一、网站:
http://www.2cto.com
http://www.metasploit.cn/forum.php
http://www.freebuf.com
http://www.91ri.org/
二、工具:
1.信息收集
whois,dig,nslookup
2.端口/服务信息收集:
nmap,thc-amap
应用信息收集:
httprint,SIPSCAN,smap
3.漏洞扫描:
系统扫描: 绿盟极光(RSAS),启明天境,Nessus,SSS,Retina
web应用扫描: AppScan,Acunetix Web Vulnerability Scanner
数据库工具: Shadow Database Scanner,NGSS Quirrel
4.漏洞利用:
针对系统:
metasploit \ Core Impact \ CANVAS \ Exploitation_Framework
针对WEB应用:
NBSI,OWASP SQLiX,SQL Power Injector,sqlDumper,sqlninja,sqlmap,Sqlbftools,priamos,ISR-sqlget
针对数据库:
thc-orakel, tnscmd, oscanner, Getsids, TNSLSNR, lsnrcheck, OAT, Checkpwd, orabf
db2utils
关于web安全测试:
(1)枚举(Enumeration): DirBuster, http-dir-enum, wget
(2)基于代理测试类工具:paros, webscarab, Burp Suite
(3)针对WebService测试的部分有一些工具,如:wsbang,wschess,wsmap,wsdigger,wsfuzzer。
(4)在针对无线环境的攻击有:WifiZoo
5.权限提升:
6.密码破解:
thc-hydra,brutus
在线工具:
http://md5.neeao.com/
http://www.cmd5.com/
默认账号:
http://www.routerpasswords.com/
http://www.phenoelit-us.org/dpl/dpl.html
7.日志清除