+- Team IT Security Kid2elite (https://forum.tsecurity.de)
+-- Forum: Technisches (https://forum.tsecurity.de/forumdisplay.php?fid=5)
+--- Forum: Penetrationstests (https://forum.tsecurity.de/forumdisplay.php?fid=10)
+--- Thema: Tool-Sammlung für Pentester / Pentesting (2024) (/showthread.php?tid=22)
Tool-Sammlung für Pentester / Pentesting (2024) - lakandor - 11.10.2024
Webanwendungs-Penetrationstesting
Burp Suite Pro: Ein umfassendes Werkzeug zur Überprüfung der Sicherheit von Webanwendungen, das sowohl manuelle als auch automatisierte Angriffsmöglichkeiten bietet.
OWASP ZAP: Ein Open-Source-Tool zur automatisierten Überprüfung von Webanwendungen auf Schwachstellen.
Nmap: Ein Netzwerk-Scanner, der zum Identifizieren von Hosts und Diensten in einem Netzwerk verwendet wird.
Nikto: Ein Open-Source-Webserver-Scanner, der nach bekannten Schwachstellen in Webservern sucht.
Acunetix: Ein kommerzielles Werkzeug zum automatischen Auffinden von Schwachstellen in Webanwendungen.
HCL-AppScan: Ein kommerzielles Tool zur statischen und dynamischen Analyse von Webanwendungen.
Wfuzz: Ein flexibles Web-Fuzzing-Tool zur automatisierten Überprüfung von Webanwendungen auf Schwachstellen.
SQLMap: Ein Open-Source-Tool zur automatischen Erkennung und Ausnutzung von SQL-Injection-Schwachstellen.
Amass: Ein Open-Source-Tool zum Sammeln von Informationen (OSINT), um Subdomains und andere Informationen über ein Ziel zu finden.
Netsparker: Ein kommerzielles Werkzeug zum automatischen Auffinden von Schwachstellen in Webanwendungen.
Fortify-WebInspect: Ein kommerzielles Tool zur statischen und dynamischen Analyse von Webanwendungen.
Mobile App Penetrationstesting
MobSF: Ein mobiles Sicherheitsframework für die statische und dynamische Analyse von Android- und iOS-Anwendungen.
Frida: Ein dynamisches Instrumentierungs-Toolkit für Android- und iOS-Anwendungen.
APKTool: Ein Werkzeug zum Reverse-Engineering von Android-Anwendungen.
jadx: Ein Java-Decompiler, der hauptsächlich für Android-Anwendungen entwickelt wurde.
Magisk Root: Ein Rooting-Tool für Android-Geräte.
APKK: Ein Werkzeug zum Inspizieren und Modifizieren von Android-APK-Dateien.
AndroidStudio/Genymotion: Entwicklungsumgebungen für Android-Anwendungen.
Drozer: Ein Werkzeug zur Interaktion mit Android-Geräten und -Anwendungen.
mitmproxy: Ein Man-in-the-Middle-Proxy zum Abfangen und Modifizieren von Netzwerkverkehr.
objection: Ein leistungsstarkes Framework zur Interaktion mit mobilen Anwendungen.
adb: Android Debug Bridge zur Interaktion mit Android-Geräten.
Cycript: Eine Skriptsprache für iOS-Anwendungen.
iOS Hook: Ein Werkzeug zum Haken in iOS-Anwendungen.
Needle: Ein Werkzeug zur Interaktion mit iOS-Anwendungen.
class-dump: Ein Werkzeug zum Ausgeben von Objective-C-Klasseninformationen aus iOS-Anwendungen.
Objection Mobile Assistant: Eine grafische Benutzeroberfläche für Objection.
SSL kill Switch: Ein Werkzeug zum Deaktivieren von SSL/TLS in iOS-Anwendungen.
iMazing: Ein Werkzeug zum Verwalten von iOS-Geräten.
API Penetrationstesting
Postman: Ein beliebtes Werkzeug für die Entwicklung und das Testen von APIs.
Insomnia: Ein plattformübergreifender API-Client zum Entwerfen, Entwickeln und Testen von APIs.
42Crunch API Security: Eine Plattform für API-Sicherheitstests und -Management.
Swagger Inspector: Ein Werkzeug zum Testen und Debuggen von RESTful-APIs.
Kite Runner: Ein Werkzeug zum Testen der API-Sicherheit.
SecApps Intercept: Ein Werkzeug zum Abfangen und Modifizieren von API-Verkehr.
Secure Code Review
SonarQube: Eine Plattform für Codequalität und Sicherheitsanalyse.
Snyk: Ein Werkzeug zum Erkennen und Beheben von Schwachstellen im Code.
Semgrep: Ein statisches Analysetool zum Auffinden von Sicherheitsschwachstellen im Code.
Checkmarx: Eine kommerzielle Code-Analyse-Plattform.
Veracode: Eine kommerzielle Code-Analyse-Plattform.
Fortify-WebInspect Audit: Ein Code-Analyse-Tool für Webanwendungen.
CodeQL: Eine Code-Analyse-Engine zum Auffinden von Sicherheitsschwachstellen.
Bandit: Ein Werkzeug zum Auffinden gängiger Sicherheitsschwachstellen in Python-Code.
FindBugs: Ein Werkzeug zum Auffinden von Fehlern in Java-Code.
GitLeaks: Ein Werkzeug zum Erkennen von Datenlecks in Git-Repositories.
Thick Client Penetrationstesting
Fiddler: Ein Web-Debugging-Proxy.
dnSpy: Ein .NET-Debugger.
IDA Pro: Ein Disassembler und Debugger für Windows, Mac OS und Linux.
Ghidra: Ein Software-Reverse-Engineering-Tool.
Process Explorer: Ein Werkzeug zum Anzeigen laufender Prozesse unter Windows.
CFF Explorer: Ein Werkzeug zur Analyse von PE-Dateien.
OllyDbg: Ein Debugger für Windows.
x64dbg: Ein Debugger für 64-Bit-Windows.
Wireshark: Ein Netzwerkprotokoll-Analysator.
Netzwerk-Penetrationstesting
Nmap: Ein Netzwerk-Scanner, der zum Identifizieren von Hosts und Diensten in einem Netzwerk verwendet wird.
Wireshark: Ein Netzwerkprotokoll-Analysator.
Metasploit Framework: Ein Framework zur Entwicklung und Ausführung von Exploits.
Nessus: Ein Schwachstellen-Scanner.
OpenVAS: Ein Schwachstellen-Scanner.
Responder: Ein Werkzeug zum Ausnutzen von Schwachstellen in Windows-Netzwerken.
CrackMapExec: Ein Werkzeug zum Knacken von Passwörtern.
BloodHound: Ein Werkzeug zur Visualisierung von Active Directory-Domänen.
Netcat: Ein vielseitiges Netzwerk-Dienstprogramm.
Bettercap: Ein leistungsstarkes Netzwerk-Erfassungs- und Manipulations-Tool.
Cloud-Sicherheit
Prowler: Ein Framework zur Prüfung von AWS-Umgebungen.
ScoutSuite: Eine Cloud-Sicherheitsbewertungsplattform.
CloudSploit: Eine Cloud-Sicherheitsbewertungsplattform.
Pacu: Ein PowerShell-Skript für Post-Exploitation-Operationen auf AWS.
SteamPipe: Ein Werkzeug zum Aufzählen von AWS-Ressourcen.
CloudMapper: Ein Werkzeug zum Mapping von AWS-Ressourcen.
NCC Group Scout: Eine Cloud-Sicherheitsbewertungsplattform.
kube-bench: Ein Werkzeug zum Benchmarking von Kubernetes-Sicherheitsbestpractices.
Container-Sicherheit
Trivy: Ein Schwachstellen-Scanner für Container und Kubernetes.
Aqua Microscanner: Ein Container-Schwachstellen-Scanner.
Falco: Ein Laufzeit-Sicherheitsagent für Container.
Sysdig: Eine Container-Monitoring- und Sicherheitsplattform.
Snyk: Ein Werkzeug zum Erkennen und Beheben von Schwachstellen in Containern.
Bench: Ein Werkzeug zum Benchmarking von Kubernetes-Bestpractices.
kube-hunter: Ein Werkzeug zum Auffinden von Fehlkonfigurationen in Kubernetes-Clustern.
Clair: Ein Schwachstellen-Scanner für Container.
Anchore: Eine Container-Sicherheitsplattform.
Docker: Eine Plattform zum Erstellen, Versenden und Ausführen von Containern.