這10個安全測試工具，優秀且免費

有不少開發人員覺得安全測試是最難以實現自動化的部分，其實這主要是由于沒有找到合適的工具來進行測試。今天給大家介紹10個易用、開源且免費的安全測試工具，希望能夠對你有幫助。

1. Nishang

如果喜歡用PowerShell，那么可以試試Nishang。Nishang是有效負載與腳本的結合，可以用PowerShell來進行滲透式、攻擊性安全、以及紅隊測試。測試人員可以在當前滲透測試的各個階段使用到該工具。

2. Taipan

Taipan是自動化的Web應用類漏洞掃描程序，能自動化進行Web漏洞的識別。它是開放式項目，有能兼容與支持其他組件的測試引擎。它的界面和Web儀表板很像，可以在其中掃描并管理各類漏洞，下載掃描器代理程序、以及在主機上運行并輸出PDF格式的報告等。

3. Needle

Needle是iOS版的測試框架，它是模塊化的，能夠簡化針對iOS應用安全評估的整體過程，同時可提供各種安全測試活動的關鍵要點。除了安全測試人員會使用它，開發人員也會用它來加固自己的代碼。

4. Excercise in a Box

Excercise in a Box是在線工具，可以用它來測試自己的網絡是否容易遭受到攻擊。它可以提供各種場景，反復演練自身面對安全攻擊事件的響應能力，包含了需要執行的各種計劃、設置、交付、以及事后整改活動等資源。

5. Pocsuite

Pocsuite是一個概念驗證和遠程漏洞測試的開發框架。它具有強大的概念驗證引擎，以及各種豐富且強大的功能，很適合安全研究人員和滲透測試人員使用。

6. 移動安全框架(Mobile Security Framework)

它是一種多功能的自動化移動應用類滲透測試框架，能執行動態分析，靜態分析，Web APT測試、以及惡意軟件等方面的分析。在實際測試中，它可以被用于針對iOS、Android和Windows等平臺移動應用內部的二進制源代碼，乃至于程序截圖，采取快速、有效的安全性分析;還可以在運行時(runtime)級別，對Android應用程序進行動態應用測試;且還擁有安全掃描程序CapFuzz，能支持Web API的模糊處理。

7. InSpec

InSpec是軟件測試和審核框架，能夠針對程序中的人類可讀語言和機器語言，分析和闡釋代碼級別的安全性、合規性、以及策略需求。在Frida網站上，它可以讓使用者將不同腳本放入其黑盒進程中，“鉤取”各種功能與crypto API，并監視與跟蹤那些私有代碼。

8. DevSlop

如果想全面加固DevOps管道安全性，那么DevSlop是不錯選擇。作為OWASP的一個子項目，DevSlop能夠通過不同的模塊開展各項深入研究。其中包括應用程序的易受攻擊點，各種管道，以及提供DevSlop Show的功能等。

9. Faraday

Faraday是一個多用戶滲透測試方式的補足工具，被用于針對那些在安全審核過程中所產生的數據，進行專業的索引、分發和分析。使用Faraday，測試人員能以多用戶的方式，充分利用社區里現有的工具。而且它還提供了一系列特殊功能，以協助用戶改善其現有的工作流程。值得一提的是，Faraday使用簡單，終端與系統上的常用終端區別不大。

10. Tamper

Tamper Chrome是瀏覽器的擴展程序，支持即時更改HTTP請求，并協助進行各項網絡安全的相關測試。它允許用戶深入地檢查瀏覽器所發送的請求及其響應，目前適用于包括Chrome OS在內的所有操作系統。