1) Netsparker
Netsparker est un scanner de sécurité des applications Web facile à utiliser qui peut trouver automatiquement SQL Injection, XSS et d'autres vulnérabilités dans vos applications Web et services Web. Il est disponible en tant que solution sur site et SAAS. Fonctionnalités
- Détection de vulnérabilité extrêmement précise grâce à la technologie de numérisation unique basée sur la preuve.
- Configuration minimale requise. Le scanner détecte automatiquement les règles de réécriture d'URL, les pages d'erreur 404 personnalisées.
- API REST pour une intégration transparente avec le SDLC, les systèmes de suivi des bogues, etc.
- Solution entièrement évolutive. Analysez 1 000 applications Web en seulement 24 heures.
2) Acunetix
Acunetix est un outil de test de pénétration entièrement automatisé. Son scanner de sécurité des applications Web analyse avec précision les applications HTML5, JavaScript et monopage. Il peut auditer des applications Web complexes et authentifiées et émettre des rapports de conformité et de gestion sur un large éventail de vulnérabilités Web et réseau, y compris les vulnérabilités hors bande.
Caractéristiques:
- Recherche toutes les variantes de SQL Injection, XSS et plus de 4500 vulnérabilités supplémentaires
- Détecte plus de 1200 vulnérabilités de base, de thème et de plugin WordPress
- Rapide et évolutif - explore des centaines de milliers de pages sans interruption
- S'intègre aux WAF et aux suiveurs de problèmes populaires pour faciliter le SDLC
- Disponible sur site et en tant que solution cloud.
3) intrus
Intruder est un puissant outil de test de pénétration automatisé qui découvre les faiblesses de sécurité dans votre environnement informatique. Offrant des contrôles de sécurité de pointe, une surveillance continue et une plate-forme facile à utiliser, Intruder protège les entreprises de toutes tailles contre les pirates.
Fonctionnalités
- Couverture des menaces de premier ordre avec plus de 10000 contrôles de sécurité
- Vérifie les faiblesses de configuration, les correctifs manquants, les faiblesses de l'application (telles que l'injection SQL et les scripts intersites) et plus
- Analyse automatique et hiérarchisation des résultats d'analyse
- Interface intuitive, rapide à installer et exécuter vos premières analyses
- Surveillance proactive de la sécurité pour les dernières vulnérabilités
- Connecteurs AWS, Azure et Google Cloud
- Intégration d'API avec votre pipeline CI / CD
4) Indusface
Indusface WAS propose des tests de pénétration manuels et une analyse automatisée pour détecter et signaler les vulnérabilités en fonction du top 10 OWASP et du top 25 SANS.
Fonctionnalités
- Le robot d'exploration analyse les applications d'une seule page
- Fonction de pause et de reprise
- Rapports manuels PT et scanner automatisés affichés dans le même tableau de bord
- Les demandes de preuve de concept illimitées fournissent des preuves des vulnérabilités signalées et aident à éliminer les faux positifs des résultats d'analyse automatisés
- Intégration WAF en option pour fournir des correctifs virtuels instantanés avec zéro faux positif
- Étend automatiquement la couverture d'exploration en fonction des données de trafic réel des systèmes WAF (si WAF est abonné et utilisé)
- Assistance 24h / 24 et 7j / 7 pour discuter des directives de remédiation / POC
5) Logiciel de détection d'intrusion
Le logiciel de détection d'intrusion est un outil qui vous permet de détecter tous les types de menaces avancées. Il fournit des rapports de conformité pour DSS (Decision Support System) et HIPAA. Cette application peut surveiller en permanence les attaques et activités suspectes.
Caractéristiques:
- Minimisez les efforts de détection des intrusions.
- Offre la conformité avec des rapports efficaces.
- Fournit des journaux en temps réel.
- Il peut détecter les adresses IP, applications, comptes malveillants, etc.
6) Traceroute NG
Traceroute NG est une application qui vous permet d'analyser le chemin du réseau. Ce logiciel peut identifier les adresses IP, les noms d'hôte et la perte de paquets. Il fournit une analyse précise via l'interface de ligne de commande
Caractéristiques:
- Il offre à la fois une analyse des chemins de réseau TCP et ICMP.
- Cette application peut créer un fichier journal txt.
- Prend en charge IP4 et IPV6.
- Détectez les changements de chemin et donnez-vous une notification.
- Permet de sonder en continu un réseau.
7) ExpressVPN
ExpressVPN sécurise la navigation Internet contre les agences à trois lettres et les fraudeurs. Il offre un accès illimité à la musique, aux médias sociaux et à la vidéo, de sorte que ces programmes n'enregistrent jamais les adresses IP, l'historique de navigation, les requêtes DNS ou la destination du trafic.
Caractéristiques:
- Serveurs dans 160 sites et 94 pays
- Connectez-vous au VPN sans aucune limitation de bande passante.
- Fournit une protection en ligne à l'aide de l'étanchéité et du cryptage
- Restez en sécurité en masquant l'adresse IP et en chiffrant les données de votre réseau.
- L'assistance est disponible 24h / 24 et 7j / 7 par e-mail ainsi que par chat en direct.
- Payez avec Bitcoin et utilisez Tor pour accéder à des sites cachés.
8) Chouette
L'Open Web Application Security Project (OWASP) est une organisation mondiale à but non lucratif qui se concentre sur l'amélioration de la sécurité des logiciels. Le projet dispose de plusieurs outils pour tester au stylet divers environnements et protocoles logiciels. Les outils phares du projet comprennent
- Zed Attack Proxy (ZAP - un outil de test de pénétration intégré)
- OWASP Dependency Check (il analyse les dépendances du projet et vérifie les vulnérabilités connues)
- Projet d'environnement de test Web OWASP (collection d'outils de sécurité et de documentation)
Le guide de test OWASP donne les «meilleures pratiques» pour tester la pénétration de l'application Web la plus courante
Lien Owasp
9) WireShark
Wireshark est un outil d'analyse de réseau pentest anciennement connu sous le nom d'Ethereal. Il capture les paquets en temps réel et les affiche dans un format lisible par l'homme. Fondamentalement, il s'agit d'un analyseur de paquets réseau - qui fournit les détails minutieux sur vos protocoles réseau, le décryptage, les informations sur les paquets, etc. C'est une source ouverte et peut être utilisé sous Linux, Windows, OS X, Solaris, NetBSD, FreeBSD et bien d'autres. d'autres systèmes. Les informations récupérées via cet outil peuvent être visualisées via une interface graphique ou l'utilitaire TShark en mode TTY.
Les fonctionnalités de WireShark incluent
- Capture en direct et analyse hors ligne
- Analyse VoIP riche
- Les fichiers de capture compressés avec gzip peuvent être décompressés à la volée
- La sortie peut être exportée au format XML, PostScript, CSV ou texte brut
- Multi-plateforme: fonctionne sous Windows, Linux, FreeBSD, NetBSD et bien d'autres
- Les données en direct peuvent être lues à partir d'Internet, PPP / HDLC, ATM, Blue-tooth, USB, Token Ring, etc.
- Prise en charge du décryptage pour de nombreux protocoles comprenant IPsec, ISAKMP, SSL / TLS, WEP et WPA / WPA2
- Pour une analyse intuitive rapide, des règles de coloration peuvent être appliquées au paquet
- Lecture / écriture de nombreux formats de fichiers de capture
Télécharger Wireshark
10) w3af
w3af est un framework d'attaque et d'audit d'application Web. Il a trois types de plugins; découverte, audit et attaque qui communiquent entre eux pour toute vulnérabilité du site, par exemple un plugin de découverte dans w3af recherche différentes URL pour tester les vulnérabilités et les transmet au plugin d'audit qui utilise ensuite ces URL pour rechercher des vulnérabilités.
Il peut également être configuré pour s'exécuter en tant que proxy MITM. La requête interceptée peut être envoyée au générateur de requêtes, puis des tests manuels d'application Web peuvent être effectués à l'aide de paramètres variables. Il a également des fonctionnalités pour exploiter les vulnérabilités qu'il trouve.
Fonctionnalités W3af
- Prise en charge du proxy
- Cache de réponse HTTP
- Cache DNS
- Téléchargement de fichiers en plusieurs parties
- Gestion des cookies
- Authentification HTTP basique et Digest
- Agent utilisateur simulant
- Ajouter des en-têtes personnalisés aux demandes
lien de téléchargement w3af
11) Métaspoilt
Il s'agit du framework le plus populaire et le plus avancé pouvant être utilisé pour le pentest. C'est un outil open source basé sur le concept d '«exploit» qui signifie que vous passez un code qui enfreint les mesures de sécurité et entrez dans un certain système. S'il est entré, il exécute une «charge utile», un code qui effectue des opérations sur une machine cible, créant ainsi le cadre idéal pour les tests de pénétration. C'est un excellent outil de test pour tester si l'IDS réussit à empêcher les attaques que nous le contournons
Metaspoilt peut être utilisé sur des réseaux, des applications, des serveurs, etc. Il dispose d'une ligne de commande et d'une interface graphique cliquable, fonctionne sur Apple Mac OS X, fonctionne sur Linux et Microsoft Windows.
Caractéristiques de Metaspoilt
- Interface de ligne de commande de base
- Importation tierce
- Forçage brutal manuel
- Forçage brutal manuel
- test de pénétration de site Web
Lien de téléchargement Metaspoilt
12) Kali
Kali ne fonctionne que sur les machines Linux. Il vous permet de créer un programme de sauvegarde et de restauration qui répond à vos besoins. Il offre un moyen rapide et facile de trouver et de mettre à jour la plus grande base de données de tests de pénétration de sécurité à ce jour. Ce sont les meilleurs outils disponibles pour le reniflage et l'injection de paquets. Une expertise en protocole TCP / IP et en réseau peut être bénéfique lors de l'utilisation de cet outil.
Fonctionnalités
- L'ajout de la prise en charge 64 bits permet le craquage des mots de passe par force brute
- Back Track est livré avec des outils préchargés pour le reniflage LAN et WLAN, l'analyse des vulnérabilités, le craquage de mots de passe et l'analyse numérique
- Backtrack s'intègre à certains des meilleurs outils tels que Metaspoilt et Wireshark
- Outre l'outil réseau, il comprend également pidgin, xmms, Mozilla, k3b, etc.
- Back track supporte KDE et Gnome.
Lien de téléchargement de Kali
13) Cadre Samurai:
Le Samurai Web Testing Framework est un logiciel de test de stylet. Il est pris en charge sur VirtualBox et VMWare qui a été préconfiguré pour fonctionner comme un environnement de test de stylet Web.
Caractéristiques:
- C'est un outil open source et gratuit
- Il contient le meilleur des outils open source et gratuits qui se concentrent sur les tests et les attaques de sites Web.
- Il comprend également un wiki préconfiguré pour configurer la banque d'informations centrale pendant le test du stylet
Lien de téléchargement: https://sourceforge.net/projects/samurai/files/
14) Aircrack:
Aircrack est un outil pratique de pentesting sans fil. Il brise les connexions sans fil vulnérables. Il est alimenté par les clés de cryptage WEP WPA et WPA 2.
Caractéristiques:
- Plus de cartes / pilotes pris en charge
- Prend en charge tous les types de systèmes d'exploitation et de plates-formes
- Nouvelle attaque WEP: PTW
- Prise en charge de l'attaque par dictionnaire WEP
- Prise en charge de l'attaque par fragmentation
- Vitesse de suivi améliorée
Lien de téléchargement: https://www.aircrack-ng.org/downloads.html
15) ZAP:
ZAP est l'un des outils de test de sécurité open source les plus populaires. Il est entretenu par des centaines de volontaires internationaux. Il peut aider les utilisateurs à trouver des vulnérabilités de sécurité dans les applications Web pendant la phase de développement et de test.
Caractéristiques:
- Il aide à identifier les failles de sécurité présentes dans l'application Web en simulant une attaque réelle
- L'analyse passive analyse les réponses du serveur pour identifier certains problèmes
- Il tente d'accéder par force brute aux fichiers et aux répertoires.
- La fonction Spidering aide à construire la structure hiérarchique du site Web
- Fournir des données invalides ou inattendues pour le planter ou pour produire des résultats inattendus
- Outil utile pour découvrir les ports ouverts sur le site Web cible
- Il fournit un shell Java interactif qui peut être utilisé pour exécuter des scripts BeanShell
- Il est entièrement internationalisé et prend en charge 11 langues
Lien de téléchargement: https://github.com/zaproxy/zaproxy/wiki
16) Sqlmap:
Sqlmap est un outil de test de pénétration open source. Il automatise l'ensemble du processus de détection et d'exploitation des failles d'injection SQL. Il est livré avec de nombreux moteurs et fonctionnalités de détection pour un test de pénétration idéal.
Caractéristiques:
- Prise en charge complète de six techniques d'injection SQL
- Permet une connexion directe à la base de données sans passer par une injection SQL
- Prise en charge de l'énumération des utilisateurs, des hachages de mots de passe, des privilèges, des rôles, des bases de données, des tables et des colonnes
- Reconnaissance automatique du mot de passe donné dans les formats de hachage et prise en charge de leur craquage
- Prise en charge du vidage complet des tables de base de données ou de colonnes spécifiques
- Les utilisateurs peuvent également sélectionner une plage de caractères à partir de l'entrée de chaque colonne
- Permet d'établir une connexion TCP entre le système affecté et le serveur de base de données
- Prise en charge de la recherche de noms de bases de données, de tables ou de colonnes spécifiques dans toutes les bases de données et tables
- Permet d'exécuter des commandes arbitraires et de récupérer leur sortie standard sur le serveur de base de données
Lien de téléchargement: https://github.com/sqlmapproject/sqlmap
17) Sqlninja:
Sqlninja est un outil de test de pénétration. Il vise à exploiter les vulnérabilités d'injection SQL sur une application Web. Il utilise Microsoft SQL Server comme back-end. Il fournit également un accès à distance sur le serveur DB vulnérable, même dans un environnement très hostile.
Caractéristiques:
- Empreinte du SQL distant
- Extraction de données, basée sur le temps ou à l'aide d'un tunnel DNS
- Permet l'intégration avec Metasploit3, pour obtenir un accès graphique au serveur de base de données distant
- Téléchargement de l'exécutable en utilisant uniquement les requêtes HTTP normales via VBScript ou debug.exe
- Bindshell direct et inversé, à la fois pour TCP et UDP
- Création d'une cmdshell xp personnalisée si l'original n'est pas disponible sur w2k3 en utilisant le kidnapping de jetons
Lien de téléchargement: http://sqlninja.sourceforge.net/download.html
18) BŒUF:
Le cadre d'exploitation du navigateur. C'est un outil de test qui se concentre sur le navigateur Web. Il utilise GitHub pour suivre les problèmes et héberger son référentiel git.
Caractéristiques:
- Il permet de vérifier l'état de sécurité réel en utilisant des vecteurs d'attaque côté client
- BeEF permet de se connecter à un ou plusieurs navigateurs Web. Il peut ensuite être utilisé pour lancer des modules de commande dirigée et d'autres attaques sur le système.
Lien de téléchargement: http://beefproject.com
19) Dradis:
Dradis est un framework open source pour les tests d'intrusion. Il permet de conserver les informations qui peuvent être partagées entre les participants d'un stylo-test. Les informations collectées aident les utilisateurs à comprendre ce qui est terminé et ce qui doit être terminé.
Caractéristiques:
- Processus simple pour la génération de rapports
- Prise en charge des pièces jointes
- Collaboration transparente
- Intégration avec les systèmes et outils existants à l'aide de plugins de serveur
- Indépendant de la plateforme
Lien de téléchargement: https://dradisframework.com/ce
20) Rapide 7:
Nexpose Rapid 7 est un logiciel de gestion des vulnérabilités utile. Il surveille les expositions en temps réel et s'adapte aux nouvelles menaces avec de nouvelles données qui aident les utilisateurs à agir au moment de l'impact.
Caractéristiques:
- Obtenez une vue en temps réel des risques
- Il apporte des solutions innovantes et progressives qui aident l'utilisateur à faire son travail
- Savoir où se concentrer
- Apportez plus à votre programme de sécurité
Lien de téléchargement: https://www.rapid7.com/products/nexpose/download/
21) Hping:
Hping est un outil de test de stylo analyseur de paquets TCP / IP. Cette interface est inspirée de la commande UNIX ping (8). Il prend en charge les protocoles TCP, ICMP, UDP et RAW-IP.
Caractéristiques:
- Permet les tests de pare-feu
- Analyse avancée des ports
- Test de réseau, utilisant différents protocoles, TOS, fragmentation
- Découverte manuelle du chemin MTU
- Traceroute avancé avec tous les protocoles pris en charge
- Empreinte digitale du système d'exploitation à distance et estimation de la disponibilité
- Audit des piles TCP / IP
Lien de téléchargement: https://github.com/antirez/hping
22) SuperScan:
Superscan est un outil gratuit de test de pénétration à source fermée pour Windows. Il comprend également des outils de mise en réseau tels que ping, traceroute, whois et HTTP HEAD.
Fonctionnalité:
- Vitesse de numérisation supérieure
- Prise en charge de plages IP illimitées
- Détection d'hôte améliorée à l'aide de plusieurs méthodes ICMP
- Fournir un support pour l'analyse TCP SYN
- Génération de rapport HTML simple
- Analyse du port source
- Prise de bannière étendue
- Grande base de données de description de liste de ports intégrée
- Aléatoire de l'ordre d'analyse des adresses IP et des ports
- Capacité étendue d'énumération des hôtes Windows
Lien de téléchargement: https://superscan.en.softonic.com/
23) Scanner ISS:
IBM Internet Scanner est un outil de test de stylet qui offre la base d'une sécurité réseau efficace pour toute entreprise.
Caractéristiques:
- Internet Scanner minimise le risque commercial en trouvant les points faibles du réseau
- Il permet d'automatiser les scans et de découvrir les vulnérabilités
- Internet Scanner réduit le risque en identifiant les failles de sécurité, ou les vulnérabilités, dans le réseau
- Gestion complète des vulnérabilités
- Internet Scanner peut identifier plus de 1300 types d'appareils en réseau
Lien de téléchargement : https://www.ibm.com/products/trials
24) Scapy:
Scapy est un outil de test de stylet puissant et interactif. Il peut gérer de nombreuses tâches classiques telles que l'analyse, la détection et les attaques sur le réseau.
Caractéristiques:
- Il effectue certaines tâches spécifiques comme l'envoi de trames invalides, l'injection de trames 802.11. Il utilise diverses techniques de combinaison, ce qui est difficile à faire avec d'autres outils
- Il permet à l'utilisateur de créer exactement les paquets qu'il souhaite
- Réduit le nombre de lignes écrites pour exécuter le code spécifique
Lien de téléchargement: https://scapy.net/
25) IronWASP:
IronWASP est un logiciel open source pour les tests de vulnérabilité des applications Web. Il est conçu pour être personnalisable afin que les utilisateurs puissent créer leurs scanners de sécurité personnalisés en l'utilisant.
Caractéristiques:
- Basé sur une interface graphique et très facile à utiliser
- Il dispose d'un moteur d'analyse puissant et efficace
- Prise en charge de l'enregistrement de la séquence de connexion
- Rapports aux formats HTML et RTF
- Recherche plus de 25 types de vulnérabilités Web
- Prise en charge de la détection des faux positifs et négatifs
- Il prend en charge Python et Ruby
- Extensible à l'aide de plug-ins ou de modules en Python, Ruby, C # ou VB.NET
Lien de téléchargement: http://ironwasp.org/download.html
26) Ettercap:
Ettercap est un outil de test de stylet complet. Il prend en charge la dissection active et passive. Il comprend également de nombreuses fonctionnalités pour l'analyse du réseau et des hôtes.
Caractéristiques:
- Il prend en charge la dissection active et passive de nombreux protocoles
- Fonction d'empoisonnement ARP pour renifler sur un LAN commuté entre deux hôtes
- Les personnages peuvent être injectés dans un serveur ou à un client tout en maintenant une connexion en direct
- Ettercap est capable de renifler une connexion SSH en full duplex
- Permet de renifler les données sécurisées HTTP SSL même lorsque la connexion est établie à l'aide d'un proxy
- Permet la création de plugins personnalisés à l'aide de l'API d'Ettercap
Lien de téléchargement: https://www.ettercap-project.org/downloads.html
27) Oignon de sécurité:
Security Onion est un outil de test de pénétration. Il est utilisé pour la détection d'intrusion et la surveillance de la sécurité du réseau. Il dispose d'un assistant de configuration facile à utiliser qui permet aux utilisateurs de créer une armée de capteurs distribués pour leur entreprise.
Caractéristiques:
- Il est construit sur un modèle client-serveur distribué
- La surveillance de la sécurité du réseau permet de surveiller les événements liés à la sécurité
- Il offre une capture complète des paquets
- Systèmes de détection d'intrusion basés sur le réseau et sur l'hôte
- Il dispose d'un mécanisme intégré pour purger les anciennes données avant que le périphérique de stockage ne se remplisse à sa capacité
Lien de téléchargement: https://securityonion.net/
28) Inspecteur de logiciel personnel:
Personal Software Inspector est une solution de sécurité informatique open source. Cet outil peut identifier les vulnérabilités des applications sur un PC ou un serveur.
Caractéristiques:
- Il est disponible en huit langues différentes
- Automatise les mises à jour des programmes non sécurisés
- Il couvre des milliers de programmes et détecte automatiquement les programmes non sécurisés
- Cet outil de test de stylet scanne automatiquement et régulièrement le PC pour les programmes vulnérables
- Détecte et notifie les programmes qui ne peuvent pas être mis à jour automatiquement
Lien de téléchargement: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager
29) HconSTF:
HconSTF est un outil de test de pénétration Open Source basé sur différentes technologies de navigateur. Il aide tout professionnel de la sécurité à participer aux tests de pénétration. Il contient des outils Web puissants pour faire XSS, injection SQL, CSRF, Trace XSS, RFI, LFI, etc.
Caractéristiques:
- Ensemble d'outils catégorisé et complet
- Chaque option est configurée pour les tests de pénétration
- Spécialement configuré et amélioré pour gagner un solide anonymat
- Fonctionne pour les évaluations de test d'applications Web
- Système d'exploitation facile à utiliser et collaboratif
Lien de téléchargement: http://www.hcon.in/
30) IBM Security AppScan:
IBM Security AppScan contribue à améliorer la sécurité des applications Web et la sécurité des applications mobiles. Il améliore la sécurité des applications et renforce la conformité réglementaire. Il aide les utilisateurs à identifier les vulnérabilités de sécurité et à générer des rapports.
Caractéristiques:
- Permettre au développement et à l'assurance qualité d'effectuer des tests pendant le processus SDLC
- Contrôlez les applications que chaque utilisateur peut tester
- Distribuez facilement des rapports
- Augmenter la visibilité et mieux comprendre les risques de l'entreprise
- Concentrez-vous sur la recherche et la résolution des problèmes
- Contrôler l'accès aux informations
Lien de téléchargement: http://www-03.ibm.com/software/products/en/appscan
31) Arachni:
Arachni est un outil open source basé sur un framework Ruby pour les testeurs de pénétration et les administrateurs. Il est utilisé pour évaluer la sécurité des applications Web modernes.
Caractéristiques:
- C'est un outil polyvalent, il couvre donc un grand nombre de cas d'utilisation. Cela va d'un simple utilitaire de numérisation en ligne de commande à une grille mondiale de scanners haute performance
- Option pour plusieurs déploiements
- Il offre une base de code vérifiable et inspectable pour assurer le plus haut niveau de protection
- Il peut facilement s'intégrer à l'environnement du navigateur
- Il propose des rapports très détaillés et bien structurés
Lien de téléchargement: https://sourceforge.net/projects/safe3wvs/files
32) Websecurify:
Websecurify est un environnement de test de sécurité puissant. C'est une interface conviviale, simple et facile à utiliser. Il offre une combinaison de technologies de test de vulnérabilité automatique et manuel.
Caractéristiques:
- Bonne technologie de test et de numérisation
- Moteur de test puissant pour détecter les URL
- Il est extensible avec de nombreux modules complémentaires disponibles
- Il est disponible pour toutes les principales plates-formes de bureau et mobiles
Lien de téléchargement: https://www.websecurify.com/
33) Vega:
Vega est un scanner de sécurité Web open source et une plate-forme de test de stylet pour tester la sécurité des applications Web.
Caractéristiques:
- Tests de sécurité automatisés, manuels et hybrides
- Il aide les utilisateurs à trouver des vulnérabilités. Il peut s'agir de scripts intersites, de scripts intersites stockés, d'injection SQL aveugle, d'injection shell, etc.
- Il peut se connecter automatiquement aux sites Web lorsqu'il est fourni avec les informations d'identification de l'utilisateur
- Il fonctionne efficacement sous Linux, OS X et Windows
- Les modules de détection Vega sont écrits en JavaScript
Lien de téléchargement: https://subgraph.com/vega/download/index.en.html
34) Wapiti:
Wapiti est un autre outil de test d'intrusion célèbre. Il permet d'auditer la sécurité des applications Web. Il prend en charge les méthodes HTTP GET et POST pour la vérification de la vulnérabilité.
Caractéristiques:
- Génère des rapports de vulnérabilité dans divers formats
- Il peut suspendre et reprendre une analyse ou une attaque
- Un moyen rapide et facile d'activer et de désactiver les modules d'attaque
- Prend en charge les proxies HTTP et HTTPS
- Il permet de restreindre la portée de l'analyse
- Suppression automatique d'un paramètre dans les URL
- Importation de cookies
- Il peut activer ou désactiver la vérification des certificats SSL
- Extraire les URL des fichiers Flash SWF
Lien de téléchargement: https://sourceforge.net/projects/wapiti/files/
35) Kismet:
Kismet est un détecteur de réseau sans fil et un système de détection d'intrusion. Il fonctionne avec les réseaux Wi-Fi mais peut être étendu via des plugins car il permet de gérer d'autres types de réseaux.
Caractéristiques:
- Permet la journalisation PCAP standard
- Architecture modulaire client / serveur
- Architecture plug-in pour étendre les fonctionnalités de base
- Prise en charge de plusieurs sources de capture
- Reniflage à distance distribué via une capture à distance légère
- Sortie XML pour intégration avec d'autres outils
Lien de téléchargement: https://www.kismetwireless.net/downloads/
36) Kali Linux:
Kali Linux est un outil de test de stylet open source qui est maintenu et financé par Offensive Security.
Caractéristiques:
- Personnalisation complète des ISO Kali avec live-build pour créer des images Kali Linux personnalisées
- Il contient un tas de collections de packages Meta qui regroupent différents ensembles d'outils
- ISO of Doom et autres recettes de Kali
- Chiffrement de disque sur Raspberry Pi 2
- USB en direct avec plusieurs magasins de persistance
Lien de téléchargement: https://www.kali.org/
37) Sécurité Parrot:
Parrot Security est un outil de test de stylet. Il offre un laboratoire entièrement portable pour les experts en sécurité et en criminalistique numérique. Il aide également les utilisateurs à protéger leur vie privée grâce à l'anonymat et aux outils de cryptographie.
Caractéristiques:
- Il comprend un arsenal complet d'outils axés sur la sécurité pour effectuer des tests de pénétration, des audits de sécurité et plus encore.
- Il est livré avec des bibliothèques préinstallées et utiles et mises à jour
- Offre de puissants serveurs miroirs dans le monde entier
- Permet un développement axé sur la communauté
- Propose un système d'exploitation Cloud distinct spécialement conçu pour les serveurs
Lien de téléchargement: https://www.parrotsec.org/download/
38) OpenSSL:
Cette boîte à outils est concédée sous une licence de type Apache. C'est un projet gratuit et open source qui fournit une boîte à outils complète pour les protocoles TLS et SSL.
Caractéristiques:
- Il est écrit en C, mais des wrappers sont disponibles pour de nombreux langages informatiques
- La bibliothèque comprend des outils pour générer des clés privées RSA et des demandes de signature de certificat
- Vérifier le fichier CSR
- Supprimer complètement la phrase de passe de la clé
- Créer une nouvelle clé privée et autoriser la demande de signature de certificat
Lien de téléchargement: https://www.openssl.org/source/
39) Renifler:
Snort est un système de détection d'intrusion et de test de stylet open source. Il offre les avantages des méthodes d'inspection basées sur le protocole de signature et les anomalies. Cet outil aide les utilisateurs à obtenir une protection maximale contre les attaques de logiciels malveillants.
Caractéristiques:
- Snort a acquis une notoriété pour sa capacité à détecter les menaces avec précision à grande vitesse
- Protégez rapidement votre espace de travail contre les attaques émergentes
- Snort peut être utilisé pour créer des solutions de sécurité réseau uniques personnalisées
- Tester le certificat SSL d'une URL particulière
- Il peut vérifier si un chiffrement particulier est accepté sur l'URL
- Vérifier l'autorité de signature du certificat
- Possibilité de soumettre de faux positifs / négatifs
Lien de téléchargement: https://www.snort.org/downloads
40) Boîte arrière:
BackBox est un projet communautaire Open Source dont l'objectif est d'améliorer la culture de la sécurité dans l'environnement informatique. Il est disponible en deux variantes différentes comme Backbox Linux et Backbox Cloud. Il comprend certains des outils de sécurité et d'analyse les plus connus / utilisés.
Caractéristiques:
- C'est un outil utile pour réduire les besoins en ressources de l'entreprise et réduire les coûts de gestion des exigences de plusieurs périphériques réseau
- C'est un outil de test de stylo entièrement automatisé. Ainsi, aucun agent et aucune configuration réseau ne sont nécessaires pour apporter des modifications. Afin d'effectuer une configuration automatisée programmée
- Accès sécurisé aux appareils
- Les organisations peuvent gagner du temps car il n'est pas nécessaire de suivre les périphériques réseau individuels
- Prend en charge le cryptage des informations d'identification et des fichiers de configuration
- Sauvegarde automatique et stockage à distance automatique
- Offre un contrôle d'accès basé sur IP
- Pas besoin d'écrire une commande car elle est fournie avec des commandes pré-configurées
Lien de téléchargement: https://www.backbox.org/download/
41) THC Hydra:
Hydra est un cracker de connexion et un outil de test de stylet parallélisés. Il est très rapide et flexible, et de nouveaux modules sont faciles à ajouter. Cet outil permet aux chercheurs et aux consultants en sécurité de trouver des accès non autorisés.
Caractéristiques:
- Des suites d'outils de compromis entre la mémoire et le temps complet ainsi que la génération, le tri, la conversion et la recherche de tables arc-en-ciel
- Il prend en charge la table arc-en-ciel de tout algorithme de hachage
- Supporte la table arc-en-ciel de n'importe quel jeu de caractères
- Prise en charge de la table arc-en-ciel au format de fichier compact ou brut
- Calcul sur la prise en charge des processeurs multicœurs
- Fonctionne sur les systèmes d'exploitation Windows et Linux
- Format de fichier de table arc-en-ciel unifié sur tous les systèmes d'exploitation pris en charge
- Prise en charge de l'interface utilisateur graphique et de la ligne de commande
Lien de téléchargement: https://github.com/vanhauser-thc/thc-hydra
42) Alerte du moniteur de réputation:
Open Threat Exchange Reputation Monitor est un service gratuit. Il permet aux professionnels de suivre la réputation de leur organisation. À l'aide de cet outil, les entreprises et les organisations peuvent suivre la propriété intellectuelle publique et la réputation de domaine de leurs actifs.
Caractéristiques:
- Surveille le cloud, le cloud hybride et l'infrastructure sur site
- Fournit des renseignements continus sur les menaces pour se tenir au courant des menaces à mesure qu'elles apparaissent
- Fournit les directives les plus complètes de détection des menaces et d'intervention en cas d'incident
- Se déploie rapidement, facilement et avec moins d'efforts
- Réduit le TCO par rapport aux solutions de sécurité traditionnelles
Lien de téléchargement: https://cybersecurity.att.com/products/usm-anywhere/free-trial
43) Jean l'Éventreur:
John the Ripper connu sous le nom de JTR est un outil de craquage de mot de passe très populaire. Il est principalement utilisé pour effectuer des attaques par dictionnaire. Il aide à identifier les vulnérabilités de mots de passe faibles dans un réseau. Il prend également en charge les utilisateurs contre les attaques de force brute et de crack arc-en-ciel.
Caractéristiques:
- John the Ripper est un logiciel gratuit et Open Source
- Module de vérification proactive de la force des mots de passe
- Il permet la navigation en ligne de la documentation
- Prise en charge de nombreux types de hachage et de chiffrement supplémentaires
- Permet de parcourir la documentation en ligne y compris le récapitulatif des changements entre deux versions
Lien de téléchargement: https://www.openwall.com/john/
44) Scanner Safe3:
Safe3WVS est l'un des outils de test de vulnérabilité Web les plus puissants. Il est livré avec la technologie d'exploration de l'araignée Web, en particulier les portails Web. C'est l'outil le plus rapide pour trouver des problèmes tels que l'injection SQL, la vulnérabilité de téléchargement, etc.
Caractéristiques:
- Prise en charge complète des authentifications Basic, Digest et HTTP.
- L'araignée Web intelligente supprime automatiquement les pages Web répétées
- Un analyseur JavaScript automatique prend en charge l'extraction d'URL depuis Ajax, Web 2.0 et toute autre application
- Prise en charge de l'analyse de l'injection SQL, de la vulnérabilité de téléchargement, du chemin d'administration et de la vulnérabilité de la liste de répertoires
Lien de téléchargement: https://sourceforge.net/projects/safe3wvs/files/latest/download
45) CloudFlare:
CloudFlare est un CDN doté de fonctionnalités de sécurité robustes. Les menaces en ligne vont du spam de commentaires et de l'exploration excessive de robots aux attaques malveillantes telles que l'injection SQL. Il offre une protection contre le spam de commentaires, l'exploration excessive de robots et les attaques malveillantes.
Fonctionnalité:
- C'est un réseau de protection DDoS de classe entreprise
- Le pare-feu d'application Web aide à partir de l'intelligence collective de l'ensemble du réseau
- L'enregistrement d'un domaine à l'aide de CloudFlare est le moyen le plus sûr de se protéger du piratage de domaine
- La fonction de limitation de débit protège les ressources critiques de l'utilisateur. Il bloque les visiteurs avec un nombre suspect de taux de demande.
- CloudFlare Orbit résout les problèmes de sécurité des appareils IOT
Lien de téléchargement: https://www.cloudflare.com/
46) Zenmap
Zenmap est le logiciel officiel du scanner de sécurité Nmap. C'est une application multi-plateforme gratuite et open source. Il est facile à utiliser pour les débutants mais offre également des fonctionnalités avancées pour les utilisateurs expérimentés.
Caractéristiques:
- Visualisation interactive et graphique des résultats
- Il résume les détails sur un seul hôte ou une analyse complète dans un affichage pratique.
- Il peut même dessiner une carte topologique des réseaux découverts.
- Il peut montrer les différences entre deux scans.
- Il permet aux administrateurs de suivre les nouveaux hôtes ou services apparaissant sur leurs réseaux. Ou suivez les services existants qui tombent en panne
Lien de téléchargement: https://nmap.org/download.html
Les autres outils qui pourraient être utiles pour les tests d'intrusion sont
- Acunetix: C'est un scanner de vulnérabilité Web ciblé sur les applications Web. C'est un outil coûteux comparé aux autres et fournit des fonctionnalités telles que des tests de scripts intersites, des rapports de conformité PCI, une injection SQL, etc.
- Retina: cela ressemble plus à un outil de gestion de vulnérabilité qu'à un outil de pré-test
- Nessus: Il se concentre sur les contrôles de conformité, les recherches de données sensibles, l'analyse des adresses IP, l'analyse de sites Web, etc.
- Netsparker: cet outil est livré avec un scanner d'applications Web robuste qui identifie les vulnérabilités et suggère des solutions. Des essais limités gratuits sont disponibles, mais la plupart du temps, il s'agit d'un produit commercial. Il permet également d'exploiter l'injection SQL et LFI (Local File Induction)
- CORE Impact: Ce logiciel peut être utilisé pour la pénétration d'appareils mobiles, l'identification et le craquage de mots de passe, la pénétration de périphériques réseau, etc. C'est l'un des outils coûteux dans les tests de logiciels
- Burpsuite: Comme les autres, ce logiciel est également un produit commercial. Il fonctionne en interceptant le proxy, l'analyse des applications Web, l'exploration du contenu et des fonctionnalités, etc. L'avantage d'utiliser Burpsuite est que vous pouvez l'utiliser sur des environnements Windows, Linux et Mac OS X.