黑客 ≠駭客����,從個人發(fā)展角度來看,切莫做一個只懂得使用工具的腳本小子�!
1、移動安全方向(Android/iOS)
ApkTool�����、Dex2Jar����、jd-gui。
其中ApkTool完成apk的反編譯��,生成smail格式的反匯編代碼;
Dex2Jar��,完成apk中的java源碼編譯生成的java字節(jié)碼文件反編譯成java源碼�����;
HTTP協(xié)議調(diào)試代理工具��,它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的HTTP通訊��,設(shè)置斷點�,查看所有流經(jīng)Fiddler的數(shù)據(jù)�����,不僅僅暴露http通訊還提供了一個用戶友好的格式����。可以將網(wǎng)絡(luò)傳輸發(fā)送與接受的數(shù)據(jù)包進行截獲�����、重發(fā)�����、編輯、轉(zhuǎn)存等操作���。
當然�,tcpdump也是可以完成相同工作的���,只是需要將其提前放入root過的手機���,需要chmod賦予執(zhí)行權(quán)限。
基本上玩安全的應(yīng)該都知道他����,一套開源的、在Android高權(quán)限模式下運行的框架服務(wù)�,可以在不修改APK文件的情況下影響程序運行(修改系統(tǒng))的框架服務(wù),基于它可以制作出許多功能強大的模塊���,且在功能不沖突的情況下同時運作�����。不過它一旦用不好�����,很有可能將你的手機變成磚��,目前很多APP出去安全保護已經(jīng)對其進行檢測�。
當然,移動端安全除了上面說的�����,肯定還會有反匯編工具IDA����,這里不再介紹,統(tǒng)一在下面PC客戶端介紹�。
2�����、Web安全
功能包含主機發(fā)現(xiàn)和端口掃描�,操作系統(tǒng)檢測和IDS規(guī)避/欺騙,是不少黑客及腳本小子
愛用的工具 ��。
開源的安全漏洞檢測工具���,玩滲透你不懂它可能說不過去了�,對于他的學習,也許需要一本完整的教程�����,這里推薦下《Metasploit滲透測試魔鬼訓練營》這本書��。
滲透測試必備�,不僅易用,最重要的是它高度可配置化�。
玩SQL注入必備了吧,如果你不僅懂得SQLmap工具的使用��,還閱讀過它的源碼����,那么我想你在這一行已經(jīng)很出色了。
一款游覽器為什么還要多帶帶列出來介紹呢���?這里主要想說說它的牛逼插件����,這里主要推薦以下四款��。
1、Firebug�,查看網(wǎng)絡(luò)請求,類似于谷歌瀏覽器下 F12 的開發(fā)者工具
2��、HackBar���,模擬請求�,并且頁面根據(jù)模擬請求的結(jié)果實時展示��,而且還包含了一些 Sqli����、XSS 里常用的編碼工具,必備
3��、Tamper Data��,數(shù)據(jù)請求截取���、修改與重放;
4�、User Agent Switcher,修改請求的UA
網(wǎng)絡(luò)抓包工具�����,提供可視化界面,強大的數(shù)據(jù)包分析工具���,可自行擴充插件��。無論你是移動安全���、Web安全、軟件開發(fā)�����,只要涉及到網(wǎng)絡(luò)���,這基本是不可或缺的工具了�。
當然處理上面推薦的這些外��,還有「菜刀」���、「阿D」���、「明小子」等工具���,這里就不再多帶帶介紹了,網(wǎng)上的資料還是蠻多的�。
常用于shell反彈的nc差點就忘記了。
3�����、PC客戶端安全
客戶端安全���,這里只要推薦幾款Windows下的�。
這款基本算上逆向必備的工具了�����,無論你是PC端還是移動端����,如果不會IDA,可能也太不專業(yè)了����,絕對稱得上是最強大的「反匯編工具」了�,具備可交互���、可編程、可擴展����、多處理器支持等他特點。
老牌子的Win客戶端動態(tài)分析工具���,很多老前輩應(yīng)該都玩的很溜了����,和IDA相比�,他的功能就遜色了很多,這里不再過多介紹��。
當然����,除了上面介紹的,一些編輯器也是很常見的010Editor(16進制編輯功能很強大)��、SourceInsight(代碼查看工具)��。
最后,隆重推薦Kali Linux系統(tǒng)��,基本你需要的工具它都已經(jīng)集成進去了�。
網(wǎng)絡(luò)安全從業(yè)者一定要培養(yǎng)自己的法律意識,切莫心存僥幸��,伸手必被抓����!
贊同0
評論0
加載中...
