| 序号 | 渗透测试类型 | 序号 | 目录名称 | | --- | --------------------------------------------------------------------------------------------------------------------------- | --- | ---------------------------------------------------------------------------------------------------------------------- | | 1 | Web应用安全 | 11 | Active Directory安全 | | 2 | API安全 | 12 | 基础设施安全 | | 3 | 移动应用安全 | 13 | 威胁建模 | | 4 | 厚客户端应用安全 | 14 | 物联网安全 | | 5 | 源代码审查 | 15 | OSINT（开源情报） | | 6 | 网络安全 | 16 | 区块链安全 | | 7 | Wi-Fi安全 | 17 | CI/CD管道安全 | | 8 | 云安全 | 18 | Docker容器安全 | | 9 | DevSecOps | 19 | 钓鱼渗透测试 | | 10 | 配置审查 | 20 | 取证分析 |

| 序号 | 渗透测试类型 | 描述 | --- | ------------------------------------------------------------------------------------------------------------------------------- | ------------------ | 1 | Web应用安全 | 2 | API安全 | 3 | 移动应用安全 | 4 | 厚客户端 | 5 | 源代码审查 | 6 | 网络安全 | 7 | Wi-Fi网络安全 | 8 | 云安全 | 9 | Active | 10 | 基础设施安全 | 11 | 威胁建模 | 12 | 物联网安全 | 13 | OSINT（开源情报） | 14 | 区块链安全 | 15 | CI/CD流水线安全 | 16 | Docker容器安全 | 17 | DevSecOps | 18 | 钓鱼 | 19 | 配置审核 | 20 | 取证分析 | ------------------------------------------- | | 评估并加固Web应用的漏洞安全。 | | 测试并提升API和微服务的安全性。 | | 评估移动应用和设备的安全性。 | 应用安全 | 检查厚客户端应用的安全问题。 | | 分析源代码以识别并修复漏洞。 | | 识别并修复网络中的安全弱点。 | | 评估Wi-Fi网络和接入点的安全性。 | | 评估基于云的系统和服务的安全性。 | Directory安全 | 评估Active Directory环境的安全性。 | | 加固底层IT基础设施和资产安全。 | | 建模并评估威胁以提升系统安全。 | | 识别并缓解物联网设备的漏洞。 | | 从开源收集情报用于安全分析。 | | 评估区块链系统的安全性与合规性。 | | 评估持续集成流水线的安全性。 | | 保护Docker容器及其容器化应用程序的安全。 | | 在DevOps生命周期中集成安全实践。 | 渗透测试 | 模拟和分析钓鱼攻击，用于安全意识培训。 | | 检查并验证系统配置是否存在安全问题。 | | 事件发生后调查和分析数字证据。 |

渗透测试与工具

超过40种安全评估工具

渗透测试与工具

| 类别 | 工具 | | -------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Web应用渗透测试 | Acunetix、Burp Suite Professional、Dirb、FFUF、Nmap、Nikto、Nuclei、OWASP ZAP、SQLMap、WhatWeb、WPScan、Invicti (Netsparker)、Fortify WebInspect | | Android安全 | adb、APKTool、Apkscan、AndroBugs、Android Studio / Genymotion、AppMon、Dexter/Objection (Objection)、Drozer、Frida、Magisk、MITMProxy、MobSF、Quark Engine、JADX | | iOS安全 | checkra1n、Class-dump、Frida、iMazing、iOS-decrypt、iOS-Hook、MobSF、Needle、Objection、Palera1n、Passionfruit、SSL Kill Switch 2、Cycript | | API渗透测试 | Burp Suite Professional、GraphQL Raider、GraphQL Voyager、Insomnia、Kite Runner、Postman、Swagger UI | | 安全代码审查 | Bandit、Checkmarx、CodeQL、FindSecBugs、Gitleaks、Semgrep、SonarQube、Snyk、Veracode、Fortify Static (Workbench/Audit) | | 厚客户端安全 | Burp Suite Professional、dnSpy、de4dot、Fiddler、Ghidra、IDA Pro、OllyDbg、Process Explorer、x64dbg、CFF Explorer、Sysinternals Suite、Wireshark | | 网络渗透测试 | Bettercap、CrackMapExec、Metasploit、Netcat、Nessus、Nmap、OpenVAS、Responder、Wireshark |

扩展版本

| 类别 | 工具 | | --------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Active Directory渗透测试 | BloodHound、Mimikatz、CrackMapExec、Impacket、Kerbrute、Rubeus、LDAPDomainDump、SharpHound、PowerView、ADRecon | | 云安全 | Prowler、ScoutSuite、CloudSploit、Pacu、Steampipe、CloudMapper、NCC Scout、kube-bench、Terrascan、KICS | | 物联网安全 | Firmwalker、Binwalk、Firmware-Mod-Kit、Shodan、RIOT、JTAGulator、Qiling、Ghidra、Avatar2、Firmadyne | | 防火墙渗透测试 | hping3、NPing、Scapy、Zmap、firewalk、FTester、Nmap（防火墙绕过）、Packet Sender、T50、Ettercap、TCPReplay | | 固件分析 | Binwalk、Firmware Analysis Toolkit (FAT)、QEMU、Ghidra、IDA Pro、Firmware-Mod-Kit、Radare2、Firmadyne | | 容器安全 | Trivy、Aqua Microscanner、Clair、Anchore、Docker Bench、kube-hunter、Falco、Sysdig、Snyk、Grype | | WiFi渗透测试 | Aircrack-ng、Kismet、Bettercap、Reaver、Fluxion、Wireshark、hcxtools、Fern WiFi Cracker、Wifiphisher、Hashcat | | DevSecOps | GitHub Advanced Security、Trivy、Snyk、Anchore、OWASP Dependency-Check、Jenkins、Checkmarx、Veracode、Dagda、Sysdig Secure、Cloud Custodian、Bridgecrew、Kubescape | | OSINT | theHarvester、Maltego、SpiderFoot、Recon-ng、Shodan、FOCA、Google Dorks、OSINT Framework、GHunt、Sherlock、PhoneInfoga | | 配置审查 | Lynis、OpenSCAP、Auditd、Tripwire、cis-cat Pro、Chef InSpec、Prowler、Kubescape | | 钓鱼模拟 | GoPhish、SET、Evilginx2、Phishery、King Phisher、Modlishka、Phishing Frenzy | | 取证分析 | Autopsy、Volatility、Sleuth Kit、FTK Imager、Redline、Magnet AXIOM、X-Ways、Bulk Extractor、ExifTool | | 区块链安全 | Mythril、Slither、Manticore、Remix IDE、Oyente、SmartCheck、Echidna、Tenderly | | 威胁建模 | Microsoft TMT、OWASP Threat Dragon、IriusRisk、SeaSponge、Draw.io、Pytm | | 红队工具 | Cobalt Strike、Sliver、Mythic、Empire、Metasploit、Brute Ratel、Koadic、FudgeC2、Nishang、PowerShell Empire | | 蓝队工具 | Velociraptor、Wazuh、OSQuery、GRR、Sysmon、CrowdStrike Falcon、Elastic Security、Sigma Rules | | SIEM与日志分析 | Splunk、ELK Stack、Graylog、Wazuh、AlienVault OSSIM、SIEMonster、Logstash、Fluentd、Loki、Falco、Humio、Kibana、Loggly、Logz.io | | 密码破解 | Hashcat、John the Ripper、Hydra、CrackStation、Cain & Abel、Medusa、THC-Hydra | | 逆向工程 | Ghidra、IDA Pro、x64dbg、OllyDbg、Binary Ninja、Radare2、Cutter | | 硬件破解 | ChipWhisperer、Saleae Logic、OpenOCD、JTAGulator、Bus Pirate、Flashrom、Arduino、Raspberry Pi、RTL-SDR | | 社会工程学 | SET、BeEF、King Phisher、Evilginx / Evilginx2、Modlishka、EyeWitness、PhishToolkit、PhishX、心理学框架（假设、诱导） | | SCADA/ICS安全 | Snort、Wireshark、ModScan、ModbusPal、Scadafence、OpenPLC、GasPot、Conpot、PLCScan | | 供应链安全 | Snyk、OWASP Dependency-Check、Trivy、Syft、Grype、CycloneDX、Whitesource、Anchore Engine | | 邮件安全测试 | GoPhish、Modlishka、SMTPTester、MailSniper、Evilginx2、Phish5、Email Header Analyzer | | 移动恶意软件分析 | APKTool、MobSF、Jadx、Frida、VirusTotal Mobile、Droidbox、Bytecode Viewer、Drozer、Quark-Engine | | AI/ML安全 | Adversarial Robustness Toolbox (ART)、TextAttack、Foolbox、IBM AI Explainability 360、CleverHans、Alibi Detect、SecML、DeepExploit | | 安全自动化 / SOAR | StackStorm、Cortex XSOAR、Shuffle、DFIR-IR-Playbook、Phantom Cyber、Tines | | 漏洞赏金工具包 | Amass、Sublist3r、Nuclei、HTTPX、Naabu、FFUF、GF、Dalfox、Kiterunner、Hakrawler、JSParser、ParamSpider | | 凭证导出与破解 | LaZagne、Mimikatz、Hashcat、John the Ripper、Windows Credential Editor、CrackMapExec、GetNPUsers.py | | 载荷生成 | MSFVenom、Unicorn、Shellter、Veil、Nishang、Empire、Obfuscation.io、Metasploit、Donut | | 蜜罐 / 诱骗 | Cowrie、Dionaea、Kippo、Honeyd、T-Pot、Conpot、Canarytokens、Artillery | | MacOS安全 | KnockKnock、BlockBlock、OSXCollector、Objective-See Suite、MacMonitor、Little Snitch、Dylib Hijack Scanner | | Windows后渗透 | PowerView、Seatbelt、SharpUp、WinPEAS、Sherlock、Empire、FireEye Red Team Tools、SharpHound | | Linux后渗透 | LinPEAS、Linux Exploit Suggester、pspy、Chkrootkit、rkhunter、bashark、GTFOBins、Sudomy | | 浏览器安全测试 | BeEF、XSStrike、XSSer、Burp Collaborator、NoScript、uBlock Origin、Chrome开发者工具 |

👨‍💻贡献者👩‍💻

>感谢您对贡献的兴趣！请阅读贡献指南。

>由衷感谢这些杰出个人对本项目的贡献。你可以查看 emoji key 来了解你可以参与贡献的多种方式！

_{Marko Živanović} 🔧	_{Madhurendra kumar} 💻	_0xanon 💻	_InfoBugs 💻	_{Ratnesh kumar} 💻	_{Chandrabhushan Kumar} 💻	_{Satya Prakash} 💻 👀
_{Wei Lin} 🌍