文档章节

作为一名程序员,你有必要了解这些黑客工具!

编辑部的故事
 编辑部的故事
发布于 2017/03/27 18:05
字数 2091
阅读 10010
收藏 892

我们曾对黑客的世界充满着无限的幻想和畏惧,但随着技术的崛起和安全领域的进步,黑客技术已经变得越来越普遍。事实上,很多黑客工具被用于网络安全的工具可以用来进行渗透测试和安全测试,所以作为一名程序员,很有必要了解甚至尝试一下这些开源的黑客工具。但是请不要将它们用在非法用途。

“hacking tool”的图片搜索结果

1、渗透测试环境 Metasploit

Metasploit Framework是一个编写,测试和使用exploit代码的完善环境。这个环境为渗透测试,shellcode编写和漏洞研究 提供了一个可靠的平台,这个框架主要是由面向对象的Perl编程语言编写的,并带有由C语言,汇编程序和Python编写的可选组件。

Metasploit Framework 作为一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台。它集成了各平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变得方便和简单。

使用Metasploit安全测试工具在渗透测试中可以做很多事情,你可以保存你的操作日志、甚至定义每个有效负载在运行完成之后是 如何将其自身清除的。值得一提的是这个强大的工具是免费的,它的开发团队由两个全职成员和少数兼职的投稿者组 成,Metasploit Framework由最初的1.0版发展到现在的3.0版的漏洞自动化探测,成绩骄人,精神可嘉!

 

2、网站及服务器漏洞扫描软件 Acunetix

Acunetix Web Vulnerability Scanner是一个网站及服务器漏洞扫描软件,它包含有收费和免费两种版本。

Acunetix Web Vulnerability Scanner的功能:

  • AcuSensor 技术
  • 自动的客户端脚本分析器,允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。
  • 业内最先进且深入的 SQL 注入和跨站脚本测试
  • 高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer
  • 可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
  • 支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
  • 丰富的报告功能,包括 VISA PCI 依从性报告
  • 高速的多线程扫描器轻松检索成千上万个页面
  • 智能爬行程序检测 web 服务器类型和应用程序语言
  • Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX
  • 端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查

3、网络安全审计工具 Nmap

nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪服务运行在那些连接端,并且推断哪个操作系统计算机运行(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统保安。

正如大多数工具被用于网络安全的工具,nmap 也是不少黑客及骇客(又称脚本小孩)爱用的工具 。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。

Nmap 常被跟评估系统漏洞软件Nessus 混为一谈。Nmap 以隐秘的手法,避开闯入检测系统的监视,并尽可能不影响目标系统的日常操作。

Nmap 在黑客帝国(The Matrix)中,连同SSH1的32位元循环冗余校验漏洞,被崔妮蒂用以入侵发电站的能源管理系统。

4、网络协议检测程序 Wireshark

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。

网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。 在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……

Wireshark不是入侵侦测软件(Intrusion DetectionSoftware,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。

5、高级密码恢复工具 Hashcat

Hashcat 的 oclHashcat 是一个用来破解哈希值的工具,支持 MD5 和 SHA1。

oclHashcat 是世界上最快,最先进的,基于 GPGPU 的密码恢复工具,支持 5 种独特攻击模式,超过 170 个高优化哈希算法。oclHashcat 当前支持 AMD (OpenCL) 和 Nvidia (CUDA) 图形处理器,支持  GNU/Linux 和 Windows 7/8/10 平台。

oclHashcat-plus screenshot

6、漏洞扫描程序 Nessus

Nessus 号称是"世界上最流行的漏洞扫描程序,全世界超过75,000个组织在使用它".尽管这个扫描程序可以免费下载得到,但是要从Tenable Network Security更新到所有最新的威胁信息,每年的直接订购费用是$1,200.Linux, FreeBSD, Solaris, Mac OS X和Windows下都可以使用 Nessus.

7、互联网情报聚合工具 Maltego

有时候你可曾想过,从一个Email,或者Twitter,或是网站,甚至姓名等等,能找到一个人千丝万缕的联系,并把这些联系整合,利用起 来?Maltego就是这样一款优秀而强大的工具。Maltego允许从服务器中更新,整合数据,并允许用户很大程度上的自定义,从而实现整合出最适合用 户的“情报拓扑”。

8、web应用安全扫描工具 Netsparker

Netsparker是一款综合型的web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强大。Netsparker与其他综合性的 web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site Scripting类型的安全漏洞。

netsparker-hacking-tool

9、Web应用程序攻击和检查框架 W3af

W3af是一个Web应用程序攻击和检查框架。该项目已超过130个插件,其中检查SQL注入,跨站点脚本(XSS),本地和远程文件等。该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,很容易使用和扩展。

功能和特点

  • 支持代理
  • 代理身份验证(基本和摘要)
  • 网站身份验证(基本和摘要)
  • 超时处理
  • 伪造用户代理
  • 新增自订标题的请求
  • cookie处理
  • 本地缓存GET和头部
  • 本地DNS缓存
  • 保持和支持http和https连接
  • 使用多POS请求文件上传
  • 支持SSL证书

w3af-hacking-tool-2017 

部分内容编译自:https://fossbytes.com/best-hacking-tools-of-2016-windows-linux-mac-osx/

责任编辑:OSC-两味真火

转载必须在正文中标注并保留原文链接和作者等信息

© 著作权归作者所有

共有 人打赏支持
编辑部的故事

编辑部的故事

粉丝 1230
博文 257
码字总数 468651
作品 0
深圳
运营/编辑
私信 提问
加载中

评论(25)

极客小子
项目找创业合伙人,有市场的项目,要求会安卓和java,有兴趣可以来了解了解
Xelaris
Xelaris
Metasploit Framework 由最初的 1.0 版发展到现在的 3.0 版的漏洞自动化探测,现在已经4.x了吧。。。还有这些配图都是好老的是怎么回事儿?
Xelaris
Xelaris

引用来自“zxiso”的评论

一直以为Metasploit是ruby环境。。。
就是rb写的
两味真火
两味真火

引用来自“SVD”的评论

软件链接在哪
直接点标题软件名称的超链接啊
SVD
SVD
666,好想玩一玩
SVD
SVD
软件链接在哪
zhangqunshi
zhangqunshi
不错
Sgenmi
Sgenmi
mark
z
zxiso
一直以为Metasploit是ruby环境。。。
matosiki
matosiki
马克
程序员、黑客与开发者之别

程序员、黑客与开发者究竟有何区别?这个问题往往会引发踊跃的讨论与辩论。但是我看到的很多说法往往至少在一个重大方面是有瑕疵的,所以在此我愿给出我的定义,希望这个定义能够更准确些。 ...

oschina
2016/06/15
10.1K
38
想学习黑客技术吗?告诉你什么才是真正的黑客!

科技发展至今,我们的生活、工作和学习已经离不开互联网。而互联网中必须面对的一个大问题就是安全。然后,就涌现出了一批人,他们掌握着超高的计算机技术,对互联网知识了如指掌,他们有可能...

星空浪子A
2017/04/13
0
0
如何成为一名真正的黑客

黑客之路,没有终点。 一、什么是黑客?——最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,逐渐区分为白帽、灰帽、黑帽等,其中黑帽black hat实际就是cracker(骇客即破...

怪诞祖母绿
2017/06/03
0
0
程序员如何持续提升自己的开发技能

这个世界唯一不变的就是变化,IT圈子不外如是。计算机领域一直在改变,从基础框架到计算设备,还有几乎每天都涌现出的新技术。因此,作为一名程序开发人员,我们更要通过不断的学习来提高自己...

丨小丶牧灬
2015/08/07
480
2
程序员如何持续提升自己的开发技能

这个世界唯一不变的就是变化,IT圈子不外如是。计算机领域一直在改变,从基础框架到计算设备,还有几乎每天都涌现出的新技术。因此,作为一名程序开发人员,我们更要通过不断的学习来提高自己...

yzbty23
2015/08/28
29
0

没有更多内容

加载失败,请刷新页面

加载更多

java框架学习日志-13(Mybatis基本概念和简单的例子)

在mybatis初次学习Mybatis的时候,遇到了很多问题,虽然阿里云的视频有教学,但是视频教学所使用的软件和我自己使用的软件不用,我自己用的数据库是oracle数据库,开发环境是idea。而且视频中...

白话
今天
3
0
Java基础:String、StringBuffer和StringBuilder的区别

1 String String:字符串常量,字符串长度不可变。Java中String是immutable(不可变)的。 String类的包含如下定义: /** The value is used for character storage. */private final cha...

watermelon11
今天
2
0
mogodb服务

部署MongoDB 官网: https://www.mongodb.com/download-center/community 创建mongo数据目录 mkdir /data/mongodb 二进制部署 wget -c https://fastdl.mongodb.org/linux/mongodb-linux-x8......

以谁为师
昨天
5
0
大神教你Debian GNU/Linux 9.7 “Stretch” Live和安装镜像开放下载

Debian项目团队于昨天发布了Debian GNU/Linux 9 "Stretch" 的第7个维护版本更新,重点修复了APT软件管理器中存在的安全漏洞。在敦促每位用户尽快升级系统的同时,Debian团队还发布了Debian ...

linux-tao
昨天
4
0
PHP 相关配置

1. php-fpm的pool 编辑php-fpm配置文件php-fpm.con vim /usr/local/php/etc/php-fpm.conf //在[global]部分增加以下内容 include = etc/php-fpm.d/*.conf # 相当与Nginx的虚拟主机文件 “vho......

Yue_Chen
昨天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部