| 序号 | 渗透测试类型 | 序号 | 目录名称 | | --- | ------------------------------------------------------------------------------------------------------------------- | --- | ------------------------------------------------------------------------------------------------------------------ | | 1 | Web应用安全 | 11 | Active Directory安全 | | 2 | API安全 | 12 | 基础设施安全 | | 3 | 移动应用安全 | 13 | 威胁建模 | | 4 | 厚客户端应用安全 | 14 | 物联网安全 | | 5 | 源代码审查 | 15 | OSINT（开源情报） | | 6 | 网络安全 | 16 | 区块链安全 | | 7 | Wi-Fi安全 | 17 | CI/CD管道安全 | | 8 | 云安全 | 18 | Docker容器安全 | | 9 | DevSecOps | 19 | 钓鱼渗透测试 | | 10 | 配置审查 | 20 | 取证分析 |

| 序号 | 渗透测试类型 | 描述 | | --- | ------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------ | | 1 | Web应用安全 | 评估并加固Web应用的漏洞。 | | 2 | API安全 | 测试与增强API和微服务的安全性。 | | 3 | 移动应用安全 | 评估移动应用和设备的安全性。 | | 4 | 厚客户端应用安全 | 检查厚客户端应用的安全问题。 | | 5 | 源代码审查 | 分析源代码，发现并修复安全漏洞。 | | 6 | 网络安全 | 识别并修补网络安全薄弱环节。 | | 7 | Wi-Fi网络安全 | 评估Wi-Fi网络与接入点的安全性。 | | 8 | 云安全 | 检查基于云的系统和服务的安全性。 | | 9 | Active Directory安全 | 评估Active Directory环境的安全性。 | | 10 | 基础设施安全 | 加固底层IT基础设施及资产的安全。 | | 11 | 威胁建模 | 建模并分析威胁以提升系统安全性。 | | 12 | 物联网安全 | 发现并缓解物联网设备的安全漏洞。 | | 13 | OSINT（开源情报） | 利用开源情报进行安全分析。 | | 14 | 区块链安全 | 评估区块链系统的安全与合规性。 | | 15 | CI/CD管道安全 | 评估持续集成管道的安全性。 | | 16 | Docker容器安全 | 加固Docker容器及其应用安全。 | | 17 | DevSecOps | 在DevOps生命周期内集成安全实践。 | | 18 | 钓鱼渗透测试 | 模拟与分析钓鱼攻击以提升安全意识。 | | 19 | 配置审查 | 检查与验证系统配置的安全性。 | | 20 | 取证分析 | 事件后调查与分析数字证据。 |

🛡️ 渗透测试与工具 🛡️

40多种安全评估工具

渗透测试与工具

| 类别 | 工具 | | ------------------------ | ------------------------------------------------------------------------------------------- | | Web应用渗透测试 | Burp Suite Pro 🌐、Acunetix 🌐、HCL-AppScan 🌐、Invicti Netsparker 🌐、Fortify WebInspect 🌐、WPScan 🌐、Nikto 🌐、Nuclei 🌐、SQLMap 🌐、OWASP ZAP 🌐、Nmap 🌐、Dirb 🌐、FFUF 🌐、WhatWeb 🌐 | | Android安全 | MobSF 📱、Frida 📱、APKTool 📱、JADX-gui 📱、Android Studio/Genymotion 📱、Drozer 📱、Magisk Root 📱、Xposed Framework 📱、APKX 📱、mitmproxy 📱、Objection 📱、adb 📱、AndroBugs 📱、Quark Engine 📱、AppMon 📱、ApkScan 📱 | | iOS安全 | MobSF 📲、Frida 📲、Objection 📲、Chakar1n 📲、palera1n 📲、Cycript 📲、iOS Hook 📲、Needle 📲、Class-dump 📲、SSL Kill Switch 2 📲、iMazing 📲、Passionfruit 📲、ios-decrypt 📲 | | API渗透测试 | Postman 📡、Burp Suite Pro 📡、Swagger UI 📡、Kite Runner 📡、Insomnia 📡、GraphQL Voyager 📡、GraphQL Raider 📡 | | 安全代码审查 | SonarQube 🔐、Snyk 🔐、Semgrep 🔐、Fortify-Workbench Audit 🔐、Checkmarx 🔐、Veracode 🔐、CodeQL 🔐、Bandit 🔐、FindSecBugs 🔐、Gitleaks 🔐 | | 厚客户端渗透测试 | Fiddler 💻、Sysinternals Suite 💻、dnSpy 💻、de4dot 💻、IDA Pro 💻、Process Explorer 💻、CFF Explorer 💻、OllyDbg 💻、x64dbg 💻、Ghidra 💻、Burp Suite Pro 💻、Wireshark 💻 |

| 网络渗透测试 | Nmap 🌐, Wireshark 🌐, Metasploit 🌐, Nessus 🌐, OpenVAS 🌐, Responder 🌐, CrackMapExec 🌐, Netcat 🌐, Bettercap 🌐 |

更加扩展的版本

| 类别 | 工具 | |--------------------------|----------------------------------------------------------------------------------------------| | Active Directory 渗透测试 | BloodHound 🏢, Mimikatz 🔑, CrackMapExec 🏢, Impacket 📂, Kerbrute 🎭, Rubeus 🔓, LDAPDomainDump 📜, SharpHound 🕵️, PowerView 👀, ADRecon 📊 | | 云安全 | Prowler ☁️, ScoutSuite ☁️, CloudSploit ☁️, Pacu ☁️, Steampipe ☁️, CloudMapper ☁️, NCC Scout ☁️, kube-bench ☁️, Terrascan ☁️, KICS ☁️ | | 物联网安全 | Firmwalker 🔌, Binwalk 🔌, Firmware-Mod-Kit 🔌, Shodan 🔌, RIOT 🔌, JTAGulator 🔌, Qiling 🔌, Ghidra 🔌, Avatar2 🔌, Firmadyne 🔌 | | 防火墙渗透测试 | hping3 🔥, NPing 🔥, Scapy 🔥, Zmap 🔥, firewalk 🔥, FTester 🔥, Nmap (Firewall Bypass) 🔥, Packet Sender 🔥, T50 🔥, ETTERCAP 🔥, TCPReplay 🔥 | | 固件分析 | Binwalk 🔍, Firmware Analysis Toolkit (FAT) 🔍, QEMU 🔍, Ghidra 🔍, IDA Pro 🔍, Firmware-Mod-Kit 🔍, Radare2 🔍, Firmadyne 🔍 | | 容器安全 | Trivy 🐳, Aqua Microscanner 🐳, Clair 🐳, Anchore 🐳, Docker Bench 🐳, kube-hunter 🐳, Falco 🐳, Sysdig 🐳, Snyk 🐳, Grype 🐳 | | WiFi 渗透测试 | Aircrack-ng 📶, Kismet 📶, Bettercap 📶, Reaver 📶, Fluxion 📶, Wireshark 📶, hcxtools 📶, Fern WiFi Cracker 📶, Wifiphisher 📶, Hashcat 📶 | | DevSecOps | GitHub Advanced Security 🔧, Trivy 🔧, Snyk 🔧, Anchore 🔧, OWASP DC 🔧, Jenkins 🔧, Checkmarx 🔧, Veracode 🔧, Dagda 🔧, Sysdig Secure 🔧, Cloud Custodian 🔧, Bridgecrew 🔧, Kubescape 🔧 | | OSINT | theHarvester 🕵️, Maltego 🕵️, SpiderFoot 🕵️, Recon-ng 🕵️, Shodan 🕵️, FOCA 🕵️, Google Dorks 🕵️, OSINT Framework 🕵️, GHunt 🕵️, Sherlock 🕵️, PhoneInfoga 🕵️ | | 配置审查 | Lynis ⚙️, OpenSCAP ⚙️, Auditd ⚙️, Tripwire ⚙️, cis-cat Pro ⚙️, Chef InSpec ⚙️, Prowler ⚙️, Kubescape ⚙️ | | 钓鱼仿真 | GoPhish 🎯, SET 🎯, Evilginx2 🎯, Phishery 🎯, King Phisher 🎯, Modlishka 🎯, Phishing Frenzy 🎯 | | 取证 | Autopsy 🔍, Volatility 🔍, Sleuth Kit 🔍, FTK Imager 🔍, Redline 🔍, Magnet AXIOM 🔍, X-Ways 🔍, Bulk Extractor 🔍, ExifTool 🔍 | | 区块链安全 | Mythril ⛓️, Slither ⛓️, Manticore ⛓️, Remix IDE ⛓️, Oyente ⛓️, SmartCheck ⛓️, Echidna ⛓️, Tenderly ⛓️ | | 威胁建模 | Microsoft TMT 🧠, OWASP Threat Dragon 🧠, IriusRisk 🧠, SeaSponge 🧠, Draw.io 🧠, Pytm 🧠 | | 红队工具 | Cobalt Strike 💣, Sliver 💣, Mythic 💣, Empire 💣, Metasploit 💣, Brute Ratel 💣, Koadic 💣, FudgeC2 💣, Nishang 💣, PowerShell Empire 💣 | | 蓝队工具 | Velociraptor 🛡️, Wazuh 🛡️, OSQuery 🛡️, GRR 🛡️, Sysmon 🛡️, CrowdStrike Falcon 🛡️, Elastic Security 🛡️, Sigma Rules 🛡️ | | SIEM & 日志分析 | Splunk 📊, ELK Stack 📊, Graylog 📊, Wazuh 📊, AlienVault OSSIM 📊, SIEMonster 📊 | | 密码破解 | Hashcat 🔓, John the Ripper 🔓, Hydra 🔓, CrackStation 🔓, Cain & Abel 🔓, Medusa 🔓, THC-Hydra 🔓 | | 逆向工程 | Ghidra 🧬, IDA Pro 🧬, x64dbg 🧬, OllyDbg 🧬, Binary Ninja 🧬, Radare2 🧬, Cutter 🧬 | | 硬件破解 | ChipWhisperer 🔌, Saleae Logic 🔌, OpenOCD 🔌, JTAGulator 🔌, Bus Pirate 🔌, Flashrom 🔌, Arduino 🔌, Raspberry Pi 🔌, RTL-SDR 🔌 | | 社会工程 | SET 🎭, BeEF 🎭, King Phisher 🎭, Evilginx 🎭, MSF Social Engineering Toolkit 🎭, 心理学框架（预设、引诱）🎭 | | SCADA/ICS 安全 | Snort ⚙️, Wireshark ⚙️, ModScan ⚙️, ModbusPal ⚙️, Scadafence ⚙️, OpenPLC ⚙️, GasPot ⚙️, Conpot ⚙️, PLCScan ⚙️ | | 社会工程（扩展） | SET 🎭, BeEF 🎭, King Phisher 🎭, Modlishka 🎭, Evilginx2 🎭, EyeWitness 🎭, PhishToolkit 🎭, PhishX 🎭 | | 供应链安全 | Snyk 🛠️, OWASP Dependency-Check 🛠️, Trivy 🛠️, Syft 🛠️, Grype 🛠️, CycloneDX 🛠️, Whitesource 🛠️, Anchore Engine 🛠️ | | 邮件安全测试 | GoPhish 📧, Modlishka 📧, SMTPTester 📧, MailSniper 📧, Evilginx2 📧, Phish5 📧, Email Header Analyzer 📧 | | 移动恶意软件分析 | APKTool 🐛, MobSF 🐛, Jadx 🐛, Frida 🐛, VirusTotal Mobile 🐛, Droidbox 🐛, Bytecode Viewer 🐛, Drozer 🐛, Quark-Engine 🐛 | | AI/ML 安全 | Adversarial Robustness Toolbox (ART) 🤖, TextAttack 🤖, Foolbox 🤖, IBM AI Explainability 360 🤖, CleverHans 🤖, Alibi Detect 🤖, SecML 🤖, DeepExploit 🤖 | | 安全自动化 / SOAR | StackStorm 🤖, Cortex XSOAR 🤖, Shuffle 🤖, DFIR-IR-Playbook 🤖, Phantom Cyber 🤖, Tines 🤖 | | 漏洞赏金工具包 | Amass 🪲, Sublist3r 🪲, Nuclei 🪲, HTTPX 🪲, Naabu 🪲, FFUF 🪲, GF 🪲, Dalfox 🪲, Kiterunner 🪲, Hakrawler 🪲, JSParser 🪲, ParamSpider 🪲 | | 凭证转储与破解 | LaZagne 🔐, Mimikatz 🔐, Hashcat 🔐, JohnTheRipper 🔐, Windows Credential Editor 🔐, CrackMapExec 🔐, GetNPUsers.py 🔐 | | Payload 生成 | MSFVenom 💉, Unicorn 💉, Shellter 💉, Veil 💉, Nishang 💉, Empire 💉, Obfuscation.io 💉, Metasploit 💉, Donut 💉 | | 蜜罐 / 诱骗| Cowrie 🐝, Dionaea 🐝, Kippo 🐝, Honeyd 🐝, T-Pot 🐝, Conpot 🐝, Canarytokens 🐝, Artillery 🐝 | | MacOS 安全 | KnockKnock 🍏, BlockBlock 🍏, OSXCollector 🍏, Objective-See Suite 🍏, MacMonitor 🍏, Little Snitch 🍏, Dylib Hijack Scanner 🍏 | | SIEM/日志分析（扩展） | Logstash 📊, Fluentd 📊, Loki 📊, Graylog 📊, Falco 📊, Humio 📊, Kibana 📊, Loggly 📊, Logz.io 📊 | | Windows 后渗透 | PowerView 🪟, Seatbelt 🪟, SharpUp 🪟, WinPEAS 🪟, Sherlock 🪟, Empire 🪟, FireEye Red Team Tools 🪟, SharpHound 🪟 | | Linux 后渗透 | LinPEAS 🐧, Linux Exploit Suggester 🐧, pspy 🐧, Chkrootkit 🐧, rkhunter 🐧, bashark 🐧, GTFOBins 🐧, Sudomy 🐧 | | 浏览器安全测试 | BeEF 🌐, XSStrike 🌐, XSSer 🌐, Burp Collaborator 🌐, NoScript 🌐, Ublock Origin 🌐, Chrome Developer Tools 🌐 |

👨‍💻👩‍💻 贡献者 ✨👨‍💻👩‍💻

>感谢你对贡献的关注！请阅读贡献指南。

>衷心感谢这些杰出贡献者为本项目做出的贡献。你可以查看 emoji key 了解你可以参与的多种方式！

_{Marko Živanović} 🔧	_{Madhurendra kumar} 💻	_0xanon 💻	_InfoBugs 💻	_{Ratnesh kumar} 💻	_{Chandrabhushan Kumar} 💻	_{Satya Prakash} 💻 👀
_{Wei Lin} 🌍