| FindBugs | 工具及指导书下载:findbugs.sourceforge.net/ FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析 | findbugs.sourceforge.net/ |
| SpotBugs | SpotBugs是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。 | spotbugs.github.io/ |
| cppcheck | C/C++源代码检查工具,用于发现一些潜在的安全风险 | cppcheck.sourceforge.io/ |
| Bandit | Python源代码扫描工具 | pypi.org/project/ban… |
| SonarQube社区版 | 代码漏洞扫描工具,支持java,JS等十几种语言。如果使用SonarQube软件,请将软件升级到最新版本,并更改默认配置,非必要不将SonarQube软件部署在互联网上,避免源码泄露的风险。 | www.sonarqube.org/ |
| Nessus | Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件,支持Windows XP/7, Linux, Mac OS X, Sun Solaris。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。 | www.tenable.com/downloads/n… |
| Nexpose | 操作系统漏洞扫描 | www.rapid7.com/products/ne… |
| Openvas | OpenVAS是开放式漏洞评估系统,也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器,包括一套网络漏洞测试程序,可以检测远程系统和应用程序中的安全问题 | www.openvas.org/ |
| Xsecure-DBScan | 数据库漏洞扫描工具 | www.dbsec.cn/ |
| OWASP Dependency-Check | 扫描JAR包中的已知第三方漏洞 | owasp.org/www-project… |
| BurpSuite | BurpSuite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 | portswigger.net/burp |
| AppScan | 业界知名WEB漏洞扫描工具 | www.ibm.com/security/ap… |
| AcunetixWVS | WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。 | www.acunetix.com/vulnerabili… |
| SqlMap | SQL注入自动化测试工具 | github.com/sqlmapproje… |
| SOAPUI | SoapUI是一个开源测试工具,通过soap/Http来检查、调用、实现Web Service的功能 官网的指导书:www.soapui.org/soapui-proj… | www.soapui.org/ |
| Nmap | 端口扫描工具 | nmap.org/ |
| Fossid | 一款开源代码检测和管理工具,用于对产品代码进行扫描,能够全面、准确、高效的发现用户代码库中的开源代码及其风险。支持代码组件、代码文件、代码片段级别的扫描和匹配 | fossid.com/ |
| 黑鸭blackduck | Black duck (黑鸭软件)是一款对源代码进行扫描、审计和代码管理的软件工具。软件分别有protex、Codecenter、和Export三个产品组成, | www.blackducksoftware.com/ |
| Wireshark | Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 使用手册请参考:www.wireshark.org/docs/wsug_h… | www.wireshark.org/ |
| scapy | scapy是一个可用于网络嗅探的非常强大的第三方库。它可以用来做packet嗅探和伪造packet。 已经在内部实现了大量的网络协议。(DNS,ARP,IP,TCP,UDP等等) 可以用它来编写非常灵活实用的工具。 | github.com/secdev/scap… |
