能力值:
( LV2,RANK:10 )
2 楼
WEPCrack 是一个用来破解WIRELESS WEP的开源工具。
aircrack-ng-1.0-win扫除隐藏的无线AP,并嗅探是否有密码。
netStumb
---》确实楼下的说得对,这几个和审计关系不是很大。主要用来做安全评估到时不错。
IIScolander :入侵检测 下载地址:http://www.verycd.com/topics/69120/
此软件主要用在当有人利用IIS服务器上的ASP程序漏洞进行上传ASP木马等其它对服务器有危害的文件时,断开对方操作,在对方浏览器上显示警告信息, 记录下对方操作,并发送信息到报警服务器,此软件可以极大的方便很多不会进行复杂的安全策略配置的网站管理员. 国产免费的,还有防止盗链设置和报警服务端。不知道效果麽样。
能力值:
( LV9,RANK:170 )
3 楼
请日后继续维护本贴,列出相关工具。
能力值:
( LV9,RANK:270 )
4 楼
工具很多的
appscan
AWVS
还有HP的那个。
国内商业软件像,安恒的webscan、小榕的webravor等等
主要是原理和技巧,工具只是辅助。
能力值:
( LV6,RANK:90 )
5 楼
二楼这个跑偏了……
Web和WEP可离太远了。
补充一下吧:
1、IBM Rational AppScan(4楼提到了)
2、HP WebInspect(4楼提到了)
上述这两个软件够大,够复杂,例如AppScan在报表中会提供提交请求、返回响应等全部数据供分析,WebInspect没有亲自用过,不太清楚。这样的商业软件自然有其优势,但扫描过程往往较慢,我在用户那里还见过这两个产品中的某一个每次都能把用户的某个系统给扫爬下,屡试不爽
3、国内的当然首推安恒WebScan(Frank)和安域领创WebRavor(小榕),当然这两个产品是同根同源的,这是我觉得最好和最实用的Web应用漏洞评估软件,优点是带有渗透测试功能,举个例子,如果说上述两个软件只是告诉、证明某个Web页面存在某类问题(例如SQL注入,最常见的SQL Server + asp数字型),那么这里提到的两个软件,能够更进一步,直接演示渗透的效果,例如枚举数据库、枚举表、枚举数据,甚至在可能的情况下,演示调用存储过程,执行命令或列举服务器目录等等(仅仅是举个例子而已)——自然,这不是评估所必需的,但渗透测试很有用,某些情况下,给客户演示也非常有用;安恒的DBScan也很有创意(这里不多说了);
4、知道创宇研发的WebSaber是一个有待完善的产品,正在研发中,当然这个团队的技术实力是很强的(如此多的大牛们,呵呵);他们的网站挂马检测平台是非常不错的,真的很不错,无论是检测机制、历史数据的积累、准确率、系统平台调度机制、样本库、后续分析,都让我非常佩服;
5、Pangolin穿山甲;
6、绿盟的扫描器也增加了相关Web检测模块;
7、sqlmap(手工初步检测加上sqlmap是很不错的渗透测试组合,成本低廉);
8、其他很多朋友们写的各类Web渗透工具,例如Domain明小子、阿D,小弟俺自己也曾经写过一个简单的工具,因为大家都可以理解的那个原因——用其他工具总觉得“这里如果这样就好了”,于是只好自己动手——如果时间允许、技术过关的话;
9、还有个国外的工具,我曾经用过一段时间,一时想不起来,等想起来再补充吧;
10、……
以上纯属个人真实客观的观点,不涉及任何商业利益,也没考虑朋友感情,在技术的天空下,就让我们抛开其他干扰,简单地说说技术吧,希望兄弟们谅解:)我会祝愿你们的工具、产品都越来越完善、公司生意越来越红火!
希望对大家有点小小的帮助。谢谢了!
能力值:
( LV7,RANK:110 )
6 楼
顶一下 哈哈
能力值:
( LV2,RANK:10 )
7 楼
主题真简单,闪过。。。
能力值:
( LV2,RANK:10 )
8 楼
一路到底!看了!
能力值:
( LV2,RANK:10 )
9 楼
俄罗斯的SSS
能力值:
( LV10,RANK:170 )
10 楼
顶一下.....
能力值:
( LV2,RANK:10 )
11 楼
好东东。不错。收藏下,日后用
能力值:
( LV2,RANK:10 )
12 楼
看吧。。。HP的审计工具和他们的电脑一样。都是用双面胶粘出来的产品。
能力值:
( LV2,RANK:10 )
13 楼
WVS看上去界面友好,功能强劲,可以自由添加选项,很好用