文件整理和分类 安全测试者偏爱的安全测试工具(3)

NetScanTools 有免费版本也有商业版本，只在 Microsoft Windows 操作系统上运行。

Web 漏洞扫描类1.Burp Suite（免费）

FreeBuf 有一系列关于 Burp Suite 的文章和公开课，受到很多人的欢迎。

Burp Suite 其实是一个平台，包含不同类型的工具，相互间有许多接口，连接便利，能加快渗透应用程序的进程。不同的工具共享相同的框架，用于显示和处理 HTTP 消息、身份验证、耐久性、日志记录、警报、代理和可扩展性。更多详情可以进入FreeBuf 公开课查看学习。

Burp Suite 需要付费，但也有免费试用版可以使用，适用于 Linux、MAC OS X 和 Windows 操作系统。

2.Nikto（免费）

Nikto 是一个开放源代码的 Web 服务器扫描程序，可以在 Web 服务器上执行超过 6700 个潜在危险文件和程序的测试。也可在超过 2700 台服务器上检查 1250 多个旧服务器的版本和特定的版本问题。此外，Nikto 还可检查服务器配置项目（如多个索引文件、HTTP 服务器选项等），还能尝试识别已安装的软件和 Web 服务器。其插件和扫描项目经常可以自动更新。

其具体功能包括 SSL 支持；完整的 HTTP 代理支持；检查过时的服务器组件；以XML、HTML、CSV 或 NBE 等各种格式保存报告；通过使用模板引擎轻松自定义报告；通过输入文件在服务器或多服务器上扫描多个端口；识别通过头文件、文件和图标识别安装的软件；使用 NTLM 和 Basic 进行主机验证；检查常见的“parking”站点；在特定时间自动暂停等等。

虽然 Nikto 并不可隐藏踪迹，却可以在尽可能快的时间内测试网络服务器，还能支持 LibWhisker 的反 IDS方法。

其实，并非所有的检查都是为了查找安全问题。但是安全工程师和网站管理员有时不知道他们的服务器上存在“仅检查信息”类型的检查。而通过使用 Nikto，这些“信息类型”的检查会在打印出的信息中标记出来，还能扫描到另一些针对日志文件中未知项目的检查。

Nikto 可免费使用。由于 Nikto 基于 perl，因此只在大多数安装了 Perl 翻译器的系统上运行。

加密类1.Gnupg PGP（免费）

GnuPG（也叫 PGP）是 Phil Zimmerman 编写的加密系统，只能通过命令行控制运行，有成千上万的安全专家使用。能帮助用户加密、签署数据与通信信息，保护数据免受风险。GnuPG 还附带一个有效的密钥管理系统，可管理所有类型的公共密钥目录。此外，GNuPG 可与 S / MIME 和Secure Shell（ssh）等多个应用程序一起使用。

GnuPG 也被视为 PGP 标准的开源实例，是 OpenPGP（也被称为 RFC4880 或 PGP）的免费版本，可在 Linux、Microsoft Windows 和 Mac OS X 上运行。

2.Keepass（免费）

Keepass 是一款开源的密码管理器，支持高级加密标准和Twofish算法，可以存储多个密码，并使用一个主密码解锁。也就是说，只需要记住一个强密码，就能记住不同账户的不同密码。使用 keepass，还能在网页表单中自动填写密码。Keepass 使用时不需要安装，因此可以用 USB 等设备携带，非常方便。此外，Keepass 还能将数据库从一台计算机传输到另一台计算机，并帮助用户生成强密码。

3.Openvpn（免费）

OpenVPN 是由 OpenVPN Technologies 开发的工具，遵循传统 VPN 原则，下载量超过 300 万次，可以让同行使用共享的密钥、用户名、密码或证书相互验证。如果用户在多客户端服务器配置环境中使用 Openvpn，则将允许服务器为每个客户端发布身份验证证书。 该工具还为用户提供了一个可扩展框架，旨在简化特定于站点的定制。