•  可以協(xié)助爬取網(wǎng)站;
•  協(xié)助掃描Https/HTTP類型的請求和響應(yīng);

網(wǎng)站：http://portswigger.net/burp/

10. Sqlninja

Sqlninja是最好的開源滲透測試工具之一，其利用Microsoft SQL Server作為后端，來檢測Web應(yīng)用上的SQL注入威脅和漏洞。該自動化測試工具具有命令行界面，且可以在Linux和Apple Mac OS X上運行。它具有許多描述性功能，可對遠(yuǎn)程命令進(jìn)行計數(shù)，DB指紋識別及其檢測引擎等。

核心功能：

•  為UDP和TCP提供直接和反向shell;
•  遠(yuǎn)程SQL Server的指紋;
•  如果原始被禁用，則可以自生成XP cmdshell;
•  從遠(yuǎn)程數(shù)據(jù)庫中提取數(shù)據(jù);
•  遠(yuǎn)程數(shù)據(jù)庫服務(wù)器上的操作系統(tǒng)提權(quán);
•  通過反向掃描以尋找可用于反向shell的端口;

下載鏈接：http://sqlninja.sourceforge.net/

總結(jié)

這10款出色的網(wǎng)絡(luò)安全測試工具，可以為您的個人數(shù)據(jù)提供保護(hù)，減少數(shù)據(jù)泄露以及硬件被盜的機會。此外，這些工具還具備更嚴(yán)格的安全性和更強大的隱私性。通過這些必備的安全工具將幫助企業(yè)組織規(guī)避網(wǎng)絡(luò)攻擊并保護(hù)IT基礎(chǔ)架構(gòu)。最后，需要注意的是，這些安全軟件工具也需要持續(xù)升級和維護(hù)，以持續(xù)提供一流的安全性服務(wù)。

本文翻譯自：https://dzone.com/articles/top-10-cyber-security-tools-to-watch-out-in-2021如若轉(zhuǎn)載，請注明原文地址。