K-Pro

42 meilleurs outils de test de pénétration et outils pour les tests éthiques de piratage (test de stylo) en 2019

vendredi 11 janvier 2019

42 meilleurs outils de test de pénétration et outils pour les tests éthiques de piratage (test de stylo) en 2019


Les outils de test de pénétration aident à identifier les faiblesses de sécurité d'un réseau, d'un serveur ou d'une application Web. Ces outils sont très utiles car ils vous permettent d’identifier les "vulnérabilités inconnues" des logiciels et des applications réseau pouvant provoquer une atteinte à la sécurité. Les outils d'évaluation de la vulnérabilité et de test de pénétration (VAPT) attaquent votre système au sein du réseau et à l'extérieur du réseau comme si un pirate informatique l'attaquait. Si l'accès non autorisé est possible, le système doit être corrigé.

Voici une liste des 40 meilleurs outils de test de pénétration

1) Netsparker

Netsparker est un scanner de sécurité des applications Web facile à utiliser, capable de détecter automatiquement les vulnérabilités SQL Injection, XSS et d’autres vulnérabilités dans vos applications et services Web. Il est disponible sous forme de solution sur site et SAAS.
Caractéristiques
  • Détection précise de la vulnérabilité avec la technologie unique d'analyse basée sur la vérification.
  • Configuration minimale requise. Le scanner détecte automatiquement les règles de réécriture d'URL, les pages d'erreur 404 personnalisées.
  • API REST pour une intégration transparente avec SDLC, des systèmes de suivi des bogues, etc.
  • Solution entièrement évolutive. Numérisez 1 000 applications Web en seulement 24 heures.

2) Acunetix

Acunetix est un outil de test de pénétration entièrement automatisé. Son scanner de sécurité des applications Web analyse avec précision les applications HTML5, JavaScript et les pages simples. Il peut auditer des applications Web authentifiées complexes et générer des rapports de conformité et de gestion sur un large éventail de vulnérabilités Web et réseau, y compris des vulnérabilités hors bande.
Caractéristiques:
  • Analyse toutes les variantes des vulnérabilités supplémentaires de SQL Injection, XSS et 4500+
  • Détecte plus de 1200 vulnérabilités de base, de thèmes et de plugins dans WordPress
  • Rapide et évolutif - explore des centaines de milliers de pages sans interruption
  • S'intègre avec les WAF et les suiveurs de problèmes populaires pour aider au SDLC
  • Disponible sur site et en solution cloud.

3) Probe.ly

Probe.ly recherche en permanence des vulnérabilités dans vos applications Web. Il permet à ses clients de gérer le cycle de vie des vulnérabilités et leur fournit des conseils sur la manière de les résoudre. Probe.ly est un outil de sécurité conçu pour les développeurs.
Caractéristiques:
  • Scans pour les vulnérabilités Injections SQL, XSS, OWASP TOP10 et plus de 5000, y compris 1000 vulnérabilités WordPress et Joomla
  • API complète - Toutes les fonctionnalités de Probely sont également disponibles via une API
  • Intégration avec vos outils de CI, Slack et Jira
  • Membres de l'équipe illimités
  • Des rapports PDF pour présenter votre sécurité
  • Divers profils de numérisation (allant des analyses sûres aux analyses agressives)
  • Cibles d'environnement multiples - Production (analyses non intrusives) et tests (analyses intrusives et complètes)

4) Owasp

Le projet de sécurité des applications Web ouvertes ( OWASP ) est une organisation mondiale à but non lucratif axée sur l'amélioration de la sécurité des logiciels. Le projet dispose de plusieurs outils pour tester tous les environnements et protocoles logiciels. Les outils phares du projet incluent
  1. Zed Attack Proxy (ZAP - un outil de test d'intrusion intégré)
  2. Vérification des dépendances OWASP (analyse les dépendances du projet et vérifie les vulnérabilités connues)
  3. Projet d’environnement de test Web OWASP (ensemble d’outils de sécurité et de documentation)
Le guide de test OWASP décrit les "meilleures pratiques" permettant de tester l'application Web la plus courante.

5) WireShark

Wireshark est un outil d'analyse de réseau précédemment appelé Ethereal. Il capture les paquets en temps réel et les affiche dans un format lisible par l'homme. Fondamentalement, il s’agit d’un analyseur de paquets réseau qui fournit des informations détaillées sur vos protocoles réseau, le déchiffrement, les informations sur les paquets, etc. Il s’agit d’une source ouverte qui peut être utilisée sous Linux, Windows, OS X, Solaris, NetBSD, FreeBSD et beaucoup d’autres. d'autres systèmes. Les informations récupérées via cet outil peuvent être visualisées via une interface graphique ou l'utilitaire TShark en mode TTY.
Les fonctions de WireShark incluent
  • Capture en direct et analyse hors ligne
  • Analyse riche en VoIP
  • Les fichiers de capture compressés avec gzip peuvent être décompressés à la volée
  • La sortie peut être exportée au format XML, PostScript, CSV ou en texte brut
  • Multiplateforme: fonctionne sous Windows, Linux, FreeBSD, NetBSD et beaucoup d'autres
  • Les données en direct peuvent être lues sur Internet, PPP / HDLC, ATM, Blue-tooth, USB, Token Ring, etc.
  • Prise en charge du déchiffrement pour de nombreux protocoles comprenant IPsec, ISAKMP, SSL / TLS, WEP et WPA / WPA2
  • Pour une analyse intuitive rapide, des règles de coloration peuvent être appliquées au paquet
  • Lecture / écriture de nombreux formats de fichiers de capture différents

6) w3af

w3af est un cadre d’attaque et d’audit d’applications Web. Il a trois types de plugins; découverte, audit et attaque qui communiquent entre eux pour toute vulnérabilité sur le site, par exemple un plugin de découverte dans w3af recherche différentes URL pour tester les vulnérabilités et les transmet au plug-in d'audit, qui les utilise ensuite pour rechercher des vulnérabilités.
Il peut également être configuré pour s'exécuter en tant que proxy MITM. La requête interceptée peut être envoyée au générateur de requête, puis des tests manuels d'applications Web peuvent être effectués à l'aide de paramètres variables. Il a également des fonctionnalités pour exploiter les vulnérabilités qu'il trouve.
Caractéristiques du W3af
  • Support proxy
  • Cache de réponse HTTP
  • Cache DNS
  • Téléchargement de fichiers en plusieurs parties
  • Manipulation des cookies
  • Authentification HTTP de base et Digest
  • Simulateur d'agent utilisateur
  • Ajouter des en-têtes personnalisés aux demandes

7) Metaspoilt

C'est le Framework le plus populaire et le plus avancé qui peut être utilisé pour pentest. C'est un outil open source basé sur le concept d '' exploit 'qui signifie que vous transmettez un code qui enfreint les mesures de sécurité et entrez dans un certain système. S'il est entré, il exécute une "charge utile", un code qui effectue des opérations sur une machine cible, créant ainsi le cadre idéal pour les tests d'intrusion. C'est un excellent outil de test pour savoir si l'IDS réussit à empêcher les attaques que nous la contournons
Metaspoilt peut être utilisé sur des réseaux, des applications, des serveurs, etc. Il possède une ligne de commande et une interface cliquable sur l'interface graphique, fonctionne sous Apple Mac OS X, fonctionne sous Linux et Microsoft Windows.
Caractéristiques de Metaspoilt
  • Interface de ligne de commande de base
  • Importation tierce
  • Forçage manuel brute
  • Forçage manuel brute
  • tests de pénétration de sites Web

8) Kali

Kali ne fonctionne que sur les machines Linux. Il vous permet de créer un programme de sauvegarde et de récupération adapté à vos besoins. Il propose un moyen simple et rapide de rechercher et de mettre à jour la plus grande base de données de collecte de tests d'intrusion de sécurité à ce jour. Ce sont les meilleurs outils disponibles pour la détection et l’injection de paquets. Une expertise dans le protocole TCP / IP et la mise en réseau peut être bénéfique lors de l'utilisation de cet outil.
Caractéristiques
  • L'ajout de la prise en charge 64 bits permet la résolution brute du mot de passe
  • Back Track est livré avec des outils préchargés pour la détection de réseau local et de réseau local sans fil, l'analyse de vulnérabilité, la détection de mots de passe et l'investigation numérique.
  • Backtrack s'intègre avec certains des meilleurs outils comme Metaspoilt et Wireshark
  • Outre l'outil réseau, il comprend également pidgin, xmms, Mozilla, k3b, etc.
  • Support en piste KDE et Gnome.

9) cadre Samurai:

Le Samurai Testing Framework Web est un logiciel de test de pénétration. Il est pris en charge sur VirtualBox et VMWare qui ont été préconfigurés pour fonctionner comme un environnement de test du stylet Web.
Caractéristiques:
  • C'est open source, libre d'utiliser l'outil
  • Il contient le meilleur des outils open source et gratuits axés sur le test et l'attaque de sites Web.
  • Il inclut également un wiki préconfiguré pour configurer la banque d'informations centrale pendant le test

10) Aircrack:

Aircrack est l'un des outils pratiques requis pour les tests de stylo sans fil. Il craque les connexions sans fil vulnérables. Il est alimenté par les clés de cryptage WEP WPA et WPA 2.
Caractéristiques:
  • Plus de cartes / pilotes supportés
  • Supporte tous les types de systèmes d'exploitation et de plateformes
  • Nouvelle attaque WEP: PTW
  • Prise en charge de l'attaque par dictionnaire WEP
  • Prise en charge de l'attaque par fragmentation
  • Amélioration de la vitesse de suivi
Lien de téléchargement: https://www.aircrack-ng.org/downloads.html

11) ZAP:

ZAP est l'un des outils de test de sécurité open source les plus populaires. Il est entretenu par des centaines de volontaires internationaux. Il peut aider les utilisateurs à détecter les vulnérabilités de sécurité dans les applications Web au cours des phases de développement et de test.
Caractéristiques:
  • Identifie les failles de sécurité présentes dans l’application Web en simulant une attaque réelle.
  • Analyse passive analyser les réponses du serveur pour identifier certains problèmes
  • Il tente un accès forcé aux fichiers et aux répertoires.
  • La fonctionnalité Spidering aide à construire la structure hiérarchique du site Web
  • Fourniture de données non valides ou inattendues pour le bloquer ou produire des résultats inattendus
  • Outil utile pour connaître les ports ouverts sur le site Web cible
  • Il fournit un shell Java interactif qui peut être utilisé pour exécuter des scripts BeanShell
  • Il est entièrement internationalisé et prend en charge 11 langues.
Lien de téléchargement: https://github.com/zaproxy/zaproxy/wiki

12) Sqlmap:

Sqlmap est un outil de test de pénétration open source. Il automatise l'intégralité du processus de détection et d'exploitation des failles d'injection SQL. Il est livré avec de nombreux moteurs de détection et fonctionnalités pour un test de pénétration idéal.
Caractéristiques:
  • Prise en charge complète de six techniques d'injection SQL
  • Permet une connexion directe à la base de données sans passer par une injection SQL
  • Prise en charge de l'énumération des utilisateurs, des hachages de mots de passe, des privilèges, des rôles, des bases de données, des tables et des colonnes
  • Reconnaissance automatique du mot de passe dans les formats de hachage et prise en charge de leur résolution
  • Prise en charge du vidage de tables de base de données entièrement ou de colonnes spécifiques
  • Les utilisateurs peuvent également sélectionner une plage de caractères dans chaque entrée de colonne.
  • Permet d'établir une connexion TCP entre le système affecté et le serveur de base de données
  • Prise en charge de la recherche de noms de bases de données, de tables ou de colonnes spécifiques dans toutes les bases de données et tables
  • Permet d'exécuter des commandes arbitraires et de récupérer leur sortie standard sur le serveur de base de données
Lien de téléchargement: https://github.com/sqlmapproject/sqlmap

13) Sqlninja:

Sqlninja est un outil de test de pénétration. Il vise à exploiter les vulnérabilités d’Injection SQL sur une application Web. Il utilise Microsoft SQL Server comme back-end. Il fournit également un accès distant sur le serveur de base de données vulnérable, même dans un environnement très hostile.
Caractéristiques:
  • Empreinte digitale du SQL distant
  • Extraction de données, tunnel temporel ou DNS
  • Permet l'intégration avec Metasploit3, pour obtenir un accès graphique au serveur de base de données distant
  • Chargement de l'exécutable en utilisant uniquement les requêtes HTTP normales via VBScript ou debug.exe
  • Bindshell direct et inverse, à la fois pour TCP et UDP
  • Création d'un cmdshell xp personnalisé si celui d'origine n'est pas disponible sur w2k3 à l'aide de kidnapping de jetons

14) BeEF:

Le cadre d'exploitation du navigateur. C'est un outil de test de stylo qui se concentre sur le navigateur Web. Il utilise GitHub pour suivre les problèmes et héberger son référentiel git.
Caractéristiques:
  • Il permet de vérifier l'état de sécurité actuel en utilisant des vecteurs d'attaque côté client.
  • BeEF permet d’accéder à un ou plusieurs navigateurs Web. Il peut ensuite être utilisé pour lancer des modules de commande dirigée et d'autres attaques sur le système.
Lien de téléchargement: http://beefproject.com

15) Dradis:

Dradis est un framework open source pour les tests d' intrusion . Cela permet de conserver les informations pouvant être partagées entre les participants à un test. Les informations collectées aident les utilisateurs à comprendre ce qui est accompli et ce qui doit être accompli.
Caractéristiques:
  • Processus simple pour la génération de rapports
  • Prise en charge des pièces jointes
  • Collaboration transparente
  • Intégration avec les systèmes et outils existants à l'aide de plugins de serveur
  • Plateforme indépendante
Lien de téléchargement: https://dradisframework.com/ce

16) Rapid 7:

Nexpose Rapid 7 est un logiciel de gestion des vulnérabilités utile. Il surveille les expositions en temps réel et s'adapte aux nouvelles menaces avec de nouvelles données, ce qui aide les utilisateurs à agir au moment de l'impact.
Caractéristiques:
  • Obtenez une vision du risque en temps réel
  • Il apporte des solutions innovantes et progressives qui aident l’utilisateur à faire son travail.
  • Savoir où se concentrer
  • Apportez plus à votre programme de sécurité

17) Hping:

Hping est un outil de test du stylo pour l’analyseur de paquets TCP / IP. Cette interface est inspirée de la commande ping (8) UNIX. Il prend en charge les protocoles TCP, ICMP, UDP et RAW-IP.
Caractéristiques:
  • Permet de tester le pare-feu
  • Analyse de port avancée
  • Test de réseau, utilisant différents protocoles, TOS, fragmentation
  • Découverte manuelle de MTU
  • Traceroute avancé avec tous les protocoles supportés
  • Empreinte à distance du système d'exploitation et estimation du temps de disponibilité
  • Audit des piles TCP / IP
Lien de téléchargement: https://github.com/antirez/hping

18) SuperScan:

Superscan est un outil gratuit de test d'intrusion de sources fermées Windows uniquement. Il inclut également des outils de réseau tels que ping, traceroute, whois et HTTP HEAD.
Fonctionnalité:
  • Vitesse de numérisation supérieure
  • Prise en charge de plages d'adresses IP illimitées
  • Détection améliorée des hôtes à l'aide de plusieurs méthodes ICMP
  • Fournir un support pour le scan TCP SYN
  • Génération simple de rapports HTML
  • Analyse du port source
  • Capture de bannière étendue
  • Grande base de données de description de liste de ports intégrée
  • Aléatoire de la numérisation des adresses IP et des ports
  • Vaste capacité d'énumération des hôtes Windows

19) Scanner ISS:

IBM Internet Scanner est un outil de test du stylet qui constitue le fondement d’une sécurité réseau efficace pour toutes les entreprises.
Caractéristiques:
  • Internet Scanner minimise les risques pour l'entreprise en détectant les points faibles du réseau
  • Il permet d'automatiser les analyses et de découvrir les vulnérabilités
  • Internet Scanner réduit les risques en identifiant les failles de sécurité ou les vulnérabilités du réseau.
  • Gestion complète de la vulnérabilité
  • Internet Scanner peut identifier plus de 1 300 types de périphériques en réseau
Lien de téléchargement : https://www-01.ibm.com/software/info/trials

20) Scapy:

Scapy est un outil de test de stylo puissant et interactif. Il peut gérer de nombreuses tâches classiques telles que le balayage, la vérification et les attaques sur le réseau.
Caractéristiques:
  • Il effectue certaines tâches spécifiques, telles que l'envoi de trames non valides et l'injection de trames 802.11. Il utilise diverses techniques de combinaison, ce qui est difficile à faire avec d'autres outils.
  • Il permet à l'utilisateur de créer exactement les paquets qu'il souhaite
  • Réduit le nombre de lignes écrites pour exécuter le code spécifique
Lien de téléchargement: http://secdev.org/projects/scapy/

21) IronWASP:

IronWASP est un logiciel open source permettant de tester les vulnérabilités des applications Web. Il est conçu pour être personnalisable afin que les utilisateurs puissent créer leurs scanneurs de sécurité personnalisés à l'aide de celui-ci.
Caractéristiques:
  • Interface graphique et très facile à utiliser
  • Il dispose d'un moteur d'analyse puissant et efficace
  • Prise en charge de l'enregistrement de la séquence de connexion
  • Reporting dans les formats HTML et RTF
  • Vérifie plus de 25 types de vulnérabilités Web
  • Prise en charge de la détection des faux positifs et des négatifs
  • Il supporte Python et Ruby
  • Extensible à l'aide de plug-ins ou de modules en Python, Ruby, C # ou VB.NET
Lien de téléchargement: http://ironwasp.org/download.html

22) Ettercap:

Ettercap est un outil complet de test de stylo. Il prend en charge la dissection active et passive. Il comprend également de nombreuses fonctionnalités pour l'analyse du réseau et de l'hôte.
Caractéristiques:
  • Il prend en charge la dissection active et passive de nombreux protocoles
  • Fonction d'empoisonnement ARP pour renifler sur un réseau local commuté entre deux hôtes
  • Les personnages peuvent être injectés dans un serveur ou un client tout en maintenant une connexion en direct
  • Ettercap est capable de renifler une connexion SSH en duplex intégral
  • Permet de détecter les données sécurisées HTTP SSL même lorsque la connexion est établie à l'aide d'un proxy
  • Permet la création de plugins personnalisés à l'aide de l'API d'Ettercap

23) oignon de sécurité:

Security Onion est un outil de test d'intrusion. Il est utilisé pour la détection d'intrusion et la surveillance de la sécurité du réseau. Il possède un assistant d'installation facile à utiliser qui permet aux utilisateurs de créer une armée de capteurs distribués pour leur entreprise.
Caractéristiques:
  • Il est construit sur un modèle client-serveur distribué
  • La surveillance de la sécurité réseau permet de surveiller les événements liés à la sécurité
  • Il offre une capture complète des paquets
  • Systèmes de détection d'intrusion basés sur le réseau et sur l'hôte
  • Il dispose d'un mécanisme intégré pour purger les anciennes données avant que le périphérique de stockage ne remplisse sa capacité
Lien de téléchargement: https://securityonion.net/

24) Inspecteur logiciel personnel:

Personal Software Inspector est une solution de sécurité informatique open source. Cet outil peut identifier les vulnérabilités des applications sur un PC ou un serveur.
Caractéristiques:
  • Il est disponible en huit langues différentes
  • Automatise les mises à jour pour les programmes non sécurisés
  • Il couvre des milliers de programmes et détecte automatiquement les programmes non sécurisés.
  • Cet outil de test du stylet analyse automatiquement et régulièrement les programmes vulnérables des ordinateurs
  • Détecte et informe les programmes qui ne peuvent pas être mis à jour automatiquement

25) HconSTF:

HconSTF est un outil de test de pénétration Open Source basé sur différentes technologies de navigateur. Il aide tout professionnel de la sécurité à participer aux tests de pénétration. Il contient des outils Web puissants pour la réalisation de XSS, d'injection SQL, de CSRF, de Trace XSS, de RFI, de LFI, etc.
Caractéristiques:
  • Jeu d'outils complet et catégorisé
  • Chaque option est configurée pour les tests d'intrusion
  • Spécialement configuré et amélioré pour obtenir un anonymat solide
  • Fonctionne pour les évaluations de test d'applications Web
  • Système d'exploitation facile à utiliser et collaboratif
Lien de téléchargement: http://www.hcon.in/

26) IBM Security AppScan:

IBM Security AppScan contribue à améliorer la sécurité des applications Web et des applications mobiles. Il améliore la sécurité des applications et renforce la conformité réglementaire. Il aide les utilisateurs à identifier les vulnérabilités de sécurité et à générer des rapports.
Caractéristiques:
  • Permettre au développement et à l'assurance qualité d'effectuer des tests pendant le processus SDLC
  • Contrôlez les applications que chaque utilisateur peut tester
  • Diffusez facilement des rapports
  • Augmenter la visibilité et mieux comprendre les risques de l'entreprise
  • Concentrez-vous sur la recherche et la résolution des problèmes
  • Contrôler l'accès à l'information

27) Arachni:

Arachni est un outil open source basé sur le framework Ruby, destiné aux testeurs d'intrusion et aux administrateurs. Il est utilisé pour évaluer la sécurité des applications Web modernes.
Caractéristiques:
  • C'est un outil polyvalent qui couvre un grand nombre de cas d'utilisation. Cela va d’un simple utilitaire d’analyse en ligne de commande à une grille d’analyseurs haute performance globale
  • Option pour plusieurs déploiements
  • Il offre une base de code vérifiable et contrôlable pour assurer le plus haut niveau de protection
  • Il peut facilement s'intégrer à l'environnement du navigateur
  • Il offre des rapports très détaillés et bien structurés

28) Websurify:

Websecurify est un puissant environnement de test de sécurité. C'est une interface conviviale, simple et facile à utiliser. Il offre une combinaison de technologies de test de vulnérabilité automatiques et manuelles.
Caractéristiques:
  • Bonne technologie de test et de numérisation
  • Moteur de test puissant pour détecter les URL
  • Il est extensible avec de nombreux add-ons disponibles
  • Il est disponible pour toutes les principales plates-formes de bureau et mobiles
Lien de téléchargement: https://www.websecurify.com/

29) Vega:

Vega est une plateforme de test de stylo et de scanneur de sécurité Web open source destinée à tester la sécurité des applications Web.
Caractéristiques:
  • Tests de sécurité automatisés, manuels et hybrides
  • Il aide les utilisateurs à trouver des vulnérabilités. Cela peut être un script intersite, un script stocké, une injection SQL aveugle, une injection shell, etc.
  • Il peut se connecter automatiquement aux sites Web lorsqu'il dispose des informations d'identification de l'utilisateur.
  • Il fonctionne efficacement sous Linux, OS X et Windows
  • Les modules de détection Vega sont écrits en JavaScript

30) Wapiti:

Wapiti est un autre outil de test d' intrusion réputé. Il permet d’auditer la sécurité des applications Web. Il prend en charge les méthodes HTTP GET et POST pour le contrôle de vulnérabilité.
Caractéristiques:
  • Génère des rapports de vulnérabilité dans divers formats
  • Il peut suspendre et reprendre un scan ou une attaque
  • Moyen rapide et facile d'activer et de désactiver les modules d'attaque
  • Prend en charge les proxy HTTP et HTTPS
  • Il permet de limiter la portée de l'analyse
  • Suppression automatique d'un paramètre dans les URL
  • Importation de cookies
  • Il peut activer ou désactiver la vérification des certificats SSL
  • Extraire les URL à partir de fichiers Flash SWF

31) Kismet:

Kismet est un détecteur de réseau sans fil et un système de détection d'intrusion. Il fonctionne avec les réseaux Wi-Fi mais peut être étendu via des plug-ins car il permet de gérer d'autres types de réseaux.
Caractéristiques:
  • Permet la journalisation PCAP standard
  • Architecture modulaire client / serveur
  • Architecture de plug-in pour étendre les fonctionnalités principales
  • Prise en charge de plusieurs sources de capture
  • Détection à distance distribuée via une capture à distance légère
  • Sortie XML pour l'intégration avec d'autres outils

32) Kali Linux:

Kali Linux est un outil de test de stylo open source maintenu et financé par Offensive Security.
Caractéristiques:
  • Personnalisation complète des ISO Kali avec live-build pour créer des images Kali Linux personnalisées
  • Il contient un tas de collections de paquets Meta qui agrègent différents jeux d'outils
  • ISO de Doom et autres recettes de Kali
  • Chiffrement de disque sur Raspberry Pi 2
  • Live USB avec plusieurs magasins de persistance
Lien de téléchargement: https://www.kali.org/

33) Sécurité Parrot:

Parrot Security est un outil de test de stylo. Il offre un laboratoire entièrement portable pour les experts en sécurité et en criminalistique numérique. Il aide également les utilisateurs à protéger leur vie privée avec des outils de anonymat et de cryptographie.
Caractéristiques:
  • Il comprend un arsenal complet d'outils axés sur la sécurité pour effectuer des tests d'intrusion, des audits de sécurité, etc.
  • Il est livré avec des bibliothèques préinstallées, utiles et mises à jour
  • Offre de puissants serveurs miroirs dans le monde entier
  • Permet un développement mené par la communauté
  • Offre distincte Cloud OS spécialement conçu pour les serveurs
Lien de téléchargement: https://www.parrotsec.org/download.fx

34) OpenSSL:

Cette boîte à outils est sous licence Apache. C'est un projet libre et open source qui fournit une boîte à outils complète pour les protocoles TLS et SSL.
Caractéristiques:
  • Il est écrit en C, mais des wrappers sont disponibles pour de nombreux langages informatiques.
  • La bibliothèque comprend des outils pour générer des clés privées RSA et des demandes de signature de certificat.
  • Vérifier le fichier CSR
  • Supprimer complètement le mot de passe composé de la clé
  • Créer une nouvelle clé privée et permet la demande de signature de certificat
Lien de téléchargement: https://www.openssl.org/source/

35) Snort:

Snort est un système open source de détection d'intrusion et de stylo. Il offre les avantages des méthodes d'inspection basées sur les protocoles de signature et les anomalies. Cet outil aide les utilisateurs à obtenir une protection maximale contre les attaques de logiciels malveillants.
Caractéristiques:
  • Snort a acquis la notoriété de pouvoir détecter les menaces avec précision à grande vitesse
  • Protégez rapidement votre espace de travail des attaques émergentes
  • Snort peut être utilisé pour créer des solutions de sécurité réseau uniques et personnalisées
  • Tester le certificat SSL d'une URL particulière
  • Il peut vérifier si un chiffrement particulier est accepté sur l'URL
  • Vérifier l'autorité de signataire du certificat
  • Capacité à soumettre de faux positifs / négatifs
Lien de téléchargement: https://www.snort.org/downloads

36) Backbox:

BackBox est un projet de communauté Open Source ayant pour objectif de renforcer la culture de la sécurité dans l'environnement informatique. Il est disponible en deux variantes différentes: Backbox Linux et Backbox Cloud. Il inclut certains des outils de sécurité et d'analyse les plus connus / utilisés.
Caractéristiques:
  • C'est un outil utile pour réduire les besoins en ressources de l'entreprise et réduire les coûts de gestion des exigences de plusieurs périphériques réseau.
  • C'est un outil de test de stylo entièrement automatisé. Donc, aucun agent ni aucune configuration réseau nécessaire pour apporter des modifications. Pour effectuer une configuration automatisée planifiée
  • Accès sécurisé aux appareils
  • Les entreprises peuvent gagner du temps car il n'est pas nécessaire de suivre les périphériques réseau individuels
  • Prend en charge le chiffrement des informations d'identification et de configuration
  • Sauvegarde automatique et stockage à distance automatique
  • Offre un contrôle d'accès basé sur IP
  • Pas besoin d'écrire une commande car elle vient avec des commandes pré-configurées
Lien de téléchargement: https://backbox.org/download

37) Hydre de THC:

Hydra est un outil de vérification des craqueurs et des stylos de connexion parallélisé. Il est très rapide et flexible, et de nouveaux modules sont faciles à ajouter. Cet outil permet aux chercheurs et aux consultants en sécurité de trouver des accès non autorisés.
Caractéristiques:
  • Suite complète d'outils de compromis de mémoire avec la génération, le tri, la conversion et la recherche de tables arc-en-ciel
  • Il supporte la table arc-en-ciel de tout algorithme de hachage
  • Supporte la table arc-en-ciel de tout jeu de caractères
  • Support Rainbow Table au format de fichier compact ou brut
  • Calcul sur support processeur multi-core
  • Fonctionne sur les systèmes d'exploitation Windows et Linux
  • Format de fichier Unified Rainbow Table sur tous les systèmes d'exploitation pris en charge
  • Interface graphique de soutien et interface utilisateur de ligne de commande
Lien de téléchargement: https://github.com/vanhauser-thc/thc-hydra

38) Alerte du moniteur de réputation:

Open Threat Exchange Reputation Monitor est un service gratuit. Il permet aux professionnels de suivre la réputation de leur organisation. À l'aide de cet outil, les entreprises et les organisations peuvent suivre la propriété intellectuelle publique et la réputation de domaine de leurs actifs.
Caractéristiques:
  • Surveille le cloud, le cloud hybride et l'infrastructure sur site
  • Fournit des informations continues sur les menaces afin de rester au courant des menaces dès leur apparition
  • Fournit les directives les plus complètes en matière de détection des menaces et d'intervention en cas d'incident
  • Déploie rapidement, facilement et avec moins d'effort
  • Réduit le TCO par rapport aux solutions de sécurité traditionnelles

39) Jean l'éventreur:

John the Ripper, connu sous le nom de JTR, est un outil de craquage de mot de passe très populaire. Il est principalement utilisé pour effectuer des attaques par dictionnaire. Cela aide à identifier les vulnérabilités de mot de passe faibles dans un réseau. Il prend également en charge les utilisateurs des attaques par la force brute et les fissures arc-en-ciel.
Caractéristiques:
  • John the Ripper est un logiciel gratuit et Open Source
  • Module de vérification proactive de la force du mot de passe
  • Il permet la navigation en ligne de la documentation
  • Prise en charge de nombreux types de hachage et de chiffrement supplémentaires
  • Permet de parcourir la documentation en ligne, y compris le résumé des modifications entre deux versions
Lien de téléchargement: http://www.openwall.com/john/

40) scanner Safe3:

Safe3WVS est l’un des plus puissants outils de test de vulnérabilité Web. Il est livré avec la technologie d'exploration Web spider, en particulier les portails Web. C'est l'outil le plus rapide pour trouver des problèmes tels que l'injection SQL, la vulnérabilité de téléchargement, etc.
Caractéristiques:
  • Prise en charge complète des authentifications Basic, Digest et HTTP.
  • Intelligent Web Spider automatique supprime les pages Web répétées
  • Un analyseur JavaScript automatique prend en charge l'extraction des URL à partir d'Ajax, de Web 2.0 et de toute autre application.
  • Assistance pour analyser l'injection SQL, la vulnérabilité de téléchargement, le chemin d'accès administrateur et la vulnérabilité de liste de répertoires

41) CloudFlare:

CloudFlare est un CDN doté de fonctionnalités de sécurité robustes. Les menaces en ligne vont du spam de commentaires et de l’exploration excessive de robots à des attaques malveillantes telles que l’injection SQL. Il fournit une protection contre les spams de commentaires, les robots excessifs et les attaques malveillantes.
Fonctionnalité:
  • C'est un réseau de protection DDoS de classe entreprise
  • Le pare-feu d'application Web aide de l'intelligence collective de l'ensemble du réseau
  • L'enregistrement de domaine à l'aide de CloudFlare constitue le moyen le plus sûr de se protéger contre le piratage de domaine.
  • La fonction de limitation de débit protège les ressources critiques de l'utilisateur. Il bloque les visiteurs avec un nombre suspect de taux de demande.
  • CloudFlare Orbit résout les problèmes de sécurité des appareils IOT
Lien de téléchargement: https://www.cloudflare.com/

42) Zenmap

Zenmap est le logiciel officiel Nmap Security Scanner. C'est une application multi-plateforme gratuite et open source. Il est facile à utiliser pour les débutants mais offre également des fonctionnalités avancées pour les utilisateurs expérimentés.
Caractéristiques:
  • Visualisation interactive et graphique des résultats
  • Il résume les détails d'un hôte unique ou d'une analyse complète dans un affichage pratique.
  • Il peut même dessiner une carte topologique des réseaux découverts.
  • Il peut montrer les différences entre deux analyses.
  • Il permet aux administrateurs de suivre les nouveaux hôtes ou services apparaissant sur leurs réseaux. Ou suivez les services existants qui descendent
Lien de téléchargement: https://nmap.org/download.html
Les autres outils pouvant être utiles pour les tests d'intrusion sont:
  • Acunetix: Il s'agit d'un scanner de vulnérabilités Web destiné aux applications Web. C’est un outil coûteux, comparable aux autres, qui offre des fonctionnalités telles que le test de script intersite, les rapports de conformité PCI, l’ injection SQL , etc.
  • Retina: Cela ressemble plus à un outil de gestion de vulnérabilité qu'à un outil de pré-test
  • Nessus: Il se concentre sur les contrôles de conformité, les recherches de données sensibles, le balayage des adresses IP, le balayage des sites Web, etc.
  • Netsparker: cet outil est fourni avec un scanner d’applications Web robuste qui identifie les vulnérabilités et propose des solutions. Des essais limités gratuits sont disponibles, mais la plupart du temps, il s'agit d'un produit commercial. Cela aide aussi à exploiter l'injection SQL et le LFI (Local File Induction)
  • Impact CORE: Ce logiciel peut être utilisé pour la pénétration de périphériques mobiles, l'identification de mots de passe et les fissures, la pénétration de réseau, etc. C'est l'un des outils coûteux des tests de logiciels.
  • Burpsuite: Comme d’autres, ce logiciel est aussi un produit commercial. Il fonctionne en interceptant proxy, analyse d'applications Web, analyse du contenu et des fonctionnalités, etc. L'avantage d'utiliser Burpsuite est que vous pouvez l'utiliser dans les environnements Windows, Linux et Mac OS X.
Partager :
Stuff

Ajouter un commentaire 0 commentaires

Plus
Emotions
Inscription à : Publier les commentaires (Atom)