一直以来就想过要总结一下有哪些常见的安全工具，但经验、水平有限也就无法成文，不过后来陆续看到了SecTools.Org Top Network Security Tools 和 余弦写的“我的渗透利器” 等技术/工具科普性文章之后，加上自己之前使用其中的一些软件/工具的经验，还是可以在他们的文章之上做一些修改，然后供自己以后参考的。

---

工具

• Wireshark
• Metasploit
• Nessus
• Aircrack/Reaver
• Snort
• AWVS
• Hydra/Medusa
• Cain and Abel（暂时还没用过）
• Netcat/lcx
• tcpdump
• John the Ripper
• BurpSuite/Fiddler
• Nikto
• Ettercap
• Sysinternals
• w3af
• wwwscan
• ……

搜索引擎/平台

• Shodan
• Exploit-db
• ZoomEye
• ……

---

by 余弦 2013

不断扩充扩充，想到哪扩充到哪。

Firefox下

1. Firebug，调试js，HTTP请求响应观察，Cookie，DOM树观察等；
2. GreaseMonkey，自己改了个Cookie修改脚本，其他同学可以用这款：Original Cookie Injector for Greasemonkey；
3. Noscript，进行一些js的阻断；
4. AutoProxy，翻墙必备；

Chrome下

1. F12打开开发者工具，功能==Firebug+本地存储观察等；
2. SwichySharp，翻墙必备；
3. Cookie修改脚本，自己写了一个Chrome扩展（已开源：Cookie利用神器：CookieHacker），其他同学可以自己到Chrome扩展搜个好用的；

前端渗透工具

1. XSS’OR，我开发的，常用其中加解密与代码生成，源码放到了这：evilcos/xssor · GitHub；
2. XSSEE 3.0 Beta，Monyer开发的，加解密最好用神器；
3. Online JavaScript beautifier，js美化工具，分析js常用；
4. 前端攻击框架，推荐BeEF及一些小伙伴开发的XSS盲打工具，我自己也有款，不过不轻易示人；

HTTP代理工具

1. Fiddler，即可，不用再寻找其他的了，其中的watcher插件可以玩玩，找漏洞的；
2. Burp Suite，神器，不仅HTTP代理，还有爬虫、漏洞扫描、渗透、爆破等功能；

漏洞扫描工具

1. AWVS，不仅漏扫方便，自带的一些小工具也好用；
2. Python自写脚本/工具，好漏洞是你用AWVS等就能发现的？洗洗睡吧；
3. Nmap，绝对不仅仅是端口扫描！几百个脚本；

漏洞利用

1. sqlmap，SQL注入利用最牛神器，没有之一；
2. Metasploit，主机渗透框架，而Web层面上的就是知道创宇里的一些好玩意了（我可能在吹牛）；
3. 一些社工平台，好的都匿了；
4. Hydra，爆破必备；

抓包工具

1. Wireshark，抓包必备；
2. tcpdump，Linux下命令行抓包，结果可以给Wireshark分析；

大数据平台

1. ZoomEye，知道创宇开放的一个网络空间搜索引擎，搜搜组件就知道：ZoomEye（钟馗之眼），可以认为我在广告；
2. SHODAN， 老外开放的一个网络空间搜索引擎，搜搜主机设备就知道：SHODAN – Computer Search Engine；
3. Google，：）

更多自己看看Kali Linux（老的是：BackTrack）。

节省生命推荐：熟练Linux众多命令+Vim。

---

一些参考性文章/资料：

• Evi1m0: 书籍推荐
• Evi1m0: 安全类网站推荐
• 现在大部分网站容易被入侵吗？ – 知乎
• 知道创宇研发技能表v2.2 2014/3/9
• IT Security Training & Resources by InfoSec Institute
• /r/netsec – Information Security News & Discussion