渗透测试专业人员使用的11种工具(2)

那些没有买Burp Suite的人会发现OWASP的Zed Attack Proxy(ZAP)几乎一样有效，它是完全免费的工具。顾名思义，ZAP置于浏览器和测试网站之间(又名中间人)，允许拦截流量进行检查和修改。它缺少Burp的许多细节，但是它的开放源代码许可证更容易进行大规模的部署，同时也更便宜。对于初学者来说，它是一款很好地了解网络流量脆弱性的工具。ZAP竞争对手Nikto也提供了类似的开源工具。

十、sqlmap

大家应该都听过SQL注入?接下来要介绍的是sqlmap。这个非常有效的SQL注入工具是开源的，可以“自动执行检测、利用SQL注入漏洞并接管数据库服务器的过程”。Sqlmap的支对象包括MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、Informix、HSQLDB和H2。过去的人们曾经不得不用Hot Needle将SQL注入到硬盘上。而如今sqlmap则无需如此，便捷程度在您的日常工作中脱颖而出。

十一、Aircrack-ng

（编辑：ASP站长网）