Web应用程序安全工具
组织
OWASP - http://www.owasp.org/
开放式Web应用程序安全项目(OWASP)是一个501(c)3全球非营利性慈善组织,致力于提高软件的安全性
Web应用防火墙
ModSecurity - http://www.modsecurity.org/
ModSecurity是一个用于实时Web应用程序监控,日志记录和访问控制的工具包
NAXSI - https://github.com/nbs-system/naxsi
NAXSI是NGINX的开源,高性能,低规则维护WAF,NAXSI意味着Nginx Anti Xss和Sql Injection
sql_firewall - https://github.com/uptimejp/sql_firewall
PostgreSQL的SQL防火墙扩展
ironbee - https://github.com/ironbee/ironbee
IronBee是一个开源项目,用于构建通用的Web应用程序安全工具。IronBee是开发用于保护Web应用程序的系统框架 - 用于构建Web应用程序防火墙(WAF)的框架
扫描
sqlmap - http://sqlmap.org/
sqlmap是一个开源的渗透测试工具,可以自动检测和利用SQL注入漏洞并接管数据库服务器
ZAP - https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Zed攻击代理(ZAP)是一种易于使用的集成Web应用程序安全工具,用于查找Web应用程序中的漏洞。它旨在供具有广泛安全经验的人使用,因此非常适合不熟悉渗透测试的开发人员和功能测试人员。ZAP提供自动扫描程序以及一组允许您手动查找安全漏洞的工具
OWASP测试清单v4 - https://www.owasp.org/index.php/Testing_Checklist
在Web漏洞评估期间要测试的一些控件列表
w3af - http://w3af.org/
w3af是一个Web应用程序攻击和审计框架。该项目的目标是创建一个框架,通过查找和利用所有Web应用程序漏洞来帮助您保护Web应用程序
Recon-ng - https://bitbucket.org/LaNMaSteR53/recon-ng
Recon-ng是一个用Python编写的功能齐全的Web Reconnaissance框架。Recon-ng的外观和风格类似于Metasploit Framework
PTF - https://github.com/trustedsec/ptf
渗透测试框架(PTF)是一个支持最新工具的模块化方法
INnfection Monkey - https://github.com/guardicore/monkey
用于测绘网络的半自动测试工具
ACSTIS - https://github.com/tijme/angularjs-csti-scanner
ACSTIS可帮助您扫描某些Web应用程序以获取AngularJS客户端注入模板(有时称为CSTI)。它支持扫描单个请求,同时也支持抓取整个Web应用程序以获得AngularJS CSTI漏洞
运行时应用程序自我保护
Sqreen - https://www.sqreen.io/
Sqreen是面向软件团队的运行应用程序时自我保护(RASP)的解决方案。在应用内代理仪器和监控应用程序,报告可疑用户活动,并在活动时阻止攻击——无需修改代码或进行流量重定向
开发
Secure by Design - https://www.manning.com/books/secure-by-design?a_aid=danbjson&a_bid=0b3fac80
确定设计模式和编码风格的书籍,这些设计模式和编码风格大幅度降低漏洞的危险程度
Securing DevOps - https://www.manning.com/books/securing-devops
本书探讨了如何将DevOps和Security的技术应用于一起,以使云服务更安全
Understanding API Security - https://www.manning.com/books/understanding-api-security
一种免费的电子书采样器,通过展示如何将API组合在一起以及如何使用OAuth协议来保护它们,为API安全运作提供了一些深入的参考
OAuth 2 in Action - https://www.manning.com/books/oauth-2-in-action
从客户端,授权服务器和资源服务器的角度教您实际使用和部署OAuth 2的书
可用性
Usable Security Course - https://pt.coursera.org/learn/usable-security
非常适合那些寻求安全性和可用性如何交叉的人
大数据
data_hacking - https://github.com/ClickSecurity/data_hacking
通过IPython,Pandas和Scikit的示例了解如何充分利用安全数据
hadoop-pcap - https://github.com/RIPE-NCC/hadoop-pcap
读取数据包捕获(PCAP)文件的Hadoop库
Workbench - http://workbench.readthedocs.org/
用于安全研究和开发团队的可扩展python框架
OpenSOC - https://github.com/OpenSOC/opensoc
OpenSOC集成了各种开源大数据技术,以便为安全监控和分析提供工具
Apache Metron(incubating)- https://github.com/apache/incubator-metron
Metron集成了各种开源大数据技术,以便为安全监控和分析提供工具
Apache Spot(incubating)- https://github.com/apache/incubator-spot
Apache Spot是一个开源软件,能够对流量和数据包进行分析
Binarypig - https://github.com/endgameinc/binarypig
Hadoop中可扩展的二进制数据提取工具
DevOps
Securing DevOps -
https://manning.com/books/securing-devops?a_aid=securingdevops&a_bid=1353bcd8
一本关于DevOps安全技术的书,它回顾了保护Web应用程序及其基础结构所进行的最新实践
书籍
Web应用程序黑客手册:查找和利用安全漏洞
http://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/8126533404/
黑客Web应用程序:检测和防止Web应用程序安全问题
http://www.amazon.com/Hacking-Web-Apps-Preventing-Application/dp/159749951X/
黑客暴露的Web应用程序
http://www.amazon.com/Hacking-Exposed-Web-Applications-Third/dp/0071740643/
SQL注入攻击和防御
http://www.amazon.com/SQL-Injection-Attacks-Defense-Second/dp/1597499633/
纠结的WEB:保护现代Web应用程序的指南
http://www.amazon.com/Tangled-Web-Securing-Modern-Applications/dp/1593273886/
Web应用程序混淆:' - / WAFs..Evasion..Filters // alert(/ Obfuscation /) -
http://www.amazon.com/Web-Application-Obfuscation-Evasion-Filters/dp/1597496049/
XSS攻击:跨站点脚本攻击和防御
http://www.amazon.com/XSS-Attacks-Scripting-Exploits-Defense/dp/1597491543/
浏览器黑客手册
http://www.amazon.com/Browser-Hackers-Handbook-Wade-Alcorn/dp/1118662091/
Web黑客攻击的基础知识:攻击Web的工具和技术
http://www.amazon.com/Basics-Web-Hacking-Techniques-Attack/dp/0124166008/
使用Kali Linux进行Web渗透测试
http://www.amazon.com/Web-Penetration-Testing-Kali-Linux/dp/1782163166/
Web应用程序安全,初学者指南
http://www.amazon.com/Web-Application-Security-Beginners-Guide/dp/0071776168/
Crypto 101是一门关于密码学的入门课程
免费的metasploit教程
http://www.offensive-security.com/metasploit-unleashed/
安全工程
http://www.cl.cam.ac.uk/~rja14/book.html
OpenSSL Cookbook
https://www.feistyduck.com/library/openssl-cookbook/
文档
Web应用程序安全项目
渗透测试执行标准
http://www.pentest-standard.org/
Thorsten Schneider博士的二元审计
http://www.binary-auditing.com/
工具
metasploit - http://www.metasploit.com/
最常用的渗透测试软件
arachni-scanner - http://www.arachni-scanner.com/
Web应用程序安全扫描程序框架
Nikto - https://github.com/sullo/nikto
网络服务器扫描仪
Nessus - http://www.tenable.com/products/nessus-vulnerability-scanner
漏洞扫描程序
Burp Intruder安全工具 - http://www.portswigger.net/burp/intruder.html
一个Web应用程序安全工具,用于自动定制针对Web应用程序的攻击
openvas - http://www.openvas.org/
世界上最先进的开源漏洞扫描程序和管理器
iSECPartners - https://github.com/iSECPartners/Scout2-
适用于AWS环境的安全审核工具
目录爆破 -
https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
是一个多线程Java应用程序,旨在爆破Web 应用程序服务器上的目录和文件名
Zed工具 - https://www.owasp.org/index.php/ZAP
Zed攻击代理是一种易于使用的集成渗透测试工具,用于查找Web应用程序中的漏洞
dsniff工具 - https://github.com/tecknicaltom/dsniff
dsniff是一系列用于网络审计和渗透测试的工具
webshell管理 - https://github.com/WangYihang/Webshell-Sniper
通过终端管理webshell
DNS欺骗 - https://github.com/DanMcInerney/dnsspoof
丢弃来自路由器的DNS响应,并将其替换为伪装的DNS响应
TrustedSec - https://github.com/trustedsec/social-engineer-toolkit
来自TrustedSec的社工工具包(SET)仓库
自动SQL注入 -https://github.com/sqlmapproject/sqlmap
自动SQL注入和数据库接管工具
beef - https://github.com/beefproject/beef
w3af - http://w3af.org/
一个Web应用程序攻击和审计框架
WPSploit - https://github.com/espreto/wpsploit
通过终端反向shell管理器 –
https://github.com/WangYihang/Reverse-Shell-Manager
WS-Attacker - https://github.com/RUB-NDS/WS-Attacker
用于Web服务渗透测试的模块化框架
WPScan - https://github.com/wpscanteam/wpscan
黑盒子WordPress漏洞扫描程序
Paros代理 - http://sourceforge.net/projects/paros/
Web Scarab代理 -
https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Skipfish - https://code.google.com/p/skipfish/
活跃的Web应用程序安全侦察工具
Acunetix Web -
http://www.acunetix.com/vulnerability-scanner/
漏洞扫描程序
IBM Security AppScan - http://www-03.ibm.com/software/products/en/appscan
Netsparker Web - https://www.netsparker.com/web-vulnerability-scanner/
漏洞扫描程序
HP Web Inspect -
http://www8.hp.com/us/en/software-solutions/webinspect-dynamic-analysis-dast/index.html
Wikto - https://github.com/sensepost/wikto
适用于Windows的Nikto功能
Samurai Web - http://samurai.inguardians.com
测试框架
Ratproxy - https://code.google.com/p/ratproxy/
Websecurify - http://www.websecurify.com
Grendel-scan -http://sourceforge.net/projects/grendel/
Heartbleed test - https://filippo.io/Heartbleed/
CVE-2014-0160(Heartbleed)的检查器(站点和工具)
SSL
Qualys -https://www.ssllabs.com/ssltest/index.html
此服务能够对公共Internet上任何SSL Web服务器的配置进行深入分析
raymii.org – https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
nginx上的SSL安全
weakdh - https://weakdh.org/
弱Diffie-Hellman加密算法和Logjam攻击
Let‘s Encrypt - https://letsencrypt.org/
免费的,自动的,开放的证书颁发机构
Heartbleed Test - https://filippo.io/Heartbleed/
CVE-2014-0160(Heartbleed)的检查器(站点和工具)
Ruby on Rails安全
Rails Scanner - http://brakemanscanner.org/
用于Ruby on Rails应用程序的静态分析安全漏洞扫描程序和Web应用程序安全工具
https://github.com/rubysec/ruby-advisory-db
有漏洞的Ruby Gems的数据库
https://github.com/rubysec/bundler-audit
Bundler的补丁级验证
https://github.com/hakirisec/hakiri_toolbelt
Hakiri Toolbelt是Hakiri平台的命令行界面
Hakiri - facets - https://hakiri.io/facets
扫描Gemfile.lock以查找漏洞
Rails SQL Injection - http://rails-sqli.org/
此页面列出了ActiveRecord中的许多查询方法和选项,这些方法和选项不会清理原始SQL参数,也不使用不安全的用户输入进行调用
https://github.com/0xsauby/yasuo
一个ruby脚本,用于扫描网络上有漏洞的且可利用的第三方Web应用程序