La nostra cassetta degli attrezzi
Gli strumenti per mettere alla prova la tua struttura informatica sono tantissimi, ognuno con i suoi pregi e i suoi difetti. In questa pagina trovi tutti i programmi che servono per effettuare i test di tenuta della tua rete prima che lo facciano gli hacker cattivi.
Hai trovato uno strumento anche tu? Scrivici, lo inseriremo in questa lista
Contattaci
Aircrack-ng è una suite completa di strumenti per valutare la sicurezza della rete WiFi.
Aquatone è uno strumento per l'ispezione visiva dei siti Web su una grande quantità di host ed è utile per ottenere rapidamente una panoramica della superficie di attacco basata su HTTP.
Binwalk è uno strumento veloce e facile da usare per l'analisi, il reverse engineering e l'estrazione di immagini del firmware.
Burp Suite è un insieme di strumenti utilizzati per i test di penetrazione delle applicazioni web. È sviluppato dalla società denominata Portswigger, che è anche l'alias del suo fondatore Dafydd Stuttard. BurpSuite mira a essere un insieme di strumenti tutto in uno e le sue capacità possono essere migliorate installando componenti aggiuntivi chiamati BApp.
Profiler password utente comune
DIRB è uno scanner di contenuti Web. Cerca oggetti Web esistenti (e/o nascosti). Funziona fondamentalmente lanciando un attacco basato su dizionario contro un server web e analizzando la risposta.
Docker elimina le attività di configurazione ripetitive e banali e viene utilizzato durante tutto il ciclo di vita dello sviluppo per lo sviluppo di applicazioni veloce, facile e portatile, desktop e cloud. La piattaforma end-to-end completa di Docker include interfacce utente, CLI, API e sicurezza progettate per funzionare insieme durante l'intero ciclo di vita della distribuzione delle applicazioni.
Foremost è un programma Linux per recuperare i file in base alle loro intestazioni e piè di pagina. Foremost può lavorare su file immagine, come quelli generati da dd, Safeback, Encase, ecc., o direttamente su un'unità. Le intestazioni e i piè di pagina sono specificati da un file di configurazione, quindi puoi scegliere quali intestazioni vuoi cercare.
FuzzDB è stato creato per aumentare la probabilità di trovare vulnerabilità della sicurezza delle applicazioni attraverso test dinamici della sicurezza delle applicazioni. È il primo e più completo dizionario aperto di modelli di iniezione di errori, posizioni prevedibili delle risorse e espressioni regolari per la corrispondenza delle risposte del server.
GoLismero è un framework open source per i test di sicurezza. Attualmente è orientato alla sicurezza web, ma può essere facilmente esteso ad altri tipi di scansioni.
L'utility di recupero password più veloce e avanzata al mondo
Holehe controlla se un'e-mail è allegata a un account su siti come twitter, instagram, imgur e più di altri 120.
Il numero uno dei maggiori buchi di sicurezza sono le password, come dimostra ogni studio sulla sicurezza delle password.
IDA come disassemblatore è in grado di creare mappe della loro esecuzione per mostrare le istruzioni binarie che vengono effettivamente eseguite dal processore in una rappresentazione simbolica (linguaggio assembly).
John the Ripper è un cracker di password veloce, attualmente disponibile per molte versioni di Unix, macOS, Windows, DOS, BeOS e OpenVMS (quest'ultimo richiede una patch fornita). Il suo scopo principale è rilevare password Unix deboli. Oltre a diversi tipi di hash di password crypt(3) che si trovano più comunemente su varie versioni di Unix, supportati immediatamente sono gli hash Kerberos/AFS e Windows LM, nonché i tripcode basati su DES, oltre a centinaia di hash e cifre aggiuntivi in "-jumbo " versioni.
Lo strumento LES è progettato per aiutare a rilevare le carenze di sicurezza per una determinata macchina basata su kernel Linux/Linux.
Il framework di test di penetrazione più utilizzato al mondo
Nmap ("Network Mapper") è uno strumento gratuito e open source per il rilevamento della rete e il controllo della sicurezza. Molti sistemi e amministratori di rete lo trovano utile anche per attività come l'inventario della rete, la gestione dei programmi di aggiornamento dei servizi e il monitoraggio dell'host o del tempo di attività del servizio. Nmap utilizza i pacchetti IP grezzi in nuovi modi per determinare quali host sono disponibili sulla rete, quali servizi (nome e versione dell'applicazione) offrono tali host, quali sistemi operativi (e versioni del sistema operativo) sono in esecuzione, che tipo di filtri/firewall di pacchetti sono in uso, e dozzine di altre caratteristiche. È stato progettato per scansionare rapidamente reti di grandi dimensioni, ma funziona bene anche sui singoli host
OpenSSL è un toolkit Open Source robusto, di livello commerciale e completo di tutte le funzionalità per il protocollo Transport Layer Security (TLS) precedentemente noto come protocollo Secure Sockets Layer (SSL). L'implementazione del protocollo si basa su una libreria crittografica generica a piena potenza, che può essere utilizzata anche autonomamente.
OpenVAS è uno scanner di vulnerabilità completo. Le sue capacità includono test non autenticati e non autenticati, vari protocolli Internet e industriali di alto e basso livello, ottimizzazione delle prestazioni per scansioni su larga scala e un potente linguaggio di programmazione interno per implementare qualsiasi tipo di test di vulnerabilità.
Osmedeus ti consente di eseguire automaticamente la raccolta di fantastici strumenti per la ricognizione e la scansione delle vulnerabilità contro il bersaglio.
Il progetto radare è iniziato come un semplice editor esadecimale da riga di comando incentrato sulla medicina legale, nel tempo sono state aggiunte più funzionalità per supportare uno strumento di basso livello da riga di comando con script per modificare da dischi rigidi locali, memoria del kernel, programmi, server gdb remoti ed essere in grado per analizzare, emulare, eseguire il debug, modificare e disassemblare qualsiasi binario.
Scanner delle vulnerabilità web multi-strumento
Scapy è un potente programma e libreria di manipolazione dei pacchetti di rete interattivi basati su Python.
Dai la caccia agli account dei social media in base al nome utente sui social network
SMBRelay è uno script di attacco SMB Relay Attack, che automatizza tutti i passaggi per inoltrare la richiesta di autenticazione a questi sistemi al fine di ottenere una shell. Ideale per test di penetrazione.
Snort è il principale sistema di prevenzione delle intrusioni (IPS) Open Source al mondo. Snort IPS utilizza una serie di regole che aiutano a definire l'attività di rete dannosa e utilizza tali regole per trovare i pacchetti che corrispondono a loro e genera avvisi per gli utenti.
Interfaccia a riga di comando per testare la larghezza di banda Internet utilizzando speedtest.net
SpiderFoot è uno strumento di automazione di intelligenza open source (OSINT). Si integra con quasi tutte le fonti di dati disponibili e utilizza una gamma di metodi per l'analisi dei dati, rendendoli facili da navigare.
sqlmap è uno strumento di test di penetrazione open source che automatizza il processo di rilevamento e sfruttamento dei difetti di SQL injection e il controllo dei server di database. Viene fornito con un potente motore di rilevamento, molte funzionalità di nicchia per il tester di penetrazione definitivo e un'ampia gamma di opzioni tra cui il fingerprinting del database, il recupero dei dati dal database, l'accesso al file system sottostante e l'esecuzione di comandi sul sistema operativo tramite out- connessioni di banda.
Suite scanner SSL
StalkPhish è uno strumento creato per la ricerca nei database OSINT gratuiti di URL specifici di kit di phishing. Inoltre, StalkPhish è progettato per provare a trovare fonti di kit di phishing.
Steghide è un programma di steganografia in grado di nascondere i dati in vari tipi di file immagine e audio. Le frequenze di campionamento, rispettivamente, del colore non vengono modificate, rendendo così l'incorporamento resistente ai test statistici di prim'ordine.
Sublist3r è uno strumento Python progettato per enumerare sottodomini di siti Web utilizzando OSINT. Aiuta i tester di penetrazione e i cacciatori di bug a raccogliere e raccogliere sottodomini per il dominio che stanno prendendo di mira. Sublist3r enumera i sottodomini utilizzando molti motori di ricerca come Google, Yahoo, Bing, Baidu e Ask. Sublist3r enumera anche i sottodomini utilizzando Netcraft, Virustotal, ThreatCrowd, DNSdumpster e ReverseDNS.
theHarvester è uno strumento molto semplice da usare, ma potente ed efficace, progettato per essere utilizzato nelle prime fasi di un test di penetrazione o di un coinvolgimento del team rosso. Usalo per la raccolta di informazioni sull'open source (OSINT) per aiutare a determinare il panorama delle minacce esterne di un'azienda su Internet. Lo strumento raccoglie e-mail, nomi, sottodomini, IP e URL utilizzando più origini dati pubbliche
Un semplice script per lo screenshot di un elenco di siti Web, basato sullo script PhantomJS da URL a immagine.
Wfuzz è stato creato per facilitare il compito nelle valutazioni delle applicazioni web e si basa su un concetto semplice: sostituisce qualsiasi riferimento alla parola chiave FUZZ con il valore di un determinato payload.
L'analizzatore di protocollo di rete più diffuso e diffuso al mondo. Ti consente di vedere cosa sta succedendo sulla tua rete a livello microscopico ed è lo standard de facto (e spesso de jure) in molte imprese commerciali e senza scopo di lucro, agenzie governative e istituzioni educative.
WPScan è uno scanner di sicurezza WordPress black box gratuito, per uso non commerciale, scritto per professionisti della sicurezza e manutentori di blog per testare la sicurezza dei loro siti.
XRay è uno strumento per la raccolta di OSINT in rete, il suo obiettivo è rendere automatici alcuni dei compiti iniziali di raccolta delle informazioni e mappatura della rete.
L'OWASP Zed Attack Proxy (ZAP) è uno degli strumenti di sicurezza gratuiti più popolari al mondo ed è gestito attivamente da un team internazionale di volontari dedicati. Può aiutarti a trovare automaticamente le vulnerabilità della sicurezza nelle tue applicazioni web mentre sviluppi e collaudi le tue applicazioni. È anche un ottimo strumento per i pentester esperti da utilizzare per i test di sicurezza manuali.
I criminali informatici sanno anche altre informazioni su di te
Scopri quali scegliendo uno dei servizi qui sotto!