| No. | 滲透測試類型 | 說明 | | --- | -------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------ | | 1 | 網頁應用程式安全 | 評估並保護網頁應用程式的安全漏洞。 | | 2 | API 安全 | 測試並提升 API 與微服務的安全性。 | | 3 | 行動應用程式安全 | 評估行動應用程式及裝置的安全性。 | | 4 | 厚用戶端應用程式安全 | 評估厚用戶端應用程式的安全問題。 | | 5 | 原始碼審查 | 分析原始碼以識別並修補安全漏洞。 | | 6 | 網路安全 | 識別與改善網路弱點以保護網路安全。 | | 7 | Wi-Fi 網路安全 | 評估 Wi-Fi 網路及存取點的安全性。 | | 8 | 雲端安全 | 評估雲端系統及服務的安全性。 | | 9 | Active Directory 安全 | 評估 Active Directory 環境的安全性。 | | 10 | 基礎設施安全 | 保護 IT 基礎設施及資產的安全。 | | 11 | 威脅建模 | 建模與評估威脅以提升系統安全性。 | | 12 | 物聯網安全 | 識別並減緩物聯網裝置的安全漏洞。 | | 13 | OSINT（開源情報） | 從開放資源收集情報進行安全分析。 | | 14 | 區塊鏈安全 | 評估區塊鏈系統的安全性及合規性。 | | 15 | CI/CD 管線安全 | 評估持續整合流程的安全性。 | | 16 | Docker 容器安全 | 保護 Docker 容器及容器化應用程式的安全。 | | 17 | DevSecOps | 在 DevOps 生命週期中整合安全實踐。 | | 18 | 釣魚滲透測試 | 模擬並分析釣魚攻擊進行資安意識訓練。 | | 19 | 組態審查 | 檢查並驗證系統組態的安全問題。 | | 20 | 鑑識分析 | 於事件發生後調查與分析數位證據。 |

🛡️ 滲透測試與工具 🛡️

超過 double 40 種資安評估工具

滲透測試與工具

| 分類 | 工具 | | -------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Web 應用程式滲透測試 | Acunetix, Burp Suite Professional, Dirb, FFUF, Nmap, Nikto, Nuclei, OWASP ZAP, SQLMap, WhatWeb, WPScan, Invicti (Netsparker), Fortify WebInspect | | Android 安全 | adb, APKTool, Apkscan, AndroBugs, Android Studio / Genymotion, AppMon, Dexter/Objection (Objection), Drozer, Frida, Magisk, MITMProxy, MobSF, Quark Engine, JADX | | iOS 安全 | checkra1n, Class-dump, Frida, iMazing, iOS-decrypt, iOS-Hook, MobSF, Needle, Objection, Palera1n, Passionfruit, SSL Kill Switch 2, Cycript | | API 滲透測試 | Burp Suite Professional, GraphQL Raider, GraphQL Voyager, Insomnia, Kite Runner, Postman, Swagger UI | | 安全程式碼檢閱 | Bandit, Checkmarx, CodeQL, FindSecBugs, Gitleaks, Semgrep, SonarQube, Snyk, Veracode, Fortify Static (Workbench/Audit) | | Thick-Client 安全 | Burp Suite Professional, dnSpy, de4dot, Fiddler, Ghidra, IDA Pro, OllyDbg, Process Explorer, x64dbg, CFF Explorer, Sysinternals Suite, Wireshark | | 網路滲透測試 | Bettercap, CrackMapExec, Metasploit, Netcat, Nessus, Nmap, OpenVAS, Responder, Wireshark |

延伸版本

| 分類 | 工具 | | --------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Active Directory 滲透測試 | BloodHound、Mimikatz、CrackMapExec、Impacket、Kerbrute、Rubeus、LDAPDomainDump、SharpHound、PowerView、ADRecon | | 雲端安全 | Prowler、ScoutSuite、CloudSploit、Pacu、Steampipe、CloudMapper、NCC Scout、kube-bench、Terrascan、KICS | | IoT 安全 | Firmwalker、Binwalk、Firmware-Mod-Kit、Shodan、RIOT、JTAGulator、Qiling、Ghidra、Avatar2、Firmadyne | | 防火牆滲透測試 | hping3、NPing、Scapy、Zmap、firewalk、FTester、Nmap (Firewall Bypass)、Packet Sender、T50、Ettercap、TCPReplay | | 韌體分析 | Binwalk、Firmware Analysis Toolkit (FAT)、QEMU、Ghidra、IDA Pro、Firmware-Mod-Kit、Radare2、Firmadyne | | 容器安全 | Trivy、Aqua Microscanner、Clair、Anchore、Docker Bench、kube-hunter、Falco、Sysdig、Snyk、Grype | | WiFi 滲透測試 | Aircrack-ng、Kismet、Bettercap、Reaver、Fluxion、Wireshark、hcxtools、Fern WiFi Cracker、Wifiphisher、Hashcat | | DevSecOps | GitHub Advanced Security、Trivy、Snyk、Anchore、OWASP Dependency-Check、Jenkins、Checkmarx、Veracode、Dagda、Sysdig Secure、Cloud Custodian、Bridgecrew、Kubescape | | OSINT | theHarvester、Maltego、SpiderFoot、Recon-ng、Shodan、FOCA、Google Dorks、OSINT Framework、GHunt、Sherlock、PhoneInfoga | | 組態審查 | Lynis、OpenSCAP、Auditd、Tripwire、cis-cat Pro、Chef InSpec、Prowler、Kubescape | | 釣魚模擬 | GoPhish、SET、Evilginx2、Phishery、King Phisher、Modlishka、Phishing Frenzy |

| 鑑識科學 | 區塊鏈安全 | 威脅建模 | 紅隊工具 | 藍隊工具 | SIEM 與日誌分析 | 密碼破解 | 逆向工程 | 硬體駭客 | 社會工程學 | SCADA/ICS 安全 | 供應鏈安全 | 電子郵件安全測試 | 行動惡意軟體分析 | AI/ML 安全 | 安全自動化 / SOAR | 漏洞懸賞工具箱 | 憑證傾倒與破解 | Payload 生成 | 蜜罐 / 欺騙技術 | MacOS 安全 | Windows 後滲透 | Linux 後滲透 | 瀏覽器安全測試 | Autopsy、Volatility、Sleuth Kit、FTK Imager、Redline、Magnet AXIOM、X-Ways、Bulk Extractor、ExifTool | | Mythril、Slither、Manticore、Remix IDE、Oyente、SmartCheck、Echidna、Tenderly | | Microsoft TMT、OWASP Threat Dragon、IriusRisk、SeaSponge、Draw.io、Pytm | | Cobalt Strike、Sliver、Mythic、Empire、Metasploit、Brute Ratel、Koadic、FudgeC2、Nishang、PowerShell Empire | | Velociraptor、Wazuh、OSQuery、GRR、Sysmon、CrowdStrike Falcon、Elastic Security、Sigma Rules | | Splunk、ELK Stack、Graylog、Wazuh、AlienVault OSSIM、SIEMonster、Logstash、Fluentd、Loki、Falco、Humio、Kibana、Loggly、Logz.io | | Hashcat、John the Ripper、Hydra、CrackStation、Cain & Abel、Medusa、THC-Hydra | | Ghidra、IDA Pro、x64dbg、OllyDbg、Binary Ninja、Radare2、Cutter | | ChipWhisperer、Saleae Logic、OpenOCD、JTAGulator、Bus Pirate、Flashrom、Arduino、Raspberry Pi、RTL-SDR | | SET、BeEF、King Phisher、Evilginx / Evilginx2、Modlishka、EyeWitness、PhishToolkit、PhishX、心理學框架（設計藉口、引導） | | Snort、Wireshark、ModScan、ModbusPal、Scadafence、OpenPLC、GasPot、Conpot、PLCScan | | Snyk、OWASP Dependency-Check、Trivy、Syft、Grype、CycloneDX、Whitesource、Anchore Engine | | GoPhish、Modlishka、SMTPTester、MailSniper、Evilginx2、Phish5、Email Header Analyzer | | APKTool、MobSF、Jadx、Frida、VirusTotal Mobile、Droidbox、Bytecode Viewer、Drozer、Quark-Engine | | Adversarial Robustness Toolbox (ART)、TextAttack、Foolbox、IBM AI Explainability 360、CleverHans、Alibi Detect、SecML、DeepExploit | | StackStorm、Cortex XSOAR、Shuffle、DFIR-IR-Playbook、Phantom Cyber、Tines | | Amass、Sublist3r、Nuclei、HTTPX、Naabu、FFUF、GF、Dalfox、Kiterunner、Hakrawler、JSParser、ParamSpider | | LaZagne、Mimikatz、Hashcat、John the Ripper、Windows Credential Editor、CrackMapExec、GetNPUsers.py | | MSFVenom、Unicorn、Shellter、Veil、Nishang、Empire、Obfuscation.io、Metasploit、Donut | | Cowrie、Dionaea、Kippo、Honeyd、T-Pot、Conpot、Canarytokens、Artillery | | KnockKnock、BlockBlock、OSXCollector、Objective-See Suite、MacMonitor、Little Snitch、Dylib Hijack Scanner | | PowerView、Seatbelt、SharpUp、WinPEAS、Sherlock、Empire、FireEye Red Team Tools、SharpHound | | LinPEAS、Linux Exploit Suggester、pspy、Chkrootkit、rkhunter、bashark、GTFOBins、Sudomy | | BeEF、XSStrike、XSSer、Burp Collaborator、NoScript、uBlock Origin、Chrome Developer Tools |

👨‍💻👩‍💻 貢獻者 ✨👨‍💻👩‍💻

>感謝你有意願貢獻！請閱讀貢獻指南。

>衷心感謝所有傑出人士對本專案的貢獻。你可參閱emoji key，了解你可以貢獻的各種方式！

_{Marko Živanović} 🔧	_{Madhurendra kumar} 💻	_0xanon 💻	_InfoBugs 💻	_{Ratnesh kumar} 💻	_{Chandrabhushan Kumar} 💻	_{Satya Prakash} 💻 👀
_{Wei Lin} 🌍