1) Netsparker
Netsparker adalah pemindai keamanan aplikasi web yang mudah digunakan yang dapat secara otomatis menemukan SQL Injection, XSS, dan kerentanan lainnya di aplikasi web dan layanan web Anda. Ini tersedia sebagai solusi lokal dan SAAS. fitur
- Deteksi kerentanan akurat yang mematikan dengan Teknologi Pemindaian Berbasis Bukti yang unik.
- Konfigurasi minimal diperlukan. Pemindai secara otomatis mendeteksi aturan penulisan ulang URL, halaman kesalahan 404 khusus.
- REST API untuk integrasi tanpa batas dengan SDLC, sistem pelacakan bug, dll.
- Solusi yang dapat diskalakan sepenuhnya. Pindai 1.000 aplikasi web hanya dalam 24 jam.
2) Acunetix
Acunetix adalah alat pengujian penetrasi otomatis. Pemindai keamanan aplikasi webnya secara akurat memindai HTML5, JavaScript, dan aplikasi satu halaman. Itu dapat mengaudit kompleks, aplikasi web terautentikasi dan masalah kepatuhan dan laporan manajemen pada berbagai kerentanan web dan jaringan, termasuk kerentanan out-of-band.
Fitur:
- Memindai semua varian SQL Injection, XSS, dan 4500+ kerentanan tambahan
- Mendeteksi lebih dari 1200 kerentanan inti, tema, dan plugin WordPress
- Cepat & Skalabel - merayapi ratusan ribu halaman tanpa gangguan
- Terintegrasi dengan WAF dan Issue Trackers yang populer untuk membantu dalam SDLC
- Tersedia Di Tempat dan sebagai solusi Cloud.
3) Penyusup
Penyusup adalah alat pengujian penetrasi otomatis yang kuat yang menemukan kelemahan keamanan di seluruh lingkungan TI Anda. Menawarkan pemeriksaan keamanan terkemuka di industri, pemantauan berkelanjutan, dan platform yang mudah digunakan, Penyusup menjaga keamanan bisnis dari semua ukuran dari peretas.
fitur
- Cakupan ancaman terbaik di kelasnya dengan lebih dari 10.000 pemeriksaan keamanan
- Memeriksa kelemahan konfigurasi, patch yang hilang, kelemahan aplikasi (seperti injeksi SQL & skrip lintas situs) dan banyak lagi
- Analisis otomatis dan prioritas hasil pemindaian
- Antarmuka yang intuitif, cepat disiapkan dan menjalankan pemindaian pertama Anda
- Pemantauan keamanan proaktif untuk kerentanan terbaru
- Konektor AWS, Azure, dan Google Cloud
- Integrasi API dengan pipeline CI / CD Anda
4) Indusface
Indusface WAS menawarkan pengujian Penetrasi manual dan pemindaian otomatis untuk mendeteksi dan melaporkan kerentanan berdasarkan OWASP top 10 dan SANS top 25.
fitur
- Perayap memindai aplikasi satu halaman
- Jeda dan lanjutkan fitur
- Laporan manual PT dan pemindai otomatis ditampilkan di dasbor yang sama
- Bukti permintaan konsep yang tidak terbatas menawarkan bukti kerentanan yang dilaporkan dan membantu menghilangkan positif palsu dari temuan pemindaian otomatis
- Integrasi WAF opsional untuk menyediakan patch virtual instan dengan Zero False positive
- Secara otomatis memperluas cakupan perayapan berdasarkan data lalu lintas nyata dari sistem WAF (jika WAF berlangganan dan digunakan)
- Dukungan 24 × 7 untuk membahas pedoman remediasi / POC
5) Perangkat Lunak Deteksi Intrusi
Intrusion Detection Software adalah alat yang memungkinkan Anda mendeteksi semua jenis ancaman tingkat lanjut. Ini menyediakan pelaporan kepatuhan untuk DSS (Sistem Pendukung Keputusan) dan HIPAA. Aplikasi ini dapat terus memantau serangan dan aktivitas yang mencurigakan.
Fitur:
- Minimalkan upaya deteksi intrusi.
- Menawarkan kepatuhan dengan pelaporan yang efektif.
- Menyediakan log waktu nyata.
- Itu dapat mendeteksi IP, aplikasi, akun, dan lainnya yang berbahaya.
6) Traceroute NG
Traceroute NG adalah aplikasi yang memungkinkan Anda menganalisis jalur jaringan. Perangkat lunak ini dapat mengidentifikasi alamat IP, nama host, dan paket yang hilang. Ini memberikan analisis yang akurat melalui antarmuka baris perintah
Fitur:
- Ini menawarkan analisis jalur jaringan TCP dan ICMP.
- Aplikasi ini dapat membuat file log txt.
- Mendukung IP4 dan IPV6.
- Deteksi perubahan jalur dan beri Anda pemberitahuan.
- Mengizinkan pemeriksaan jaringan secara terus menerus.
7) ExpressVPN
ExpressVPN mengamankan penjelajahan internet dari agen tiga huruf dan penipu. Ini menawarkan akses tak terbatas ke musik, media sosial, dan video sehingga program ini tidak pernah mencatat alamat IP, riwayat penelusuran, kueri DNS, atau tujuan lalu lintas.
Fitur:
- Server di 160 lokasi dan 94 negara
- Terhubung ke VPN tanpa batasan bandwidth apa pun.
- Memberikan perlindungan online menggunakan anti bocor dan enkripsi.
- Tetap aman dengan menyembunyikan alamat IP dan mengenkripsi data jaringan Anda.
- Bantuan tersedia 24/7 melalui email serta obrolan langsung.
- Bayar dengan Bitcoin dan gunakan Tor untuk mengakses situs tersembunyi.
8) Owasp
Proyek Keamanan Aplikasi Web Terbuka (OWASP) adalah organisasi nirlaba di seluruh dunia yang berfokus pada peningkatan keamanan perangkat lunak. Proyek ini memiliki banyak alat untuk menguji berbagai lingkungan dan protokol perangkat lunak. Alat andalan proyek ini meliputi
- Zed Attack Proxy (ZAP - alat pengujian penetrasi terintegrasi)
- OWASP Dependency Check (memindai dependensi proyek dan memeriksa kerentanan yang diketahui)
- Proyek Lingkungan Pengujian Web OWASP (kumpulan alat dan dokumentasi keamanan)
Panduan pengujian OWASP memberikan "praktik terbaik" untuk menguji penetrasi aplikasi web yang paling umum
Tautan Owasp
9) WireShark
Wireshark adalah alat pentest analisis jaringan yang sebelumnya dikenal sebagai Ethereal. Ini menangkap paket secara real time dan menampilkannya dalam format yang dapat dibaca manusia. Pada dasarnya, ini adalah penganalisis paket jaringan- yang menyediakan detail menit tentang protokol jaringan Anda, dekripsi, informasi paket, dll. Ini adalah sumber terbuka dan dapat digunakan di Linux, Windows, OS X, Solaris, NetBSD, FreeBSD dan banyak lagi. sistem lain. Informasi yang diambil melalui alat ini dapat dilihat melalui GUI atau mode TTY TShark Utility.
Fitur WireShark termasuk
- Tangkapan langsung dan analisis offline
- Analisis VoIP yang kaya
- Tangkap file yang dikompresi dengan gzip dapat didekompresi dengan cepat
- Output dapat diekspor ke XML, PostScript, CSV, atau teks biasa
- Multi-platform: Berjalan di windows, Linux, FreeBSD, NetBSD dan banyak lainnya
- Data langsung dapat dibaca dari internet, PPP / HDLC, ATM, Blue-tooth, USB, Token Ring, dll.
- Dukungan dekripsi untuk banyak protokol yang mencakup IPsec, ISAKMP, SSL / TLS, WEP, dan WPA / WPA2
- Untuk analisis intuitif cepat, aturan pewarnaan dapat diterapkan ke paket
- Baca / Tulis banyak format file tangkapan yang berbeda
Unduh Wireshark
10) w3af
w3af adalah serangan aplikasi web dan kerangka audit. Ini memiliki tiga jenis plugin; penemuan, audit, dan serangan yang berkomunikasi satu sama lain untuk setiap kerentanan di situs, misalnya plugin penemuan di w3af mencari url yang berbeda untuk menguji kerentanan dan meneruskannya ke plugin audit yang kemudian menggunakan URL ini untuk mencari kerentanan.
Ini juga dapat dikonfigurasi untuk dijalankan sebagai proxy MITM. Permintaan yang dicegat dapat dikirim ke generator permintaan dan kemudian pengujian aplikasi web manual dapat dilakukan menggunakan parameter variabel. Ia juga memiliki fitur untuk mengeksploitasi kerentanan yang ditemukannya.
Fitur W3af
- Dukungan proxy
- Cache respons HTTP
- Cache DNS
- Mengunggah file menggunakan multi bagian
- Penanganan cookie
- Otentikasi dasar dan intisari HTTP
- Pemalsuan agen pengguna
- Tambahkan tajuk khusus ke permintaan
tautan unduhan w3af
11) Metaspoilt
Ini adalah Kerangka paling populer dan canggih yang dapat digunakan untuk pentest. Ini adalah alat open source berdasarkan konsep 'exploit' yang berarti Anda melewatkan kode yang melanggar langkah-langkah keamanan dan memasuki sistem tertentu. Jika dimasukkan, itu menjalankan 'payload', kode yang melakukan operasi pada mesin target, sehingga menciptakan kerangka kerja yang sempurna untuk pengujian penetrasi. Ini adalah alat pengujian yang bagus untuk menguji apakah IDS berhasil mencegah serangan yang kami lewati
Metaspoilt dapat digunakan pada jaringan, aplikasi, server, dll. Ia memiliki baris perintah dan antarmuka GUI yang dapat diklik, bekerja pada Apple Mac OS X, bekerja pada Linux dan Microsoft Windows.
Fitur Metaspoilt
- Antarmuka baris perintah dasar
- Impor pihak ketiga
- Pemaksaan kasar secara manual
- Pemaksaan kasar secara manual
- pengujian penetrasi situs web
Tautan unduhan Metaspoilt
12) Kali
Kali hanya berfungsi di Mesin Linux. Ini memungkinkan Anda membuat jadwal pencadangan dan pemulihan yang sesuai dengan kebutuhan Anda. Ini mempromosikan cara cepat dan mudah untuk menemukan dan memperbarui basis data terbesar dari koleksi pengujian penetrasi keamanan hingga saat ini. Ini adalah alat terbaik yang tersedia untuk mengendus dan menyuntikkan paket. Keahlian dalam protokol TCP / IP dan jaringan dapat bermanfaat saat menggunakan alat ini.
fitur
- Penambahan dukungan 64 bit memungkinkan peretasan kata sandi brute force
- Back Track dilengkapi dengan alat yang dimuat sebelumnya untuk mengendus LAN dan WLAN, pemindaian kerentanan, pemecahan kata sandi, dan forensik digital
- Backtrack terintegrasi dengan beberapa alat terbaik seperti Metaspoilt dan Wireshark
- Selain alat jaringan, ini juga termasuk pidgin, xmms, Mozilla, k3b, dll.
- Back track mendukung KDE dan Gnome.
Link download kali
13) Kerangka samurai:
Kerangka Pengujian Web Samurai adalah perangkat lunak pengujian pena. Ini didukung di VirtualBox dan VMWare yang telah dikonfigurasi sebelumnya untuk berfungsi sebagai lingkungan pengujian pena web.
Fitur:
- Ini adalah open source, alat gratis untuk digunakan
- Ini berisi yang terbaik dari sumber terbuka dan alat gratis yang berfokus pada pengujian dan penyerangan situs web
- Ini juga termasuk wiki yang telah dikonfigurasi sebelumnya untuk mengatur penyimpanan informasi pusat selama pen-test
Tautan unduhan: https://sourceforge.net/projects/samurai/files/
14) Aircrack:
Aircrack adalah alat pentesting nirkabel yang praktis. Ini meretas koneksi nirkabel yang rentan. Ini didukung oleh Kunci enkripsi WEP WPA dan WPA 2.
Fitur:
- Lebih banyak kartu / driver yang didukung
- Mendukung semua jenis OS dan platform
- Serangan WEP baru: PTW
- Dukungan untuk serangan kamus WEP
- Dukungan untuk serangan Fragmentasi
- Kecepatan pelacakan yang ditingkatkan
Tautan unduhan: https://www.aircrack-ng.org/downloads.html
15) ZAP:
ZAP adalah salah satu alat pengujian keamanan open source paling populer. Itu dikelola oleh ratusan sukarelawan internasional. Ini dapat membantu pengguna untuk menemukan kerentanan keamanan dalam aplikasi web selama fase pengembangan dan pengujian.
Fitur:
- Ini membantu untuk Mengidentifikasi lubang keamanan yang ada di aplikasi web dengan mensimulasikan serangan yang sebenarnya
- Pemindaian pasif menganalisis respons dari server untuk mengidentifikasi masalah tertentu
- Ini mencoba akses brute force ke file dan direktori.
- Fitur spidering membantu membangun struktur hierarki situs web
- Menyediakan data yang tidak valid atau tidak terduga untuk membuat crash atau menghasilkan hasil yang tidak diharapkan
- Alat yang berguna untuk mengetahui port terbuka di situs web target
- Ini menyediakan shell Java interaktif yang dapat digunakan untuk menjalankan skrip BeanShell
- Ini sepenuhnya diinternasionalkan dan mendukung 11 bahasa
Tautan unduhan: https://github.com/zaproxy/zaproxy/wiki
16) Peta persegi:
Sqlmap adalah alat pengujian penetrasi open source. Ini mengotomatiskan seluruh proses untuk mendeteksi dan mengeksploitasi kekurangan injeksi SQL. Muncul dengan banyak mesin pendeteksi dan fitur untuk uji penetrasi yang ideal.
Fitur:
- Dukungan penuh untuk enam teknik injeksi SQL
- Memungkinkan koneksi langsung ke database tanpa melalui injeksi SQL
- Dukungan untuk menghitung pengguna, hash sandi, hak istimewa, peran, database, tabel, dan kolom
- Pengenalan otomatis kata sandi yang diberikan dalam format hash dan dukungan untuk memecahkannya
- Dukungan untuk membuang tabel database seluruhnya atau kolom tertentu
- Pengguna juga dapat memilih berbagai karakter dari setiap entri kolom
- Memungkinkan untuk membuat koneksi TCP antara sistem yang terpengaruh dan server database
- Dukungan untuk mencari nama database tertentu, tabel atau kolom tertentu di semua database dan tabel
- Memungkinkan untuk menjalankan perintah sewenang-wenang dan mengambil keluaran standarnya di server database
Tautan unduhan: https://github.com/sqlmapproject/sqlmap
17) Sqlninja:
Sqlninja adalah alat pengujian penetrasi. Ini bertujuan untuk mengeksploitasi kerentanan SQL Injection pada aplikasi web. Ini menggunakan Microsoft SQL Server sebagai back-end. Ini juga menyediakan akses jarak jauh pada server DB yang rentan, bahkan di lingkungan yang sangat tidak bersahabat.
Fitur:
- Sidik jari dari SQL jarak jauh
- Ekstraksi data, berbasis waktu atau menggunakan terowongan DNS
- Memungkinkan Integrasi dengan Metasploit3, untuk mendapatkan akses grafis ke server DB jarak jauh
- Unggah file yang dapat dieksekusi hanya menggunakan permintaan HTTP normal melalui VBScript atau debug.exe
- Bindshell langsung dan mundur, baik untuk TCP dan UDP
- Pembuatan cmdshell xp kustom jika yang asli tidak tersedia di w2k3 menggunakan penculikan token
Tautan unduhan: http://sqlninja.sourceforge.net/download.html
18) Daging Sapi:
Kerangka Eksploitasi Browser. Ini adalah alat pentesting yang berfokus pada browser web. Ia menggunakan GitHub untuk melacak masalah dan menghosting repositori gitnya.
Fitur:
- Ini memungkinkan untuk memeriksa postur keamanan aktual dengan menggunakan vektor serangan sisi klien
- BeEF memungkinkan untuk terhubung dengan satu atau lebih browser web. Ini kemudian dapat digunakan untuk meluncurkan modul perintah terarah dan serangan lebih lanjut pada sistem.
Tautan unduhan: http://beefproject.com
19) Dradis:
Dradis adalah kerangka kerja sumber terbuka untuk pengujian penetrasi. Ini memungkinkan pemeliharaan informasi yang dapat dibagikan di antara peserta tes pena. Informasi yang dikumpulkan membantu pengguna untuk memahami apa yang diselesaikan dan apa yang perlu diselesaikan.
Fitur:
- Proses mudah untuk pembuatan laporan
- Dukungan untuk lampiran
- Kolaborasi yang mulus
- Integrasi dengan sistem dan alat yang ada menggunakan plugin server
- Platform independen
Tautan unduhan: https://dradisframework.com/ce
20) Cepat 7:
Nexpose Rapid 7 adalah perangkat lunak manajemen kerentanan yang berguna. Ini memantau eksposur secara real-time dan beradaptasi dengan ancaman baru dengan data baru yang membantu pengguna untuk bertindak pada saat terjadi dampak.
Fitur:
- Dapatkan Pandangan Real-Time tentang Risiko
- Ini membawa solusi inovatif dan progresif yang membantu pengguna menyelesaikan pekerjaan mereka
- Ketahui Di Mana Harus Fokus
- Hadirkan Lebih Banyak ke Program Keamanan Anda
Tautan unduhan: https://www.rapid7.com/products/nexpose/download/
21) Hping:
Hping adalah alat pengujian pena penganalisis paket TCP / IP. Antarmuka ini terinspirasi oleh perintah ping (8) UNIX. Ini mendukung protokol TCP, ICMP, UDP, dan RAW-IP.
Fitur:
- Izinkan pengujian firewall
- Pemindaian port lanjutan
- Pengujian jaringan, menggunakan protokol yang berbeda, KL, fragmentasi
- Penemuan MTU jalur manual
- Traceroute tingkat lanjut dengan semua protokol yang didukung
- Sidik jari OS jarak jauh & tebak uptime
- Audit tumpukan TCP / IP
Tautan unduhan: https://github.com/antirez/hping
22) SuperScan:
Superscan adalah alat pengujian penetrasi sumber tertutup khusus Windows gratis. Ini juga termasuk alat jaringan seperti ping, traceroute, whois dan HTTP HEAD.
Fitur:
- Kecepatan pemindaian yang superior
- Dukungan untuk rentang IP tak terbatas
- Deteksi host yang ditingkatkan menggunakan beberapa metode ICMP
- Memberikan dukungan untuk pemindaian TCP SYN
- Pembuatan laporan HTML sederhana
- Pemindaian port sumber
- Perebutan spanduk yang luas
- Database deskripsi daftar port built-in yang besar
- Pengacakan urutan pemindaian IP dan port
- Kemampuan enumerasi host Windows yang luas
Tautan unduhan: https://superscan.en.softonic.com/
23) Pemindai ISS:
IBM Internet Scanner adalah alat pengujian pena yang menawarkan dasar untuk keamanan jaringan yang efektif untuk bisnis apa pun.
Fitur:
- Pemindai Internet meminimalkan risiko bisnis dengan menemukan titik lemah dalam jaringan
- Ini memungkinkan pemindaian otomatis dan menemukan kerentanan
- Pemindai Internet memotong risiko dengan mengidentifikasi lubang keamanan, atau kerentanan, di jaringan
- Manajemen Kerentanan Lengkap
- Pemindai Internet dapat mengidentifikasi lebih dari 1.300 jenis perangkat jaringan
Tautan unduhan : https://www.ibm.com/products/trials
24) Scapy:
Scapy adalah alat pengujian pena yang kuat dan interaktif. Ia dapat menangani banyak tugas klasik seperti memindai, menyelidik, dan menyerang jaringan.
Fitur:
- Ini melakukan beberapa tugas khusus seperti mengirim bingkai yang tidak valid, menyuntikkan bingkai 802.11. Ini menggunakan berbagai teknik penggabungan yang sulit dilakukan dengan alat lain
- Ini memungkinkan pengguna untuk membangun persis paket yang mereka inginkan
- Mengurangi jumlah baris yang ditulis untuk menjalankan kode tertentu
Tautan unduhan: https://scapy.net/
25) IronWASP:
IronWASP adalah perangkat lunak sumber terbuka untuk pengujian kerentanan aplikasi web. Ini dirancang untuk dapat disesuaikan sehingga pengguna dapat membuat pemindai keamanan khusus mereka menggunakannya.
Fitur:
- Berbasis GUI dan sangat mudah digunakan
- Ini memiliki mesin pemindai yang kuat dan efektif
- Dukungan untuk merekam urutan Login
- Pelaporan dalam format HTML dan RTF
- Memeriksa lebih dari 25 jenis kerentanan web
- Dukungan deteksi Positif Palsu dan Negatif
- Ini mendukung Python dan Ruby
- Dapat diperluas menggunakan plug-in atau modul dengan Python, Ruby, C # atau VB.NET
Tautan unduhan: http://ironwasp.org/download.html
26) Ettercap:
Ettercap adalah alat pengujian pena yang komprehensif. Ini mendukung diseksi aktif dan pasif. Ini juga mencakup banyak fitur untuk analisis jaringan dan host.
Fitur:
- Ini mendukung pembedahan aktif dan pasif dari banyak protokol
- Fitur keracunan ARP untuk mengendus pada LAN yang diaktifkan antara dua host
- Karakter dapat disuntikkan ke server atau ke klien sambil mempertahankan koneksi langsung
- Ettercap mampu mengendus koneksi SSH dalam dupleks penuh
- Memungkinkan mengendus data aman HTTP SSL bahkan ketika koneksi dibuat menggunakan proxy
- Mengizinkan pembuatan plugin khusus menggunakan API Ettercap
Tautan unduhan: https://www.ettercap-project.org/downloads.html
27) Bawang Keamanan:
Security Onion adalah alat pengujian penetrasi. Ini digunakan untuk deteksi intrusi, dan pemantauan keamanan jaringan. Ini memiliki wizard Pengaturan yang mudah digunakan memungkinkan pengguna untuk membangun pasukan sensor terdistribusi untuk perusahaan mereka.
Fitur:
- Itu dibangun di atas model klien-server terdistribusi
- Pemantauan Keamanan Jaringan memungkinkan pemantauan untuk peristiwa terkait keamanan
- Ini menawarkan penangkapan paket penuh
- Sistem deteksi intrusi berbasis jaringan dan berbasis host
- Ini memiliki mekanisme bawaan untuk membersihkan data lama sebelum perangkat penyimpanan mengisi kapasitasnya
Tautan unduhan: https://securityonion.net/
28) Inspektur Perangkat Lunak Pribadi:
Personal Software Inspector adalah solusi keamanan komputer open source. Alat ini dapat mengidentifikasi kerentanan dalam aplikasi di PC atau Server.
Fitur:
- Ini tersedia dalam delapan bahasa berbeda
- Mengotomatiskan pembaruan untuk program yang tidak aman
- Ini mencakup ribuan program dan secara otomatis mendeteksi program yang tidak aman
- Alat pengujian pena ini secara otomatis dan teratur memindai PC untuk program yang rentan
- Mendeteksi dan memberi tahu program yang tidak dapat diperbarui secara otomatis
Tautan unduhan: https://info.flexera.com/SVM-EVAL-Software-Vulnerability-Manager
29) HconSTF:
HconSTF adalah alat Pengujian Penetrasi Sumber Terbuka berdasarkan teknologi browser yang berbeda. Ini membantu profesional keamanan untuk membantu dalam pengujian Penetrasi. Ini berisi alat web yang kuat dalam melakukan XSS, injeksi SQL, CSRF, Trace XSS, RFI, LFI, dll.
Fitur:
- Toolset yang dikategorikan dan komprehensif
- Setiap opsi dikonfigurasi untuk pengujian penetrasi
- Dikonfigurasi dan ditingkatkan secara khusus untuk mendapatkan anonimitas yang solid
- Berfungsi untuk penilaian pengujian aplikasi web
- Mudah digunakan & Sistem Operasi kolaboratif
Tautan unduhan: http://www.hcon.in/
30) IBM Security AppScan:
IBM Security AppScan membantu meningkatkan keamanan aplikasi web dan keamanan aplikasi seluler. Ini meningkatkan keamanan aplikasi dan memperkuat kepatuhan terhadap peraturan. Ini membantu pengguna untuk mengidentifikasi kerentanan keamanan dan menghasilkan laporan.
Fitur:
- Aktifkan Pengembangan dan QA untuk melakukan pengujian selama proses SDLC
- Kontrol aplikasi apa yang dapat diuji oleh setiap pengguna
- Bagikan laporan dengan mudah
- Tingkatkan visibilitas dan lebih memahami risiko perusahaan
- Fokus untuk menemukan dan memperbaiki masalah
- Kontrol akses informasi
Tautan unduhan: http://www-03.ibm.com/software/products/en/appscan
31) Arachni:
Arachni adalah alat berbasis kerangka Ruby open source untuk penguji penetrasi & administrator. Ini digunakan untuk mengevaluasi keamanan aplikasi web modern.
Fitur:
- Ini adalah alat serbaguna, sehingga mencakup sejumlah besar kasus penggunaan. Mulai dari utilitas pemindai baris perintah sederhana hingga jaringan pemindai berkinerja tinggi global
- Opsi untuk Penerapan ganda
- Ini menawarkan basis kode yang dapat diverifikasi dan dapat diperiksa untuk memastikan tingkat perlindungan tertinggi
- Itu dapat dengan mudah diintegrasikan dengan lingkungan browser
- Ini menawarkan laporan yang sangat rinci dan terstruktur dengan baik
Tautan unduhan: https://sourceforge.net/projects/safe3wvs/files
32) Websecurify:
Websecurify adalah lingkungan pengujian keamanan yang kuat. Ini adalah antarmuka yang ramah pengguna yang sederhana dan mudah digunakan. Ini menawarkan kombinasi teknologi pengujian kerentanan otomatis dan manual.
Fitur:
- Teknologi pengujian dan pemindaian yang baik
- Mesin penguji yang kuat untuk mendeteksi URL
- Ini dapat dikembangkan dengan banyak add-on yang tersedia
- Ini tersedia untuk semua platform desktop dan seluler utama
Tautan unduhan: https://www.websecurify.com/
33) Vega:
Vega adalah pemindai keamanan web sumber terbuka dan platform pengujian pena untuk menguji keamanan aplikasi web.
Fitur:
- Pengujian Keamanan Otomatis, Manual, dan Hibrid
- Ini membantu pengguna menemukan kerentanan. Ini mungkin berupa skrip lintas situs, skrip lintas situs yang disimpan, injeksi SQL buta, injeksi shell, dll.
- Itu dapat secara otomatis masuk ke situs web ketika diberikan kredensial pengguna
- Ini berjalan secara efektif di Linux, OS X, dan Windows
- Modul deteksi Vega ditulis dalam JavaScript
Tautan unduhan: https://subgraph.com/vega/download/index.en.html
34) Wapiti:
Wapiti adalah alat pengujian penetrasi terkenal lainnya. Ini memungkinkan audit keamanan aplikasi web. Ini mendukung metode HTTP GET dan POST untuk pemeriksaan kerentanan.
Fitur:
- Menghasilkan laporan kerentanan dalam berbagai format
- Itu dapat menangguhkan dan melanjutkan pemindaian atau serangan
- Cara cepat dan mudah untuk mengaktifkan dan menonaktifkan modul serangan
- Mendukung proxy HTTP dan HTTPS
- Ini memungkinkan untuk menahan ruang lingkup pemindaian
- Penghapusan otomatis parameter di URL
- Impor cookie
- Itu dapat mengaktifkan atau menonaktifkan verifikasi sertifikat SSL
- Ekstrak URL dari file Flash SWF
Tautan unduhan: https://sourceforge.net/projects/wapiti/files/
35) Kismet:
Kismet adalah detektor jaringan nirkabel dan sistem deteksi intrusi. Ini berfungsi dengan jaringan Wi-Fi tetapi dapat diperluas melalui plugin karena memungkinkan untuk menangani jenis jaringan lain.
Fitur:
- Mengizinkan pencatatan PCAP standar
- Arsitektur modular Client / Server
- Arsitektur plug-in untuk memperluas fitur inti
- Dukungan beberapa sumber tangkapan
- Mendistribusikan sniffing jarak jauh melalui penangkapan jarak jauh yang ringan
- Keluaran XML untuk integrasi dengan alat lain
Tautan unduhan: https://www.kismetwireless.net/downloads/
36) Kali Linux:
Kali Linux adalah alat pengujian pena open source yang dikelola dan didanai oleh Keamanan Ofensif.
Fitur:
- Kustomisasi penuh Kali ISO dengan live-build untuk membuat gambar Kali Linux yang disesuaikan
- Ini berisi banyak koleksi paket Meta yang menggabungkan set alat yang berbeda
- ISO of Doom dan Resep Kali Lainnya
- Enkripsi Disk pada Raspberry Pi 2
- USB Langsung dengan Beberapa Toko Persistensi
Tautan unduhan: https://www.kali.org/
37) Keamanan Burung Beo:
Parrot Security adalah alat pengujian pena. Ini menawarkan laboratorium yang sepenuhnya portabel untuk ahli keamanan dan forensik digital. Ini juga membantu pengguna untuk melindungi privasi mereka dengan anonimitas dan alat kripto.
Fitur:
- Ini mencakup gudang alat berorientasi keamanan lengkap untuk melakukan tes penetrasi, audit keamanan dan banyak lagi.
- Itu datang dengan perpustakaan yang sudah diinstal sebelumnya dan berguna dan diperbarui
- Menawarkan server cermin yang kuat di seluruh dunia
- Memungkinkan pembangunan berbasis komunitas
- Menawarkan Cloud OS terpisah yang dirancang khusus untuk server
Tautan unduhan: https://www.parrotsec.org/download/
38) OpenSSL:
Toolkit ini dilisensikan di bawah lisensi gaya Apache. Ini adalah proyek sumber terbuka dan gratis yang menyediakan toolkit berfitur lengkap untuk protokol TLS dan SSL.
Fitur:
- Itu ditulis dalam C, tetapi pembungkus tersedia untuk banyak bahasa komputer
- Pustaka tersebut mencakup alat untuk membuat kunci pribadi RSA dan Permintaan Penandatanganan Sertifikat
- Verifikasi file CSR
- Hapus Passphrase dari Key sepenuhnya
- Buat Kunci Pribadi baru dan izinkan Permintaan Penandatanganan Sertifikat
Tautan unduhan: https://www.openssl.org/source/
39) Mendengus:
Snort adalah deteksi intrusi sumber terbuka dan sistem pengujian pena. Ini menawarkan manfaat metode pemeriksaan berbasis protokol tanda tangan dan anomali. Alat ini membantu pengguna mendapatkan perlindungan maksimal dari serangan malware.
Fitur:
- Snort menjadi terkenal karena mampu mendeteksi ancaman secara akurat pada kecepatan tinggi
- Lindungi ruang kerja Anda dari serangan yang muncul dengan cepat
- Snort dapat digunakan untuk membuat solusi keamanan jaringan unik yang disesuaikan
- Uji sertifikat SSL dari URL tertentu
- Itu dapat memeriksa apakah cipher tertentu diterima di URL
- Verifikasi Otoritas Penandatangan Sertifikat
- Kemampuan untuk mengirimkan positif / negatif palsu
Tautan unduhan: https://www.snort.org/downloads
40) Kotak Belakang:
BackBox adalah proyek Komunitas Sumber Terbuka dengan tujuan meningkatkan budaya keamanan di lingkungan TI. Ini tersedia dalam dua variasi berbeda seperti Backbox Linux dan Backbox Cloud. Ini mencakup beberapa alat analisis dan keamanan yang paling umum dikenal / digunakan.
Fitur:
- Ini adalah alat yang berguna untuk mengurangi kebutuhan sumber daya perusahaan dan menurunkan biaya untuk mengelola beberapa persyaratan perangkat jaringan
- Ini adalah alat pengujian pena sepenuhnya otomatis. Jadi, tidak ada agen dan tidak diperlukan konfigurasi jaringan untuk melakukan perubahan. Untuk melakukan konfigurasi otomatis terjadwal
- Akses Aman ke Perangkat
- Organisasi dapat menghemat waktu karena tidak perlu melacak perangkat jaringan individu
- Mendukung Enkripsi File Kredensial dan Konfigurasi
- Self-Backup dan Penyimpanan Jarak Jauh Otomatis
- Menawarkan Kontrol Akses Berbasis IP
- Tidak perlu menulis perintah karena dilengkapi dengan Perintah yang Dikonfigurasi sebelumnya
Tautan unduhan: https://www.backbox.org/download/
41) THC Hydra:
Hydra adalah cracker login dan alat pengujian pena yang diparalelkan. Ini sangat cepat dan fleksibel, dan modul baru mudah ditambahkan. Alat ini memungkinkan peneliti dan konsultan keamanan menemukan akses yang tidak sah.
Fitur:
- Rangkaian alat trade-off memori penuh bersama dengan pembuatan tabel pelangi, pengurutan, konversi, dan pencarian
- Ini mendukung tabel pelangi dari algoritma hash apa pun
- Mendukung tabel pelangi dari set karakter apa pun
- Mendukung tabel pelangi dalam format file kompak atau mentah
- Komputasi pada dukungan prosesor multi-core
- Berjalan di sistem operasi Windows dan Linux
- Format file tabel pelangi terpadu pada semua OS yang didukung
- Mendukung GUI dan antarmuka pengguna baris perintah
Tautan unduhan: https://github.com/vanhauser-thc/thc-hydra
42) Peringatan Monitor Reputasi:
Open Threat Exchange Reputation Monitor adalah layanan gratis. Ini memungkinkan para profesional untuk melacak reputasi organisasi mereka. Dengan bantuan alat ini, bisnis dan organisasi dapat melacak IP publik dan reputasi domain aset mereka.
Fitur:
- Memantau cloud, cloud hybrid, dan infrastruktur lokal
- Memberikan intelijen ancaman berkelanjutan untuk terus memperbarui tentang ancaman saat muncul
- Menyediakan deteksi ancaman paling komprehensif dan arahan respons insiden yang dapat ditindaklanjuti
- Menerapkan dengan cepat, mudah, dan dengan sedikit upaya
- Mengurangi TCO dibandingkan solusi keamanan tradisional
Tautan unduhan: https://cybersecurity.att.com/products/usm-anywhere/free-trial
43) John the Ripper:
John the Ripper dikenal sebagai JTR adalah alat peretas kata sandi yang sangat populer. Ini terutama digunakan untuk melakukan serangan kamus. Ini membantu mengidentifikasi kerentanan kata sandi yang lemah di jaringan. Ini juga mendukung pengguna dari serangan brute force dan rainbow crack.
Fitur:
- John the Ripper adalah perangkat lunak gratis dan Sumber Terbuka
- Modul pemeriksaan kekuatan kata sandi proaktif
- Ini memungkinkan penelusuran dokumentasi secara online
- Dukungan untuk banyak tipe hash dan cipher tambahan
- Memungkinkan untuk menelusuri dokumentasi online termasuk ringkasan perubahan antara dua versi
Tautan unduhan: https://www.openwall.com/john/
44) Pemindai Safe3:
Safe3WVS adalah salah satu alat pengujian kerentanan web yang paling kuat. Muncul dengan teknologi perayapan laba-laba web, terutama portal web. Ini adalah alat tercepat untuk menemukan masalah seperti injeksi SQL, kerentanan unggahan, dan banyak lagi.
Fitur:
- Dukungan penuh untuk otentikasi Basic, Digest dan HTTP.
- Laba-laba web cerdas otomatis menghapus halaman web yang berulang
- Penganalisis JavaScript otomatis memberikan dukungan untuk mengekstrak URL dari Ajax, Web 2.0 dan aplikasi lainnya
- Dukungan untuk memindai injeksi SQL, kerentanan upload, jalur admin, dan kerentanan daftar direktori
Tautan unduhan: https://sourceforge.net/projects/safe3wvs/files/latest/download
45) CloudFlare:
CloudFlare adalah CDN dengan fitur keamanan yang kuat. Ancaman online berkisar dari spam komentar dan perayapan bot yang berlebihan hingga serangan berbahaya seperti injeksi SQL. Ini memberikan perlindungan terhadap spam komentar, perayapan bot yang berlebihan, dan serangan jahat.
Fitur:
- Ini adalah jaringan perlindungan DDoS kelas perusahaan
- Firewall aplikasi web membantu dari kecerdasan kolektif seluruh jaringan
- Mendaftarkan domain menggunakan CloudFlare adalah cara paling aman untuk melindungi dari pembajakan domain
- Fitur Pembatasan Tarif melindungi sumber daya penting pengguna. Ini memblokir pengunjung dengan jumlah tingkat permintaan yang mencurigakan.
- CloudFlare Orbit memecahkan masalah keamanan untuk perangkat IOT
Tautan unduhan: https://www.cloudflare.com/
46) Zenmap
Zenmap adalah perangkat lunak Nmap Security Scanner resmi. Ini adalah aplikasi multi-platform gratis dan open source. Ini mudah digunakan untuk pemula tetapi juga menawarkan fitur-fitur canggih untuk pengguna berpengalaman.
Fitur:
- Tampilan hasil interaktif dan grafis
- Ini meringkas detail tentang satu host atau pemindaian lengkap dalam tampilan yang nyaman.
- Ia bahkan dapat menggambar peta topologi dari jaringan yang ditemukan.
- Ini dapat menunjukkan perbedaan antara dua pemindaian.
- Ini memungkinkan administrator untuk melacak host atau layanan baru yang muncul di jaringan mereka. Atau lacak layanan yang ada yang turun
Tautan unduhan: https://nmap.org/download.html
Alat lain yang mungkin berguna untuk pengujian penetrasi adalah
- Acunetix: Ini adalah pemindai kerentanan web yang ditargetkan pada aplikasi web. Ini adalah alat yang mahal dibandingkan dengan yang lain dan menyediakan fasilitas seperti pengujian skrip lintas situs, laporan kepatuhan PCI, injeksi SQL, dll.
- Retina: Ini lebih seperti alat manajemen kerentanan daripada alat pra-pengujian
- Nessus: Ini berkonsentrasi pada pemeriksaan kepatuhan, pencarian data sensitif, pemindaian IP, pemindaian situs web, dll.
- Netsparker: Alat ini dilengkapi dengan pemindai aplikasi web yang kuat yang mengidentifikasi kerentanan dan menyarankan solusi. Ada uji coba terbatas gratis yang tersedia tetapi sebagian besar waktu itu adalah produk komersial. Ini juga membantu untuk mengeksploitasi injeksi SQL dan LFI (Induksi File Lokal)
- Dampak Inti: Perangkat lunak ini dapat digunakan untuk penetrasi perangkat seluler, identifikasi dan pemecahan kata sandi, penetrasi perangkat jaringan, dll. Ini adalah salah satu alat mahal dalam pengujian perangkat lunak
- Burpsuite: Seperti software lainnya, software ini juga merupakan produk komersial. Ia bekerja dengan mencegat proxy, pemindaian aplikasi web, merayapi konten dan fungsionalitas, dll. Keuntungan menggunakan Burpsuite adalah Anda dapat menggunakannya di lingkungan Windows, Linux dan Mac OS X.