渗透测试工具有哪些

渗透测试工具有：一、Metasploit；二、Nmap；三、SQLmap；四、Wireshark；五、Burp Suite；六、John The Ripper；七、AppScan；八、Nessus；九、John The Ripper；十、Acunetix Scanner。Metasploit是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。

一、Metasploit

作为一款渗透测试框架，Metasploit在网络攻击者和道德黑客中被广泛使用。目前，Metasploit项目拥有两个版本：开源子项目Metasploit Framework和带有许可版本的Metasploit Pro。其中，Metasploit Framework可以针对远程目标计算机，开发出可执行的代码与有效负载。而除了使用默认的命令行界面，测试人员也通过购买Metasploit Pro，来获取各项高级功能、以及基于GUI的操作体验。

二、Nmap

作为一种开源的渗透测试工具，Nmap不但可以协助识别网络中的开放端口和漏洞，而且可以确定网络上正在运行的活跃设备(或主机)。它提供了旁路的防火墙或WAF之类高级扫描功能，可以协助渗透测试人员绕过网络中已配备好的安全设备。

三、SQLmap

SQLmap是一个开源渗透测试工具，它可以自动检测和利用 SQL 注入漏洞并接管数据库服务器。它具有强大的检测引擎，同时有众多功能，包括数据库指纹识别、从数据库中获取数据、访问底层文件系统以及在操作系统上带内连接执行命令。

四、Wireshark

Wireshark是世界上最重要和较广泛使用的网络协议分析器。它可以让你在微观层面上看到你的网络上正在发生的事情，并且是许多商业和非盈利企业、政府机构和教育机构的标准。Wireshark发展得益于世界各地网络专家的志愿贡献，也是1998年杰拉尔德·库姆斯开始的项目的延续。

五、Burp Suite

Burp Suite是一个集成化的渗透测试工具，它集合了多种渗透测试组件，使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中，我们使用Burp Suite将使得测试工作变得更加容易和方便，即使在不需要娴熟的技巧的情况下，只有我们熟悉Burp Suite的使用，也使得渗透测试工作变得轻松和高效。

六、John The Ripper

John the Ripper是一款免费的开源软件，是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持目前大多数的加密算法，如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不够牢固的Unix/Linux系统密码。

七、AppScan

AppScan是IBM的一款Web安全测试工具，价格昂贵，但功能强大，主要采用黑盒测试，通过网站主页爬取站下所有可见页面和后台，通过SQL注入和跨脚本攻击测试网站是否有漏洞，还会对cookie，会话周期等常见的web漏洞进行检测，对检测结果出具可视化报表，不仅能看到漏洞，还有详尽的漏洞原理，修改建议，手动验证等功能。

八、Nessus

Nessus是功能强大且广受欢迎的网络漏洞扫描程序。由于其大量的漏洞签名库，它是漏洞扫描的优异工具。在目标计算机上运行Nessus扫描时，将识别该计算机上运行的服务并检测相关的漏洞，该工具还提供用于利用和修复它们的其他信息。

使用Nessus扫描仪可以改善安全状况，并确保在虚拟和云环境中具有更好的合规性。如果组织需要速度和准确性，则Nessus值得获得许可。但是，Nessus Essentials允许您免费为每个扫描仪扫描环境多达16个IP地址。

九、John The Ripper

John the Ripper是一款免费的开源软件，是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持目前大多数的加密算法，如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不够牢固的Unix/Linux系统密码。

十、Acunetix Scanner

AcunetixScanner是一个自动化工具，能帮助快速完成渗透测试，它能审计复杂的管理报告和问题，处理许多网络的漏洞，还能够包含带外漏洞。它有很高的检测率，涵盖了超过4500个弱点，此外这个工具包含AcuSensor技术，手动渗透工具和内置漏洞测试，可快速抓取数千个网页，也能在本地或通过云解决方案运行。

延伸阅读：测试管理工具软件

1. 测试管理工具：PingCode（推荐：简单、全面、好用/地址： https://sc.pingcode.com/dkj4m ）、Jira（不支持本地版、贵）

2. 接口测试工具：Jmeter（开源）、postman、SoapUI

3. 性能测试工具：loadrunner（全但复杂）、jmeter 、Web bench 、

4. C/S自动化工具：qtp、autoit

5.白盒测试工具：jtest、JUnit、cppunit

6.代码扫描工具：Coverity、cppcheck、gcover

7.持续集成工具：jenkins、Hudson

8.网络测试工具：思博伦、Ixia、tc

9.app自动化工具：appium、instruments、uiautomator

10.web安全测试工具：appscan、Netsparker Community Edition、Websecurify 、Wapiti

11.抓包工具：fiddler