111.jpeg
从图中可以看到,89% 的白帽子都会使用 Burp Suite 这个 Web 应用安全测试工具,有 39% 会尝试自
己写工具,第三名的 Fuzzers 是模糊测试工具。再后面主要是一些代理抓包工具、漏洞扫描器和调试器
(用于调试二进制程序居多)。
从以上信息中我们也能了解到,涉及 Web 渗透的常用工具集中在代理抓包工具和漏洞扫描器上。Burp
Suite 两者兼具,还有丰富的插件,并集成了很多渗透测试的常用功能,是手工挖掘漏洞的必备神器。
因此,成为白帽子的最爱也在情理之中。
这一讲我收集整理了一些个人比较常用的工具,有一定的个人爱好偏向,你也可以根据自己的喜好选择
顺手的使用,并不必局限于我列举的工具。
这里我主要介绍常用的工具以及在使用上的一些技巧和心得,你可以自己动手安装尝试一下。在未来的
课程中,我会在合适的实践场景讲解相应工具的实战应用,比如在 “第 04 讲” 将介绍 Nmap,在 “第 07
讲” 和“第 08 讲”提到 “SQL 注入” 时又会应用 SQLMap。
我比较推荐从资料的源头入手,哪怕是英文的原始资料,你自己认真阅读一遍,肯定好过被别人嚼烂的
东西。下面的工具我也会尽量标出原始技术内容来源,此处不会过多详细地介绍每一样工具的使用,你
可以参考文末列出相关的资料清单,边操作边学习。
网友评论