web-dev-qa-db-ja.com

侵入テストで使用する強力なセキュリティツール

使用または聞いた優れたセキュリティツールについてお伺いします。すべてのツールの機能と使用の難しさ、およびこのツールを使用するのに最適な状況をお知らせください。
編集:私の質問はmetasploit、scapy、nmapなどのツールに関するものです.... etc

12

あなたの脳。ツールは優れたフォースマルチプライヤーである可能性がありますが、最も重要なペンテスターツールは、攻撃対象のシステム(技術と人間の両方)を詳細に把握している十分に調整されたnogginです。潜在的な故障モードについて創造的に考える能力は不可欠です。

7
spinkham

@ spinkham'sの回答にはこれ以上同意できませんでした。それが最良の答えです。

@ygjbのpowerツールリストに追加するには、これらのツールがWebアプリ側でデータの抽出

最初に Burp Suite を使用して機会のポイントを特定します-このツールは、Webアプリの動作に慣れていない場合、習熟するのが難しい場合があります

SQLインジェクションの脆弱性を悪用するのに役立つPowertools

sqlmapsqlninja
sqlmapとsqlninjaは私にとって非常に貴重でした。ターゲットデータベースのデータを抽出することで明らかになった情報(ユーザー名、パスワードハッシュ、信頼関係など)は、追加のデバイスを攻撃または侵害する鍵でした

また、いくつか例を挙げると、多くの商用エクスプロイトキットがあります。

白リンエクスプロイトパック http://www.immunityinc.com/products-whitephosphorus.shtml
Agora Exploit Pack http://gleg.net/agora.shtml
VulnDisco Exploit Pack Professional http://www.intevydis.com/vulndisco.shtml
D2 Exploitation Pack http://www.immunityinc.com/products-dsquare.shtml

8
Tate Hansen

侵入テストに使用される攻撃プラットフォームについて言及している場合は、おそらく以下を検討することをお勧めします。

ただし、これらのツールには、必ずしも必要なものがすべて含まれているわけではありません。 Backtrack linuxディストリビューションもご覧ください。これは、VMまたは多くの分野のセキュリティツールの大規模なコレクションを含むディスクイメージです。

それ以外にも、非常に多くの強力なツールとライブラリが書かれていますPythonも言及する価値があります:)

3
ygjb

今日私が検索している間にこの本を見た: SecurityPowerTools 、それは多くのセキュリティツールをカバーし、それらについての素晴らしい説明を本当に持っている。

0

これは、私のWebアプリケーションのペンテストに使用したツールのリストを説明する私の以前の回答です: https://security.stackexchange.com/a/13487/4508

0
lisa17