您公司的IT 系统需要具体的证据来证明您的在线业务受到安全保护,免受各种类型的网络攻击,尤其是暴力攻击。
内容 隐藏
1 什么是暴力攻击?
2 为什么需要渗透测试工具?
2.1 戈巴斯特
2.2 暴力破解
2.3 目录搜索
2.4 幼稚
2.5 单边带
2.6 四氢呋喃
2.7 打嗝套件
2.8 帕塔特
2.9 pydictor
2.10 破解
2.11 哈希猫
3 结论
3.1 相关出版物:
什么是暴力攻击?
暴力攻击是最危险的网络攻击之一,您可以轻松应对!阿塞拜疆电话号码库
暴力攻击的目标是您网站或设备安全的核心、您的登录密码或加密密钥。她通过不断的尝试和错误,果断地探索它们。
暴力破解的方法多种多样,主要有:
混合暴力攻击:暴力破解或注入数千个预期单词和字典单词,甚至随机单词。
暴力破解:试图通过详尽的研究获得推导出密码的密钥。
为什么我们需要渗透测试工具?
为了实现这一目标, 攻击者使用各种工具。您可以使用这些工具本身来执行渗透测试的强力攻击。这种类型的测试也称为“渗透测试”或“渗透测试”。渗透测试是尝试使用与黑客相同的方法闯入您自己的 IT 系统的做法。这使您可以识别任何安全漏洞。
注意:以下工具可以生成许多只能在您的应用程序环境中运行的查询。
戈巴斯特
Gobuster 是最强大、最快速的暴力破解工具之一,无需执行时间。它使用用Go 编写的目录扫描器;它比解释脚本更快、更灵活。
特点
Gobuster 还以其惊人的并行支持而闻名,这使其能够在保持处理速度的同时处理多个任务和扩展。
一个没有 Java GUI 的轻量级工具,只能在许多平台上的命令行上运行。
内置帮助。
模式
dir - 处理目录的经典模式
dns - DNS 子域模式
s3 - 枚举打开的 S3 存储桶,搜索是否存在和存储桶列表
vhost——虚拟主机模式
然而,它有一个缺点——无法在目录中递归搜索,这降低了它对多级目录的有效性。
暴力X
BruteX 是一款优秀的开源通用暴力破解工具。
开放端口
用户名
密码
使用系统地选择大量可能的密码的功能。包括许多从其他工具(例如Nmap、 Hydra 和 DNS enum )编译的服务。这允许您扫描开放端口、运行FTP、SSH搜索并自动确定目标服务器正在运行的服务。
迪尔搜索
Dirsearch 是一种基于命令行的高级强力工具。它是一个网站路径扫描仪,可以遍历网络服务器上的目录和文件。
Dirsearch 最近成为官方 Kali Linux软件包的一部分,但它也可以在Windows、Linux 和 macOS 上运行。它是用Python编写的,可以轻松地与现有项目和脚本兼容。它也比传统的 DIRB 工具快得多,并且包含更多功能。
代理支持
多线程
用户代理随机化
多种扩展支持
扫描仪竞技场
请求延迟
对于递归扫描,Dirsearch 是赢家。它返回并四处爬行,寻找任何其他目录。除了速度和简单性之外,这对于任何渗透测试仪来说都是最好的暴力破解方法。
卡洛
Callow 是一个方便且可定制的暴力登录工具。用 python 3 编写。它的设计考虑了初学者的需求和情况。它提供了灵活的用户实验,方便错误处理,特别是对于初学者来说,可以轻松理解、直观理解。
单边带
Secure Shell Bruteforcer (SSB) 是暴力破解 SSH 服务器最快、最简单的工具之一。
]
与其他 SSH 服务器密码破解工具不同,使用安全的 SSB shell 可以为您提供正确的界面。
钍-九头蛇
Hydra 是 Linux 或 Windows/Cygwin 上使用的最著名的登录黑客工具之一。也适用于 Solaris、FreeBSD/OpenBSD、QNX (Blackberry 10) 和 macOS。支持多种协议,如 AFP、HTTP-FORM-GET、HTTP-GET、HTTP-FORM-POST、HTTP-HEAD、HTTP-PROXY 等。 Hydra默认安装在 Kali Linux 上,有命令行版本和图形版本。它可以使用暴力破解一个或一组用户名/密码。
此外,它是一个并行、非常快速且灵活的工具,允许您远程监控未经授权访问您的系统的可能性。其他几个登录黑客工具也用于相同的功能,但只有 Hydra 支持许多不同的协议和并行连接。
打嗝套件
Burp Suite Professional 是 Web 安全测试人员的必备工具包,具有快速且强大的功能。此外,它还可以自动执行单调的测试任务。此外,它是由专家开发的,用于手动和半自动安全测试。许多专家用它来测试十大OWASP漏洞。
Burp 提供了许多独特的功能,从增加扫描覆盖范围到将其设置为深色模式。它可以测试/扫描功能丰富的现代Web 应用程序、JavaScript 、 API测试。这是一个真正为测试服务而创建的工具,而不是像许多其他工具一样用于黑客攻击。因此,它记录复杂的身份验证序列并编写报告供最终用户直接使用。
它的优点是允许带外应用程序安全测试(OAST),可以检测到许多其他人看不到的隐形漏洞。另外,这是使用 PortSwigger Research 的第一个好处,可以让您处于领先地位。
帕塔托
Patator 是一种强力工具,可在模块化设计中实现多用途和灵活使用。它似乎是出于使用其他一些工具和攻击脚本来猜测密码的本能挫败感。帕塔特正在采取新的方法来避免重蹈覆辙。
Patator 用 Python 编写,是一款多线程工具,旨在以比其祖先更灵活、更强大的方式提供渗透测试服务。它支持许多模块,包括以下模块。
文件传输协议
SSH
MySQL
邮件传输协议
远程登录
域名系统
中小企业
IMAP
LDAP
登录
压缩文件
Java 密钥库文件
皮迪克特
Pydictor是另一个强大的字典破解工具。当涉及到检查密码长度和强度时,新手和专业人士都会感到困惑。这是攻击者的武器库中离不开的工具。此外,它还具有丰富的功能,可让您在任何测试情况下享受真正强大的性能。
Constant Helper:允许您创建通用单词列表、社会工程单词列表、使用网页内容的自定义单词列表等。另外,它还包含一个过滤器,可以帮助您集中单词列表。
高度可定制:您可以使用长度过滤器、leet 模式和其他功能自定义词典属性以满足您的需求。
灵活性和兼容性:能够解析配置文件,可以在Windows、Linux或Mac上流畅运行。
Pydictor 词典
数字词典
按字母顺序排列的词典
大写字母字典
数字字典与大写字母字典相结合
大写字母与小写字母组合
数字与小写字母组合
大写字母、小写字母和数字的组合
添加静态头
字典复杂度过滤器操作
裂纹
Ncrack是一款高速网络黑客工具。它专为公司设计,帮助他们检查网络设备是否存在弱密码。许多安全专家推荐使用Ncrack来审计系统网络的安全性。它作为独立工具或作为 Kali Linux 的一部分发布。
得益于其模块化方法和动态引擎,通过命令行开发的 Ncrack 可以根据网络反馈改变其行为。它可以同时对许多主机执行强大的广泛审核。
Ncrack 的功能不仅限于灵活的接口,还为用户提供对网络操作的完全控制。这允许极其复杂的暴力攻击、运行时交互和计时模式,使其更易于使用,例如 Nmap。
支持的协议包括 SSH、RDP、FTP、Telnet、HTTP(S)、WordPress、POP3(S)、IMAP、CVS、SMB、VNC、SIP、Redis、PostgreSQL、MQTT、MySQL、MSSQL、MongoDB、Cassandra、WinRM、OWA和 DICOM,使其能够广泛应用于各个行业。
哈希猫
Hashcat 是一个密码恢复工具。它可以在 Linux、OS X 和 Windows 上运行,并支持许多 Hashcat 算法,例如 MD4、MD5、SHA 系列、LM 哈希和 Unix Crypt 格式。
Hashcat 因其优化而广为人知,这在一定程度上取决于Hashcat 的创建者开放的软件。
Hashcat 有两个选项:
基于CPU的密码恢复工具
基于GPU的密码恢复工具
基于 GPU 的工具可以比基于 CPU 的工具(MD5、SHA1 等)在更短的时间内破解一些 Hashcat 算法。但并不是所有算法都可以使用 GPU 更快地破解。然而,Hashcat 被描述为世界上最快的密码破解程序。
结论
经过详细概述后,您现在拥有了多样化的工具库。针对您面临的每种情况和情况选择最适合您的方法。没有理由相信替代方案不是多种多样的。在某些情况下,最简单的工具就是最好的,而在其他情况下,情况恰恰相反。