web应用程序安全工具和资源(漏洞银行 收集整理)

2018/12/28 21:22
阅读数 169

Web应用程序安全工具

 

 

组织

 

OWASP - http://www.owasp.org/

开放式Web应用程序安全项目(OWASP)是一个501(c)3全球非营利性慈善组织,致力于提高软件的安全性

 

Web应用防火墙

 

ModSecurity - http://www.modsecurity.org/

ModSecurity是一个用于实时Web应用程序监控,日志记录和访问控制的工具包

 

NAXSI - https://github.com/nbs-system/naxsi

NAXSI是NGINX的开源,高性能,低规则维护WAF,NAXSI意味着Nginx Anti Xss和Sql Injection

 

sql_firewall - https://github.com/uptimejp/sql_firewall

PostgreSQL的SQL防火墙扩展

 

ironbee - https://github.com/ironbee/ironbee

IronBee是一个开源项目,用于构建通用的Web应用程序安全工具。IronBee是开发用于保护Web应用程序的系统框架 - 用于构建Web应用程序防火墙(WAF)的框架

 

扫描

 

sqlmap - http://sqlmap.org/   

sqlmap是一个开源的渗透测试工具,可以自动检测和利用SQL注入漏洞并接管数据库服务器

 

ZAP - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Zed攻击代理(ZAP)是一种易于使用的集成Web应用程序安全工具,用于查找Web应用程序中的漏洞。它旨在供具有广泛安全经验的人使用,因此非常适合不熟悉渗透测试的开发人员和功能测试人员。ZAP提供自动扫描程序以及一组允许您手动查找安全漏洞的工具

 

OWASP测试清单v4 - https://www.owasp.org/index.php/Testing_Checklist

在Web漏洞评估期间要测试的一些控件列表

 

w3af - http://w3af.org/

w3af是一个Web应用程序攻击和审计框架。该项目的目标是创建一个框架,通过查找和利用所有Web应用程序漏洞来帮助您保护Web应用程序

 

Recon-ng - https://bitbucket.org/LaNMaSteR53/recon-ng

Recon-ng是一个用Python编写的功能齐全的Web Reconnaissance框架。Recon-ng的外观和风格类似于Metasploit Framework

 

PTF - https://github.com/trustedsec/ptf

渗透测试框架(PTF)是一个支持最新工具的模块化方法

 

INnfection Monkey - https://github.com/guardicore/monkey

用于测绘网络的半自动测试工具

 

ACSTIS - https://github.com/tijme/angularjs-csti-scanner

ACSTIS可帮助您扫描某些Web应用程序以获取AngularJS客户端注入模板(有时称为CSTI)。它支持扫描单个请求,同时也支持抓取整个Web应用程序以获得AngularJS CSTI漏洞

 

运行时应用程序自我保护

 

Sqreen - https://www.sqreen.io/

Sqreen是面向软件团队的运行应用程序时自我保护(RASP)的解决方案。在应用内代理仪器和监控应用程序,报告可疑用户活动,并在活动时阻止攻击——无需修改代码或进行流量重定向

 

开发

 

Secure by Design - https://www.manning.com/books/secure-by-design?a_aid=danbjson&a_bid=0b3fac80

确定设计模式和编码风格的书籍,这些设计模式和编码风格大幅度降低漏洞的危险程度

 

Securing DevOps - https://www.manning.com/books/securing-devops

本书探讨了如何将DevOps和Security的技术应用于一起,以使云服务更安全

 

Understanding API Security - https://www.manning.com/books/understanding-api-security

一种免费的电子书采样器,通过展示如何将API组合在一起以及如何使用OAuth协议来保护它们,为API安全运作提供了一些深入的参考

 

OAuth 2 in Action - https://www.manning.com/books/oauth-2-in-action

从客户端,授权服务器和资源服务器的角度教您实际使用和部署OAuth 2的书

 

可用性

 

Usable Security Course - https://pt.coursera.org/learn/usable-security

非常适合那些寻求安全性和可用性如何交叉的人

 

 

大数据

 

data_hacking - https://github.com/ClickSecurity/data_hacking

通过IPython,Pandas和Scikit的示例了解如何充分利用安全数据

 

hadoop-pcap - https://github.com/RIPE-NCC/hadoop-pcap

读取数据包捕获(PCAP)文件的Hadoop库

 

Workbench - http://workbench.readthedocs.org/

用于安全研究和开发团队的可扩展python框架

 

OpenSOC - https://github.com/OpenSOC/opensoc

OpenSOC集成了各种开源大数据技术,以便为安全监控和分析提供工具

 

Apache Metron(incubating)- https://github.com/apache/incubator-metron

Metron集成了各种开源大数据技术,以便为安全监控和分析提供工具

 

Apache Spot(incubating)- https://github.com/apache/incubator-spot

Apache Spot是一个开源软件,能够对流量和数据包进行分析

 

Binarypig - https://github.com/endgameinc/binarypig

Hadoop中可扩展的二进制数据提取工具

 

DevOps

 

Securing DevOps - 

https://manning.com/books/securing-devops?a_aid=securingdevops&a_bid=1353bcd8

一本关于DevOps安全技术的书,它回顾了保护Web应用程序及其基础结构所进行的最新实践

 

书籍

 

Web应用程序黑客手册:查找和利用安全漏洞

http://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/8126533404/  

 

黑客Web应用程序:检测和防止Web应用程序安全问题

http://www.amazon.com/Hacking-Web-Apps-Preventing-Application/dp/159749951X/  

 

黑客暴露的Web应用程序

http://www.amazon.com/Hacking-Exposed-Web-Applications-Third/dp/0071740643/  

 

SQL注入攻击和防御

http://www.amazon.com/SQL-Injection-Attacks-Defense-Second/dp/1597499633/   

 

纠结的WEB:保护现代Web应用程序的指南

http://www.amazon.com/Tangled-Web-Securing-Modern-Applications/dp/1593273886/

 

Web应用程序混淆:' - / WAFs..Evasion..Filters // alert(/ Obfuscation /) - 

http://www.amazon.com/Web-Application-Obfuscation-Evasion-Filters/dp/1597496049/ 

 

XSS攻击:跨站点脚本攻击和防御

http://www.amazon.com/XSS-Attacks-Scripting-Exploits-Defense/dp/1597491543/   

 

浏览器黑客手册

http://www.amazon.com/Browser-Hackers-Handbook-Wade-Alcorn/dp/1118662091/   

 

Web黑客攻击的基础知识:攻击Web的工具和技术

http://www.amazon.com/Basics-Web-Hacking-Techniques-Attack/dp/0124166008/  

 

使用Kali Linux进行Web渗透测试

http://www.amazon.com/Web-Penetration-Testing-Kali-Linux/dp/1782163166/   

 

Web应用程序安全,初学者指南

http://www.amazon.com/Web-Application-Security-Beginners-Guide/dp/0071776168/  

 

Crypto 101是一门关于密码学的入门课程

https://www.crypto101.io/   

 

免费的metasploit教程

http://www.offensive-security.com/metasploit-unleashed/   

 

安全工程

http://www.cl.cam.ac.uk/~rja14/book.html   

 

OpenSSL Cookbook

https://www.feistyduck.com/library/openssl-cookbook/   

 

 

文档

 

Web应用程序安全项目

https://www.owasp.org/  

 

渗透测试执行标准

http://www.pentest-standard.org/  

 

Thorsten Schneider博士的二元审计

http://www.binary-auditing.com/   

 

工具

 

metasploit - http://www.metasploit.com/   

最常用的渗透测试软件

 

arachni-scanner http://www.arachni-scanner.com/  

Web应用程序安全扫描程序框架

 

Nikto - https://github.com/sullo/nikto

网络服务器扫描仪

 

Nessus - http://www.tenable.com/products/nessus-vulnerability-scanner  

漏洞扫描程序

 

Burp Intruder安全工具 http://www.portswigger.net/burp/intruder.html

一个Web应用程序安全工具,用于自动定制针对Web应用程序的攻击

 

openvas - http://www.openvas.org/

世界上最先进的开源漏洞扫描程序和管理器

 

iSECPartners https://github.com/iSECPartners/Scout2-

适用于AWS环境的安全审核工具

 

目录爆破 - 

https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project  

是一个多线程Java应用程序,旨在爆破Web 应用程序服务器上的目录和文件名

 

Zed工具 - https://www.owasp.org/index.php/ZAP

Zed攻击代理是一种易于使用的集成渗透测试工具,用于查找Web应用程序中的漏洞

 

dsniff工具 https://github.com/tecknicaltom/dsniff   

dsniff是一系列用于网络审计和渗透测试的工具

 

webshell管理 - https://github.com/WangYihang/Webshell-Sniper   

通过终端管理webshell

 

DNS欺骗 - https://github.com/DanMcInerney/dnsspoof  

丢弃来自路由器的DNS响应,并将其替换为伪装的DNS响应

 

TrustedSec - https://github.com/trustedsec/social-engineer-toolkit   

来自TrustedSec的社工工具包(SET)仓库

 

自动SQL注入 -https://github.com/sqlmapproject/sqlmap   

自动SQL注入和数据库接管工具

 

beef https://github.com/beefproject/beef   

 

w3af - http://w3af.org/   

一个Web应用程序攻击和审计框架

 

WPSploit - https://github.com/espreto/wpsploit   

 

通过终端反向shell管理器 

https://github.com/WangYihang/Reverse-Shell-Manager  

 

WS-Attacker - https://github.com/RUB-NDS/WS-Attacker   

用于Web服务渗透测试的模块化框架

 

WPScan https://github.com/wpscanteam/wpscan   

黑盒子WordPress漏洞扫描程序

 

Paros代理 http://sourceforge.net/projects/paros/

 

Web Scarab代理 - 

https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

 

Skipfish - https://code.google.com/p/skipfish/

活跃的Web应用程序安全侦察工具

 

Acunetix Web 

http://www.acunetix.com/vulnerability-scanner/  

漏洞扫描程序

 

IBM Security AppScan - http://www-03.ibm.com/software/products/en/appscan

 

Netsparker Web - https://www.netsparker.com/web-vulnerability-scanner/  

漏洞扫描程序

 

HP Web Inspect - 

http://www8.hp.com/us/en/software-solutions/webinspect-dynamic-analysis-dast/index.html

 

Wikto https://github.com/sensepost/wikto

适用于Windows的Nikto功能

 

Samurai Web - http://samurai.inguardians.com

测试框架

 

Ratproxy https://code.google.com/p/ratproxy/  

 

Websecurify http://www.websecurify.com

 

Grendel-scan -http://sourceforge.net/projects/grendel/

 

Heartbleed test - https://filippo.io/Heartbleed/  

CVE-2014-0160(Heartbleed)的检查器(站点和工具)

 

 

SSL

 

Qualys -https://www.ssllabs.com/ssltest/index.html 

此服务能够对公共Internet上任何SSL Web服务器的配置进行深入分析

 

raymii.org https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

nginx上的SSL安全

 

weakdh - https://weakdh.org/

弱Diffie-Hellman加密算法和Logjam攻击

 

Let‘s Encrypt - https://letsencrypt.org/

免费的,自动的,开放的证书颁发机构

 

Heartbleed Test - https://filippo.io/Heartbleed/

CVE-2014-0160(Heartbleed)的检查器(站点和工具)

 

 

Ruby on Rails安全


Rails Scanner - http://brakemanscanner.org/   

用于Ruby on Rails应用程序的静态分析安全漏洞扫描程序和Web应用程序安全工具

 

https://github.com/rubysec/ruby-advisory-db

有漏洞的Ruby Gems的数据库

 

https://github.com/rubysec/bundler-audit

Bundler的补丁级验证

 

https://github.com/hakirisec/hakiri_toolbelt

Hakiri Toolbelt是Hakiri平台的命令行界面

 

Hakiri - facets https://hakiri.io/facets

扫描Gemfile.lock以查找漏洞

 

Rails SQL Injection http://rails-sqli.org/  

此页面列出了ActiveRecord中的许多查询方法和选项,这些方法和选项不会清理原始SQL参数,也不使用不安全的用户输入进行调用

 

https://github.com/0xsauby/yasuo

一个ruby脚本,用于扫描网络上有漏洞的且可利用的第三方Web应用程序

 

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部