观众老爷们,帮忙点点关注、点点赞、点点在看,抱拳了!
说起来就是一声长叹啊家人们,大部分时候我们想找一个称心如意(至少不要修改太多)的开源、免费工具都有点费劲...
废话少说,我们一部分一部分的看,先看第一部分,OWSAP 全家桶!
OWSAP 全家桶
核心项目:
**OWASP Top Ten:**介绍网络应用面临的十大主要安全风险,链接:
https://owasp.org/www-project-top-ten/
**OWASP Juice Shop:**用于安全培训、展现不安全的应用,链接:
https://owasp.org/www-project-juice-shop/
**OWASP ZAP (Zed Attack Proxy):**渗透测试工具,扫漏洞的,非常好用,插件齐全社区活跃,链接:
https://www.zaproxy.org/
**OWASP Dependency Check:**做 SCA 的工具,检测项目依赖项和漏洞,也是很好用:
https://owasp.org/www-project-dependency-check/
**OWASP ASVS (Application Security Verification Standard):**用于 Web App 安全的测试框架,链接:
https://owasp.org/www-project-application-security-verification-standard/
**OWASP Mobile Security Testing Guide:**移动应用安全测试指南(或者说标准?),链接:
https://owasp.org/www-project-mobile-app-security/
**OWASP Web Security Testing Guide:**提供了针对 Web App 的安全测试标准指南,链接如下:
https://owasp.org/www-project-web-security-testing-guide/
**OWASP SAMM (Software Assurance Maturity Model):**评估和改善软件安全的成熟度模型,链接如下:
https://owasp.org/www-project-samm/
差不多就这些核心项目,但是只有上面这些明显是不够用的,OWSAP 还收集了很多开源免费或者仅免费的项目供咱们使用!
OWSAP 收集的漏洞扫描工具
直接放上链接:
https://owasp.org/www-community/Vulnerability_Scanning_Tools
不过 OWSAP 提前甩完锅了,他们说:
OWASP does not endorse any of the Vendors or Scanning Tools by listing them in the table below.
哈哈哈,意思是就是 OWSAP 只是负责收集,而不代表他们真的认可这些工具,工具列表我属实放不了,因为实在是太多了:
目测至少一百多个,上面截图只是一部分!
除此之外,还有!
源码分析工具
上链接:
https://owasp.org/www-community/Source_Code_Analysis_Tools
又是一大陀:
还有吗?那必须还有呀!
API 安全工具
链接:
https://owasp.org/www-community/api_security_tools
不放截图了,大家自己去列表里面找找吧,全是免费或者开源且免费的工具。
最后再放一个合集吧:
https://owasp.org/www-community/Free_for_Open_Source_Application_Security_Tools
这个合集里面有 SAST DAST IAST 等等。
后记
做安全真的需要很多钱吗?应该说一定需要很多资源,但这些资源的表现形式不一定是钱,前面我说过如何攒一套免费零信任套件,也说过怎么免费搞钓鱼演练,也有如何低成本快速通过合规等等,在我看来安全更多的是意识吧,想不想搞好很重要,抱着找一个安全部门做背锅侠的心态一定会出大事的,轻则被D,重则丢数据。
点点赞 点点关注 点点文末广告 抱拳了家人们
创作不易
关注一下
帮忙点点文末广告