网络安全工具推荐

1.Metasploit是一个计算机安全项目，可以为用户提供有关安全风险或漏洞等方面的重要信息。该框架是一个开源代码的渗透测试和开发平台，可供用户访问多个应用程序、平台和操作系统上的最新漏洞利用代码。从渗透测试角度来看，Metasploit可以完成一些工作包括漏洞扫描、侦听和利用已知漏洞、项目报告以及证据收集等。它提供可在Linux、Windows以及Apple Mac OS上运行的命令行和图形用户界面。虽然Metasploit是一种商业工具，但它附带有一个开源代码的有限试用版。

核心功能：

· 网络发现；

· 具有命令行和GUI界面；

· 适用于Windows、Linux和Mac OS X；

· 模块化浏览器；

· 支持基本开发和手动开发两种模式；

· 漏洞扫描器导入；

· Metasploit社区版免费提供给信息安全（InfoSec）社区；

2. 作为一款商业级的安全测试工具，Netsparker是一款精确、自动化且易于使用的Web应用安全扫描程序。该工具主要用于自动识别安全风险，例如Web服务、Web应用服务以及网站中的跨站点脚本（XSS）和SQL注入风险。其基于证据的扫描技术不仅可以简单地报告风险，还能够生成概念证明（Proof of Concept），来确认它们是否误报，以减少手动验证漏洞耗费的时间。

核心功能：

· 高级Web扫描；

· 漏洞评估；

· HTTP请求生成器；

· 以证据为核心的扫描技术，可实现精确的威胁发现和扫描结果；

· 全面的HTML5支持；

· 整合软件开发生命周期（SDLC）；

· 开发和报告；

· 手动测试；

· 自动识别定制的404错误页面；

· 支持反跨站点请求伪造（CSRF）令牌、反CSRF令牌以及REST API；

3.Acunetix是一款全自动的Web漏洞扫描程序，可以识别并报告超过4500种Web应用程序漏洞，其中包括XSS XXE、SSRF、主机头注入和SQL注入的所有变体。作为一款商业级工具，Acunetix可以智能地检测大约4500个Web漏洞。其DeepScan Crawler可扫描重AJAX（AJAX-heavy）客户端的单页面应用（SPA）和HTML5网站。用户可以利用它将检测到的漏洞导出到问题跟踪器中，例如GitHub、Atlassian JIRA、Microsoft TFS（Team Foundation Server）。它还可以在Linux、Windows和在线环境上运行。

核心功能：

· 针对风险和漏洞的高检测率和低误报率；

· 集成漏洞管理-组织和控制风险；

· 深入检索和审查-自动扫描所有网站；

· 能够与流行的WAF和GitHub、JIRA、TFS等问题跟踪器相集成；

· 开源Web安全扫描和手动测试工具；

· 可以在Linux、Windows、以及在线环境中运行；