网络安全工具与资源汇总

概述

本文档整理了网络安全领域常用的开源工具与资源，涵盖渗透测试、漏洞扫描、Web攻击检测等方向，旨在为安全研究人员和开发者提供工具选择参考。所有工具均来自公开技术社区，具体功能和使用方法需结合官方文档进一步确认。

工具分类与应用场景

渗透测试框架

• Metasploit
  https://github.com/rapid7/metasploit-framework
  综合性漏洞利用框架，支持模块化攻击载荷管理。

• PowerSploit
  https://github.com/PowerShellMafia/PowerSploit
  PowerShell渗透攻击脚本集合，适用于Windows环境提权与横向移动。

• Mimikatz
  https://github.com/gentilkiwi/mimikatz
  Windows凭证提取工具，可绕过LSASS保护获取明文密码。

漏洞扫描与检测

• sqlmap
  https://github.com/sqlmapproject/sqlmap
  自动化SQL注入检测与利用工具，支持多种数据库类型。

• Nmap
  https://nmap.org/download.html
  网络发现与端口扫描工具，支持脚本扩展实现漏洞探测。

• WhatWeb
  https://github.com/urbanadventurer/WhatWeb
  Web指纹识别工具，可检测服务器配置、CMS版本等信息。

Web攻击与防御

• BeEF
  https://github.com/beefproject/beef
  浏览器攻击框架，通过JavaScript注入实现会话劫持等攻击。

• WAFNinja
  https://github.com/khalilbijjou/WAFNinja
  自动化绕过Web应用防火墙（WAF）的测试工具。

• ModSecurity
  https://github.com/SpiderLabs/ModSecurity
  开源WAF规则引擎，支持自定义防护策略。

子域名与资产发现

• subDomainsBrute
  https://github.com/lijiejie/subDomainsBrute
  基于字典的子域名爆破工具，适用于信息收集阶段。

• GoogleSSLdomainFinder
  https://github.com/We5ter/GoogleSSLdomainFinder
  利用Google SSL证书透明度数据库查询子域名。

• dnsmaper
  https://github.com/le4f/dnsmaper
  子域名枚举与地理标记工具，支持批量处理。

密码破解与弱口令检测

• LaZagne
  https://github.com/AlessandroZ/LaZagne
  本地密码提取工具，支持多种操作系统和应用程序。

• crack_ssh
  https://github.com/netxfly/crack_ssh
  基于Go语言的弱口令破解工具，支持SSH、Redis等服务。

• cupp
  https://github.com/Mebus/cupp
  生成定制化口令字典的工具，基于用户信息推测可能密码。

中间人攻击与网络嗅探

• BDFProxy
  https://github.com/secretsquirrel/BDFProxy
  中间人攻击代理工具，支持SSL剥离和会话劫持。

• MITMf
  https://github.com/byt3bl33d3r/MITMf
  可扩展的MITM框架，集成多种攻击模块。

• LANs.py
  https://github.com/DanMcInerney/LANs.py
  本地网络嗅探工具，可捕获WiFi流量并注入恶意代码。

其他实用工具

• DirSearch
  https://github.com/maurosoria/dirsearch
  Web路径扫描工具，支持自定义字典和多线程加速。

• sslscan
  https://github.com/rbsec/sslscan
  SSL/TLS协议分析工具，检测弱加密套件配置。

• F-NAScan
  https://github.com/ywolf/F-NAScan
  网络资产扫描工具，支持ICMP存活探测与端口指纹识别。

注意事项

1. 法律与伦理
   所有工具仅用于合法授权的安全测试，禁止用于非法入侵或数据窃取。

2. 环境依赖
   部分工具需配合特定运行环境（如Windows系统、Python依赖等），使用前请确认兼容性。

3. 更新与维护
   开源工具的漏洞修复和功能更新依赖社区贡献，建议定期检查官方仓库获取最新版本。

参考资源

• 在线工具：http://s.tool.chinaz.com/same
• HTTP头检测：https://tools.ipip.net/httphead.php
• Bash代码审计：http://www.aisec.cn/lab/bash.php

（注：本文档基于公开技术资料整理，工具功能描述可能随版本迭代变化，具体使用请以官方文档为准。）