大家好啊，我是大田。

今天歸納一下安全測試工具，分別用這些工具做哪些工作。自動化測試人員、功能測試人員平常可能用的不多，但是面試時也需要準備，需要知道安全測試工具有什么，還要關注現(xiàn)在有哪些漏洞。本篇先歸納整理安全測試工具。

1、AppScan

一款安全漏洞掃描工具，支持Web和移動，現(xiàn)在安全測試做漏洞掃描非常適用，它相當干是"探索"和"測試"的過程，最終生成很直觀的測試報告，有助于研發(fā)人員分析和修復通常安全測試工具用這個，掃描一些安全漏洞，用起來比較方便，網(wǎng)上資料比較多，適合很多測試同學用，資料廣闊，大家可以嘗試下。

2、Burp Suite

一款信息安全從業(yè)人員必備的集成型的滲透測試工具，它采用自動測試和半自動測試的方式，包含了

Proxy、Spider、Scanner、Intruder、Repeater、Sequencer、Decoder、Comparer 等工具模塊；Proxy 功能可以攔截?HTTP/S 的代理服務器(手機和web)；Spide功能-智能感應的網(wǎng)絡爬蟲；Intruder 功能可以對 web 應用程序進行自動化攻擊等，非常適合做安全測試，通過攔截 HTTP/HTTPS 的 web 數(shù)據(jù)包，充當瀏覽器和相關應用程序的中間人，進行攔截，修改，重放數(shù)據(jù)包進行測試，是 web 安全人員的一把必備的瑞十軍刀。

3、Nmap

一個網(wǎng)絡連接端掃描軟件，用來掃描網(wǎng)上電腦開放的網(wǎng)絡連接端。確定哪些服務運行在哪些連接端，并且推斷計算機運行哪個操作系統(tǒng)(這是亦稱 fingerprinting)。

4、sqlmap

一個開源的滲透測試工具，可以用來進行自動化檢測，利用SOL注入漏洞，獲取數(shù)據(jù)庫服務器的權限。它具有功能強大的檢測引擎,針對各種不同類型數(shù)據(jù)庫的滲透測試的功能選項，包括獲取數(shù)據(jù)庫中存儲的數(shù)據(jù)，訪問操作系統(tǒng)文件甚至可以通過外帶數(shù)據(jù)連接的方式執(zhí)行操作系統(tǒng)命令。

5、OpenVAS

一個開放式漏洞評估系統(tǒng)，也可以說它是一個包含著相關工具的網(wǎng)絡掃描器。其核心部件是一個服務器，包括一套網(wǎng)絡漏洞測試程序，可以檢測遠程系統(tǒng)和應用程序中的安全問題。OpenVas 服務端只允許安裝在 Linux 系統(tǒng)上。

6、ZAP

ZAP 是世界上最受歡迎的免費安全審計工具之一，由數(shù)百名國際志愿者積極維護。它 可以幫助您在開發(fā)和測試應用程序時自動查找Web應用程序中的安全漏洞。

全文完，如果喜歡，就點個贊