Sızma Testi araçları, bir ağ, sunucu veya web uygulamasındaki güvenlik zayıflıklarının belirlenmesine yardımcı olur. Bu araçlar , yazılım ve ağ uygulamalarındaki güvenlik ihlaline neden olabilecek “ bilinmeyen güvenlik açıklarını ” belirlemenize olanak tanıdığı için oldukça kullanışlıdır.
Aşağıda popüler özellikleri ve web sitesi bağlantılarıyla birlikte En İyi Pentest Araçlarının özenle seçilmiş bir listesi bulunmaktadır . Penetrasyon testi araçları karşılaştırması listesi hem açık kaynaklı (ücretsiz) hem de ticari (ücretli) yazılımları içerir.
İçindekiler
- En İyi Sızma Testi Araçları: VAPT Seçimleri!
- En İyi Sızma Testi Araçlarının Listesi :
- 1) Invicti
- 2) Acunetix
- 3) Intruder
- 4) İndusface Was
- 5) Astra Pentesti
- 6) Intrusion Detection Software
- 7) NordVPN
- 8) Owasp
- 10) Metaspoilt
- 11)Kali
- 12) AirCrack
- 13) SQLMap
- 14) BeEF
- 15) Dradis
- 16) Scapy
- 17) Ettercap
- 18) HCL AppScan
- 19) Arachni
- 20) Wapiti
- 21) Kismet
- 22) OpenSSL
- 23) Snort
- 24) THC Hydra
- 25) USM Anywhere
- 26) John the Ripper
- 27) Zenmap
- Sızma Testi (Pentest) Aracı SSS
- En İyi Sızma Testi Araçları
En İyi Sızma Testi Araçları: VAPT Seçimleri!
İsim | platformu | Ücretsiz deneme | Bağlantı |
---|---|---|---|
Invicti | Web | 15 Günlük Ücretsiz Deneme | Daha fazla bilgi edin |
Acunetix | Windows, Mac | Ücretsiz demo rezervasyonu yapın | Daha fazla bilgi edin |
Intruder | Cloud, Web apps, APIs, Network (internal & external) | 30 Günlük Deneme | Daha fazla bilgi edin |
İndusface Was | Windows, Android ve iOS | 14 Günlük Ücretsiz Deneme | Daha fazla bilgi edin |
Astra Pentest | Web app, cloud security, mobile app, API | 7 Günlük Ücretsiz Deneme | Daha fazla bilgi edin |
1) Invicti
Invicti, web uygulamalarınızdaki ve web hizmetlerinizdeki SQL Injection, XSS ve diğer güvenlik açıklarını otomatik olarak bulabilen, kullanımı kolay bir web uygulaması güvenlik tarayıcısıdır. Şirket içi ve SAAS çözümü olarak mevcuttur.
Invicti, minimum kurulum gereksinimiyle benzersiz Kanıta Dayalı Tarama Teknolojisini kullanan, doğru bir güvenlik açığı tespit aracıdır. REST API aracılığıyla sorunsuz SDLC entegrasyonu sunar, birden fazla güvenlik tarama türünü destekler ve Bitbucket, GitLab ve Azure Active Directory gibi çeşitli platformlarla uyumludur.
Invicti düzenli taramalar planlar, PCI DSS ve HIPAA gibi uyumluluk standartlarını destekler ve hem Şirket İçi hem de İsteğe Bağlı dağıtımı kolaylaştırır. Sürekli güvenlik için önemli bir araçtır.
Kötü Amaçlı Yazılım Algılama: Evet
Tehdit Algılama: Evet
AD Hoc Taramalar: Evet
Desteklenen Platformlar: Web
Invicti Özellikleri:
- Tamamen ölçeklenebilir çözüm. 1.000 web uygulamasını yalnızca 24 saatte tarayın.
- Taramaları Günlük, Haftalık, Aylık ve daha fazlasını yapacak şekilde ayarlayın
- İletişim Formu, E-posta, Telefon ve Bilet aracılığıyla müşteri desteği sağlar
- Desteklenen Platformlar: Web
- Fiyat: Teklif İste
- Ücretsiz Deneme: Ücretsiz Demo Rezervasyonu Yapılabilir
Ücretsiz Demo Rezervasyonu Yapın
2) Acunetix
Acunetix tam otomatik bir penetrasyon testi aracıdır. Web uygulaması güvenlik tarayıcısı HTML5, JavaScript ve tek sayfalı uygulamaları doğru bir şekilde tarar. Karmaşık, kimliği doğrulanmış web uygulamalarını denetleyebilir ve bant dışı güvenlik açıkları da dahil olmak üzere çok çeşitli web ve ağ güvenlik açıklarına ilişkin uyumluluk ve yönetim raporları yayınlayabilir.
Acunetix, hem Şirket İçi hem de Bulut çözümü olarak kullanılabilen, harici güvenlik açığı taramasını destekleyen çok yönlü bir güvenlik aracıdır. JIRA ve GitHub gibi platformlarla sorunsuz bir şekilde bütünleşir, günlük planlanmış taramalara izin verir ve PCI DSS ve HIPAA gibi standartlarla uyumluluk sağlar. Yapılandırma tespiti, gelişmiş sızma testi ve güçlü müşteri desteği sunar. Windows ve Mac ile uyumlu olan Acunetix, her şey dahil bir güvenlik varlığıdır.
Kötü Amaçlı Yazılım Algılama: Evet
Tehdit Algılama: Hayır
AD Hoc Taramalar: Evet
Desteklenen Platformlar: Windows, Mac
Özellikler:
- SQL Injection, XSS ve 4500’den fazla ek güvenlik açığının tüm varyantlarını tarar
- 1200’den fazla WordPress çekirdeği, teması ve eklentisi güvenlik açığını tespit eder
- Hızlı ve Ölçeklenebilir – yüz binlerce sayfayı kesintisiz tarayın
- Desteklenen Platformlar: Windows, Mac
- Fiyat: Teklif İste
- Ücretsiz Deneme: Ücretsiz Demo Rezervasyonu Yapın
Ücretsiz Demo Rezervasyonu Yapın
3) Intruder
Intruder, BT ortamınızdaki güvenlik zayıflıklarını keşfeden güçlü, otomatik bir sızma testi aracıdır. Sektör lideri güvenlik kontrolleri, sürekli izleme ve kullanımı kolay bir platform sunan Intruder, her büyüklükteki işletmeyi bilgisayar korsanlarından korur.
Intruder, yapılandırma zayıflıklarını, eksik yamaları ve uygulama güvenlik açıklarını kontrol eden kapsamlı bir güvenlik çözümüdür. Proaktif güvenlik izleme, büyük bulut hizmetleri için bağlayıcılar sunar ve çeşitli güvenlik açığı taramalarını destekler. AWS, GitHub, ServiceNow, Atlassian Jira, Slack ve Microsoft Teams ile sorunsuz bir şekilde entegre olur. Intruder ayrıca uyumluluk raporlaması ve Smart Recon sağlar ve ISO ve SOC standartlarını destekler. Windows için de kullanılabilir.
Kötü Amaçlı Yazılım Algılama: Evet
Tehdit Algılama: Evet
AD Hoc Taramalar: Evet
Desteklenen Platformlar: Cloud, Web uygulamaları, API’ler, Ağ (dahili ve harici)
Özellikler:
- 10.000’den fazla güvenlik kontrolüyle sınıfının en iyisi tehdit kapsamı
- Tarama sonuçlarının otomatik analizi ve önceliklendirilmesi
- CI/CD işlem hattınızla API entegrasyonu
- E-posta ve Sohbet yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Bulut, Web uygulamaları, API’ler, Ağ (dahili ve harici)
- Fiyat: Planlar ayda 101 dolardan başlıyor.
- Ücretsiz Deneme: 30 Gün
30 Günlük Ücretsiz Deneme Sürümü
4) İndusface Was
Indusface WAS, OWASP ilk 10 ve SANS ilk 25’e göre güvenlik açıklarını tespit etmek ve raporlamak için manuel Penetrasyon testi ve otomatik tarama sunar.
Kötü Amaçlı Yazılım Algılama: Evet
Tehdit Algılama: Evet
AD Hoc Taramalar: Evet
Desteklenen Platformlar: Windows, Android ve iOS
Indusface Özellikleri:
- Tarayıcı tek sayfalı uygulamaları tarar
- Duraklatma ve devam ettirme özelliği
- Aynı kontrol panelinde görüntülenen Manuel PT ve Otomatik tarayıcı raporları
- Sınırsız kavram kanıtı talepleri, bildirilen güvenlik açıklarına dair kanıt sunar ve otomatik tarama bulgularından kaynaklanan yanlış pozitiflerin ortadan kaldırılmasına yardımcı olur
- Sıfır Yanlış pozitif ile anında sanal yama sağlamak için isteğe bağlı WAF entegrasyonu
- WAF sistemlerinden gelen gerçek trafik verilerine dayalı olarak tarama kapsamını otomatik olarak genişletir (WAF’a abone olunması ve kullanılması durumunda)
- Bu araç, Altyapı Güvenlik Açığı Taramalarını, Uygulama Taramalarını ve Web Uygulama Taramasını destekler
- WAF, Tarayıcı, Web Uygulaması Güvenlik Duvarı ile sorunsuz bir şekilde bütünleşir
- Taramaları Günlük çalışacak şekilde ayarlayın
- Indusface WAS, ISO 27001, SOC 2, PCI, GDPR, CERT In gibi uyumluluk standartlarını destekler
- Bu araç aynı zamanda Sıfır Yanlış Pozitif Güvencesi, İş Mantığı güvenlik açığı kontrolleri ve Kara Listeye Alma Tespiti sağlar
- Canlı Sohbet, Telefon, E-posta ve Bize Ulaşın yoluyla müşteri desteği sağlar.
- Windows, Android ve iOS için kullanılabilir
- Fiyat: Planlar ayda 49 dolardan başlıyor.
- Ücretsiz Deneme: 14 Gün Ücretsiz Deneme
Induface’i 14 Günlük Ücretsiz Deneme
5) Astra Pentesti
Astra Pentest, kapsamlı, akıllı bir güvenlik açığı tarayıcısıyla donatılmış, birinci sınıf bir sızma testi platformu sağlayıcısıdır. Web ve mobil uygulamalarınızı, bulut platformunuzu, ağlarınızı ve API’lerinizi test etmek için sızma testi ve sürekli güvenlik açığı tarama hizmetlerinden yararlanılabilir.
Astra Pentest, tümü önemli bir CVE tabanlı veritabanıyla desteklenen, manuel ve otomatikleştirilmiş sızma testi, bulut yapılandırma incelemeleri ve güvenlik açığı değerlendirmeleri dahil olmak üzere kapsamlı siber güvenlik çözümleri sunar. Hizmet, incelenmiş tarama raporlarında sıfır hatalı pozitifliği garanti eder, temel standartlar için uyumluluk taramaları sunar ve NIST ve OWASP metodolojilerini kullanır. Girişlerin arkasındaki taramalar bir Chrome eklentisi aracılığıyla kolaylaştırılır.
Geliştirici dostu bir kontrol paneli, pentester’lar ve geliştiriciler arasındaki iletişimi kolaylaştırır. 7/24 uzman desteği, eyleme geçirilebilir risk bazlı puanlama ve sınırsız güvenlik açığı taramasıyla Astra, siber güvenlik yönetimi için güçlü bir araçtır.
Tehdit Algılama: Evet
AD Hoc Taramaları: Hayır
Desteklenen Platformlar: Web uygulaması, bulut güvenliği, mobil uygulama, api
Astra Pentest Özellikleri:
- CI/CD entegrasyonları Slack, Jira, GitHub, GitLab ve daha fazlasıyla mümkündür.
- Güvenlik açıklarını bulmak için 8000’den fazla test senaryosu yürütür.
- Yapılan iyileştirme yamalarını iki kez kontrol eden yeniden tarama yapar.
- HIPAA, PCI-DSS, SOC2, GDPR ve ISO27001 için uyumluluk taramaları.
- Tarama özelliğini planlayın ve uygulamanızın sürekli izlendiğinden emin olun
- 7 günlük deneme mevcut
7 Günlük Astra Pentesti Ücretsiz Dene
6) Intrusion Detection Software
İzinsiz Giriş Tespit Yazılımı (Intrusion Detection Software), her türlü gelişmiş tehdidi tespit etmenizi sağlayan bir araçtır. DSS (Karar Destek Sistemi) ve HIPAA için uyumluluk raporlaması sağlar. Bu uygulama şüpheli saldırıları ve etkinlikleri sürekli olarak izleyebilir.
İzinsiz Giriş Tespit Yazılımı, kötü amaçlı IP‘leri, uygulamaları ve hesapları tanımlayabilen gerçek zamanlı günlük analizi sunar. Ağ taramalarını destekler, Orion, Zapier, Intune ve Jira ile entegre olur ve PCI DSS, SOX, NERC CIP, GLBA ve HIPAA standartlarıyla uyumludur. Yazılım, merkezi günlük toplama, otomatik tehdit algılama, entegre uyumluluk raporlaması ve sezgisel bir kontrol paneli sağlar. Windows için 2.639 dolardan başlayan fiyatlarla ve 30 günlük ücretsiz deneme sürümüyle mevcuttur.
Tehdit Algılama: Evet
AD Hoc Taramalar: Evet
Desteklenen Platformlar: Windows
Intrusion Detection Software Özellikleri:
- İzinsiz giriş tespit çabalarını en aza indirin.
- Etkin raporlamayla uyumluluk sunar
- Taramaları istek üzerine tarama yapacak şekilde ayarlayın
- Telefon, E-posta, bilet yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows
- Fiyat: Planlar 2.639 dolardan başlıyor
- Ücretsiz Deneme: 30 Gün
Intrusion Detection Software 30 Günlük Ücretsiz Deneme
7) NordVPN
NordVPN, internette gezinmeyi üç harfli ajanslara ve dolandırıcılara karşı korur. Müzik, sosyal medya ve videoya sınırsız erişim sunar; böylece bu programlar hiçbir zaman IP adreslerini, tarama geçmişini, DNS sorgularını veya trafik hedeflerini kaydetmez.
NordVPN, veri ihlali tarayıcısı ve IP taraması gibi ek özelliklerle birlikte IP adreslerini gizleyerek ve ağ verilerini şifreleyerek güçlü çevrimiçi güvenlik sunar. Gizli sitelere Bitcoin ve Tor erişimi yoluyla ödemeyi destekler. Platformlar arası desteğiyle araç aynı zamanda izleyici ve reklam engelleyiciler, 1 TB şifreli bulut depolama alanı, şifre yönetimi ve bölünmüş tünelleme sunuyor. Müşteri desteğine canlı sohbet, VPN kurulumu ve e-posta yoluyla ulaşılabilir. Aylık 11,99 dolardan başlayan fiyatlarla, yıllık ödemelerde %39 indirim ve 30 günlük ücretsiz deneme olanağı sunuyor.
NordVPN Özellikleri:
- 160 lokasyonda ve 94 ülkede sunucular
- Herhangi bir bant genişliği sınırlaması olmadan VPN’ye bağlanın.
- Sızıntı önleme ve şifreleme kullanarak çevrimiçi koruma sağlar.
- Yardıma e-posta ve canlı sohbet yoluyla 7/24 ulaşılabilir.
- Desteklenen Platformlar: Windows, macOS, Linux, Android ve iOS
- Fiyat: Planlar ayda 11,99 dolardan başlıyor. Yıllık Ödemelerde %39 İndirim.
- Ücretsiz Deneme: 30 Gün
NordVPN’i 30 Gün Ücretsiz Dene
8) Owasp
Açık Web Uygulama Güvenliği Projesi ( OWASP ), yazılım güvenliğini artırmaya odaklanmış, dünya çapında kar amacı gütmeyen bir kuruluştur. Proje, çeşitli yazılım ortamlarını ve protokollerini kalem testi için birden fazla araca sahiptir. Projenin amiral gemisi araçları şunları içerir:
- Zed Attack Proxy (ZAP – entegre bir sızma testi aracı)
- OWASP Bağımlılık Kontrolü (proje bağımlılıklarını tarar ve bilinen güvenlik açıklarına karşı kontrol yapar)
- OWASP Web Test Ortamı Projesi (güvenlik araçları ve belgelerin toplanması)
OWASP test kılavuzu, en yaygın web uygulaması olan penetrasyon testine yönelik “en iyi uygulamaları” verir.
Özellikler:
- Telefon ve E-posta yoluyla müşteri desteği sağlar
- Bu araç aynı zamanda R-Attacker’ı sağlar ve XSS, SQL veya OS Command enjeksiyonlarını yürütür.
- Bu araç, Web Uygulamalarını, Güvenlik Tarayıcılarını, ScanTitan Güvenlik Açığı Tarayıcısını, SecretScanner’ı, Trustkeeper Tarayıcısını vb. destekler.
- Desteklenen Platformlar: Windows, macOS, Linux, Android, iOS: iPhone / iPad
- Fiyat: Açık Kaynak / Ücretsiz
- Ücretsiz Deneme: Açık kaynak
İndirme bağlantısı: https://owasp.org/www-project-penetration-testing-kit/
9) WireShark
Wireshark, daha önce Ethereal olarak bilinen bir ağ analizi sızma testi aracıdır. Paketleri gerçek zamanlı olarak yakalayan ve bunları insan tarafından okunabilir bir formatta görüntüleyen en iyi penetrasyon testi araçlarından biridir. Temel olarak, ağ protokolleriniz, şifre çözme, paket bilgileri vb. hakkında en küçük ayrıntıları sağlayan bir ağ paket analizörüdür. Linux, Windows, OS X, Solaris, NetBSD‘de kullanılabilen açık kaynaklı bir sızma testi aracıdır. FreeBSD ve diğer birçok sistem içinde kullanılır. Bu araç aracılığıyla alınan bilgiler bir GUI veya TTY modu TShark Yardımcı Programı aracılığıyla görüntülenebilir.
WireShark, zengin VoIP analizinin yanı sıra verilerin derinlemesine incelenmesini, canlı yakalamayı ve çevrimdışı analizi sunan güçlü, çok platformlu bir test aracıdır. IPsec, ISAKMP, SSL/TLS, WEP ve WPA/WPA2 gibi protokoller için şifre çözme desteği ile internet, USB, Bluetooth ve Token Ring gibi çeşitli veri kaynaklarını destekler. Çıktı, XML ve CSV dahil olmak üzere birden fazla formata aktarılabilir. Araç aynı zamanda sezgisel renk kodlu analiz sağlar ve bir barkod tarayıcıyı destekler.
Wireshark Özellikleri:
- Canlı yakalama ve çevrimdışı analiz
- Zengin VoIP analizi
- Gzip ile sıkıştırılmış yakalama dosyalarının sıkıştırması anında açılabilir
- WireShark, IEEE 802.3-2005 gibi uyumluluk standartlarını destekler
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows, macOS, Linux ve UNIX
- Fiyat: Açık Kaynak / Ücretsiz
İndirme bağlantısı: https://www.wireshark.org/
10) Metaspoilt
Bu, pentest için kullanılabilecek en popüler ve gelişmiş çerçevedir. ‘Expoit’ kavramına dayanan açık kaynaklı bir araçtır , yani güvenlik önlemlerini ihlal eden bir kodu geçip belirli bir sisteme girmeniz anlamına gelir. Girilirse, hedef makinede işlemleri gerçekleştiren bir kod olan ‘payload’u çalıştırır ve böylece penetrasyon testi için mükemmel bir çerçeve oluşturur. IDS’in bypass ettiğimiz saldırıları önlemede başarılı olup olmadığını test etmek için harika bir test aracıdır.
Metaspoilt ağlarda, uygulamalarda, sunucularda vb. kullanılabilir. Apple’da çalışan bir komut satırı ve GUI’ye tıklanabilir arayüze sahiptir Mac OS X, Linux ve Microsoft Windows’ta çalışır.
Metaspoilt, üçüncü taraf içe aktarma, manuel kaba kuvvet saldırıları ve web sitesi penetrasyon testi sunar. Temel, akıllı ve manuel yararlanma yöntemleriyle birlikte temel bir penetrasyon testi raporu sağlanır. Ek olarak, standart temel çizgilerinin denetlenmesi için sihirbazlar sağlar.
Metasploit Özellikleri:
- Temel komut satırı arayüzü
- Nexpose ile sorunsuz bir şekilde bütünleşir
- Bu araç HTTP LoginScanner’ı ve FTP LoginScanner’ı destekler
- E-posta, Slack, Twitter aracılığıyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows, Linux ve macOS
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
- Ücretsiz Deneme: 30 Gün
İndirme linki: http://www.metasploit.com/
11)Kali
Kali yalnızca Linux Makinelerde çalışır. İhtiyaçlarınıza uygun bir yedekleme ve kurtarma programı oluşturmanıza olanak tanıyan en iyi kalem test araçlarından biridir. Bugüne kadarki en büyük güvenlik sızma testi koleksiyonu veritabanını bulmanın ve güncellemenin hızlı ve kolay bir yolunu destekler. Paket koklama ve enjekte etme için mevcut en iyi araçtır. Bu aracı kullanırken TCP/IP protokolü ve ağ oluşturma konusundaki uzmanlık faydalı olabilir.
Kali, LAN ve WLAN koklama, şifre kırma, güvenlik açığı taraması ve dijital adli tıp özellikleriyle donatılmış kapsamlı bir sızma testi aracıdır. Metaspoilt ve Wireshark gibi araçlarla sorunsuz bir şekilde bütünleşir ve Sızma Testi, Güvenlik Araştırması, Bilgisayar Adli Bilimi ve Tersine Mühendisliği destekler.
Kali Linux Özellikleri:
- 64 bit desteğinin eklenmesi kaba kuvvetle şifre kırmaya olanak tanır
- Ağ araçlarının yanı sıra pidgin, xmms, Mozilla, k3b vb.’yi de içerir.
- Kali, KDE ve Gnome’u destekler.
- Destek sayfası aracılığıyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows, Linux ve macOS
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme linki: https://www.kali.org
12) AirCrack
Aircrack kullanışlı bir kablosuz sızma testi aracıdır. Savunmasız kablosuz bağlantıları kırar. WEP WPA ve WPA 2 şifreleme Anahtarları tarafından desteklenmektedir.
Aircrack, her türlü işletim sistemini ve platformu destekleyen çok yönlü bir araçtır. Daha fazla kart/sürücü desteği, yeni bir WEP saldırı yöntemi PTW ve WEP sözlüğü saldırısı dahil olmak üzere bir dizi özellik sunar. Ayrıca ISO MD5 ve CD-ROM ISO standartlarına uygunluk da sağlanmaktadır. Araç, Airodump-ng ve Coverity taramalarını destekleyerek siber güvenlik ortamındaki işlevselliğini güçlendiriyor.
AirCrack Özellikleri:
- Parçalanma saldırısı desteği
- Geliştirilmiş izleme hızı
- Bu araç aynı zamanda İzinsiz Giriş Tespiti sağlar
- E-posta, Öğreticiler, Videolar aracılığıyla müşteri desteği sağlar
- Desteklenen Platformlar: Linux, Windows, macOS, FreeBSD, OpenBSD, NetBSD ve eComStation 2.
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: https://www.aircrack-ng.org/downloads.html
13) SQLMap
Sqlmap açık kaynaklı bir penetrasyon test aracıdır. SQL enjeksiyon kusurlarını tespit etme ve kullanma sürecinin tamamını otomatikleştirir. İdeal bir penetrasyon testi için birçok tespit motoru ve özelliği ile birlikte gelir.
Sqlmap, SQL enjeksiyonlarını yönetmek, doğrudan veritabanı bağlantılarına izin vermek ve şifre karmaları için destek sağlamak, kullanıcıları, ayrıcalıkları, veritabanlarını, rolleri, sütunları ve tabloları numaralandırmak için kapsamlı bir araçtır. Parola karmalarını kırabilir, veritabanı tablolarını veya belirli sütunları boşaltabilir ve isteğe bağlı komutları çalıştırabilir. Araç ayrıca tüm veritabanlarında belirli veritabanı adlarını, tabloları veya sütunları arayabilir. LetsEncrypt ve GitHub ile entegre olup Windows ve Linux için kullanılabilir.
Sqlmap Özellikleri:
- Altı SQL enjeksiyon tekniği için tam destek
- Kullanıcılar ayrıca her sütunun girişinden bir dizi karakter seçebilir
- Etkilenen sistem ile veritabanı sunucusu arasında TCP bağlantısı kurulmasına izin verir
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows ve Linux
- Fiyat: Ücretsiz İndirin
İndirme linki: https://sqlmap.org/
14) BeEF
Tarayıcı Kullanım Çerçevesi. Web tarayıcısına odaklanan bir pentest aracıdır. Sorunları izlemek ve git deposunu barındırmak için GitHub’u kullanıyor.
Özellikler:
- İstemci tarafı saldırı vektörlerini kullanarak gerçek güvenlik duruşunun kontrol edilmesine olanak tanır
- BeEF, bir veya daha fazla web tarayıcısını bağlayarak yönlendirilmiş komut modüllerini ve sistem saldırılarını etkinleştirebilen bir araçtır.
- Mobil olanlar da dahil olmak üzere istemcilere yönelik web kaynaklı saldırıları destekler.
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Mac OSX 10.5.0 veya üzeri / modern Linux
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: http://beefproject.com
15) Dradis
Dradis, penetrasyon testleri için açık kaynaklı bir çerçevedir. Bir sızma testinin katılımcıları arasında paylaşılabilecek bilgilerin korunmasına olanak tanır. Toplanan bilgiler kullanıcıların neyin tamamlandığını ve neyin tamamlanması gerektiğini anlamalarına yardımcı olur.
Dradis, kolay rapor oluşturma, ek desteği ve kusursuz işbirliği sunan platformdan bağımsız bir araçtır. Sunucu eklentileri aracılığıyla mevcut sistem ve araçlarla bütünleşir ve mobil istemcilerdekiler de dahil olmak üzere web kaynaklı saldırıları destekler.
Dradis Özellikleri:
- Dradis, kolay rapor oluşturma, ek desteği ve kusursuz işbirliği sunan platformdan bağımsız bir araçtır.
- Sunucu eklentilerini kullanarak mevcut sistem ve araçlarla entegrasyon
- Sunucu eklentileri aracılığıyla mevcut sistem ve araçlarla bütünleşir ve mobil istemcilerdekiler de dahil olmak üzere web kaynaklı saldırıları destekler.
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Mac OSX 10.5.0 veya üzeri / modern Linux
- Fiyat: Ücretsiz İndirin
İndirme bağlantısı: https://dradisframework.com/ce
16) Scapy
Scapy güçlü ve etkileşimli bir kalem test aracıdır. Ağ üzerinde tarama, araştırma ve saldırı gibi birçok klasik görevi yerine getirebilir.
Scapy, diğer araçları geride bırakan birleştirme tekniklerini kullanarak, geçersiz çerçeveler gönderme ve 802.11 çerçeveleri ekleme gibi görevleri gerçekleştiren çok yönlü bir araçtır.
ISO 11898, ISO 14229 ve ISO-TP standartlarıyla uyumludur ve OBD, ISOTP, DoIP/HSFZ ve Durum Bilgili Tarayıcıları destekler. Ek özellikler arasında Hizmet Keşfi, Uzaktan Prosedür Çağrıları ve Yayınlama/Abone Olma işlevleri bulunur.
Scapy Özellikleri:
- Kullanıcıların tam olarak istedikleri paketleri oluşturmalarına olanak tanır
- Belirli bir kodu yürütmek için yazılan satır sayısını azaltır
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Linux, OSX, BSD ve Windows
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: https://scapy.net/
17) Ettercap
Ettercap kapsamlı bir kalem test aracıdır. Aktif ve pasif diseksiyonu destekleyen en iyi güvenlik test araçlarından biridir. Ayrıca ağ ve ana bilgisayar analizi için birçok özellik içerir.
Ettercap, ana bilgisayar taraması ve proxy bağlantıları aracılığıyla bile HTTP SSL güvenliğine sahip verileri koklama yeteneği gibi özellikler sunan güçlü bir araçtır. API’sini kullanarak özel eklentilerin oluşturulmasına olanak tanır, e-posta yoluyla müşteri desteği sağlar ve modern, yeniden işlenmiş bir GTK3 kullanıcı arayüzü içerir. Ek özellikler arasında yeniden işlenmiş Oracle O5LOGON ayrıştırıcısı ve çok iş parçacıklı ad çözümlemesi yer alır. Windows için kullanılabilir.
Özellikler:
- Birçok protokolün aktif ve pasif diseksiyonunu destekler
- İki ana bilgisayar arasındaki anahtarlamalı LAN’ı koklamak için ARP zehirlenmesi özelliği
- Canlı bağlantıyı sürdürürken karakterler bir sunucuya veya istemciye enjekte edilebilir
- Ettercap, tam çift yönlü olarak bir SSH bağlantısını koklama yeteneğine sahiptir
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: https://www.ettercap-project.org/downloads.html
18) HCL AppScan
HCL AppScan, web uygulaması güvenliğinin ve mobil uygulama güvenliğinin geliştirilmesine yardımcı olur. Uygulama güvenliğini artırır ve mevzuat uyumluluğunu güçlendirir. Kullanıcıların güvenlik açıklarını belirlemesine ve rapor oluşturmasına yardımcı olur.
HCL AppScan, kurumsal risk görünürlüğünün artırılmasını sağlayan ve sorunların bulunmasına ve düzeltilmesine yardımcı olan kapsamlı güvenlik çözümleri sunar. Araç, ISO 27001, ISO 27002 ve PCI-DSS standartlarını destekler ve IBM Commerce ile entegre olur. Günlük, haftalık veya aylık tarama planlaması sunar ve Dinamik (DAST), Statik (SAST) ve Etkileşimli (IAST) taramayı destekler. Özellikler aynı zamanda kognitif yetenekleri, DevOps’ta bulut uygulaması güvenlik testini ve test optimizasyonunu da içerir. Linux, Mac, Android ve Windows için kullanılabilir.
HCL AppScan Özellikleri:
- SDLC süreci sırasında test gerçekleştirmek için Geliştirme ve Kalite Güvencesinin etkinleştirilmesi
- Her kullanıcının hangi uygulamaları test edebileceğini kontrol edin
- Raporları kolayca dağıtın
- LiveChat, İletişim Formu, Telefon aracılığıyla müşteri desteği sağlar
- Desteklenen Platformlar: Linux, Mac, Android ve Windows
- Fiyat: Satıştan Teklif İste
- Ücretsiz Deneme: 30 Gün
İndirme bağlantısı: https://www.hcltechsw.com/appscan
19) Arachni
Arachni, penetrasyon test uzmanları ve yöneticiler için açık kaynaklı Ruby çerçeve tabanlı bir araçtır. Modern web uygulamalarının güvenliğini değerlendirmek için kullanılır.
Arachni, platform parmak izi alma, kullanıcı aracısı sahtekarlığı, kapsam yapılandırması ve özel 404 sayfa algılama gibi özellikler sunan çok yönlü bir güvenlik aracıdır. Basit bir komut satırı tarayıcı yardımcı programı olarak veya yüksek performanslı bir tarayıcı ızgarası olarak çalışma kapasitesine sahiptir. Çoklu dağıtım seçenekleriyle, doğrulanabilir, incelenebilir bir kod tabanı aracılığıyla yüksek düzeyde koruma sağlar ve tarayıcı ortamlarıyla kolayca entegre olabilir.
Özellikler:
- Arachni, PCI DSS gibi uyumluluk standartlarını destekler
- Son derece ayrıntılı ve iyi yapılandırılmış raporlar sunar
- Bu araç CLI tarayıcıyı ve web uygulaması tarayıcısını destekler
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows, BSD, Linux, Unix ve Solaris
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: https://github.com/Arachni/arachni
20) Wapiti
Wapiti bir başka ünlü penetrasyon testi aracıdır. Web uygulamalarının güvenliğinin denetlenmesine olanak sağlar. Güvenlik açığı kontrolleri için hem GET hem de POST HTTP yöntemlerini destekler .
Wapiti, kullanıcıların tarama kapsamlarını sınırlamasına olanak tanıyan ve web uygulaması güvenlik açığı taramasını destekleyen güçlü bir araçtır. URL parametrelerini otomatik olarak kaldırma, çerez içe aktarma, SSL sertifikası doğrulama ve Flash SWF dosyalarından URL çıkarma gibi özellikler sunar.
HTTPS, HTTP ve SOCKS5 proxy’lerini destekler ve çeşitli formatlarda güvenlik açığı raporları oluşturur.
Wapiti Özellikleri:
- Çeşitli formatlarda güvenlik açığı raporları oluşturur
- Bir taramayı veya saldırıyı askıya alabilir ve devam ettirebilir
- Saldırı modüllerini etkinleştirmenin ve devre dışı bırakmanın hızlı ve kolay yolu
- HTTP ve HTTPS proxy’lerini destekleyin
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows ve Linux
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: https://github.com/wapiti-scanner/wapiti
21) Kismet
Kismet, kablosuz ağ dedektörü ve saldırı tespit sistemidir. Wi-Fi ağlarıyla çalışır ancak diğer ağ türlerini yönetmesine izin verdiği için eklentiler aracılığıyla genişletilebilir.
Kısmet, temel özelliklerin genişletilmesi, çoklu yakalama kaynağı desteği ve dağıtılmış uzaktan algılama için eklenti mimarisine sahip dinamik bir araçtır. Diğer araçlarla entegrasyon için XML çıktısı sağlar.
Ek teklifler arasında entegre kitaplıklar, yapılandırma dosyaları, Kısmet WIDS ve Uyarılar ve İzinsiz Giriş Tespiti işlevleri bulunur. Windows, Linux ve OSX platformlarıyla uyumludur.
Kismet Özellikleri:
- Bu penetrasyon testi yazılımı standart PCAP günlüğünün kaydedilmesine olanak tanır
- İstemci/Sunucu modüler mimarisi
- Prelude SIEM ile sorunsuz bir şekilde bütünleşir
- Bu araç BT ve BTLE taramasını destekler
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Linux, OSX ve Windows
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme linki: https://www.kismetwireless.net/download/
22) OpenSSL
Bu araç seti Apache tarzı bir lisans kapsamında lisanslanmıştır. TLS ve SSL protokolleri için tam özellikli bir araç seti sağlayan ücretsiz ve açık kaynaklı bir projedir.
Çeşitli diller için sarmalayıcılarla C dilinde yazılan OpenSSL, kriptografi için değerli bir araçtır. CSR dosya doğrulamasının yanı sıra RSA özel anahtarları ve Sertifika İmzalama İstekleri oluşturmaya yönelik araçlar içerir. OpenSSL, ISO/IEC 10118-3:2004 gibi uyumluluk standartlarını destekler ve Windows için mevcuttur.
Özellikler:
- Parolayı Anahtardan tamamen kaldırın
- Yeni bir Özel Anahtar oluşturun ve Sertifika İmzalama İsteğine izin verin
- DPDK ve Speck Cipher ile sorunsuz bir şekilde bütünleşir
- Bu araç aynı zamanda Güvenlik Hatalarının Raporlanmasını da sağlar
- E-posta, Telefon yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: https://www.openssl.org/source/
23) Snort
Snort, açık kaynaklı bir saldırı tespit ve kalem test sistemidir. İmza protokolü ve anormallik tabanlı denetim yöntemlerinin avantajlarını sunar. Bu, sızma testi için en iyi araçlardan biridir ve kullanıcıların kötü amaçlı yazılım saldırılarına karşı maksimum koruma almasına yardımcı olur.
Snort, URL’lerdeki şifre kabulünü kontrol edebilen ve Sertifika İmzalayan Yetkiliyi doğrulayabilen çok yönlü bir kalem testi yazılımıdır. Ağ, OpenVAS ve Güvenlik tarayıcılarını destekler ve hatalı pozitif/negatif sonuçların gönderilmesini sağlar. Splunk ve Cisco ile entegre olan Snort, aynı zamanda İzinsiz Giriş Tespiti yetenekleri de sunar ve Windows için mevcuttur.
Snort Özellikleri:
- Snort, tehditleri yüksek hızlarda doğru bir şekilde tespit edebilmesiyle ün kazandı
- Çalışma alanınızı ortaya çıkan saldırılara karşı hızla koruyun
- Snort, özelleştirilmiş benzersiz ağ güvenliği çözümleri oluşturmak için kullanılabilir
- Belirli bir URL’nin SSL sertifikasını test edin
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: https://www.snort.org/downloads
24) THC Hydra
Hydra paralelleştirilmiş bir oturum açma korsanı ve kalem test aracıdır. Çok hızlı ve esnektir ve yeni modüllerin eklenmesi kolaydır. Bu araç, araştırmacıların ve güvenlik danışmanlarının yetkisiz erişimi bulmasına olanak tanır.
THC Hydra, herhangi bir karma algoritma ve karakter kümesi için gökkuşağı tablolarını destekleyen güçlü bir araçtır. Zaman-bellek değişimi, parola kırma ve ağ güvenliği işlevleri sağlar. Linux, BSD, Solaris, MacOS, Windows ve Android dahil olmak üzere birden fazla platformda mevcuttur.
Hydra Özellikleri:
- Çok çekirdekli işlemci desteğine ilişkin hesaplama
- GUI ve Komut satırı kullanıcı arayüzünü destekleyin
- Desteklenen tüm işletim sistemlerinde birleşik gökkuşağı tablosu dosya formatı
- Bu araç bir Bağlantı Noktası tarayıcısını destekler
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Linux, BSD, Solaris, MacOS, Windows ve Android
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
İndirme bağlantısı: https://github.com/vanhauser-thc/thc-hidra
25) USM Anywhere
Open Threat Exchange USM Anywhere ücretsiz bir hizmettir. Profesyonellerin kuruluşlarının itibarını takip etmelerine olanak tanır. Bu aracın yardımıyla işletmeler ve kuruluşlar, varlıklarının genel IP’sini ve alan adı itibarını takip edebilir.
USM Anywhere, varlık tarama, bulut ve ağa izinsiz giriş tespit özellikleri sunan uygun maliyetli bir güvenlik çözümüdür. Slack ile sorunsuz bir şekilde bütünleşir ve taramaların günlük, haftalık veya aylık olarak planlanmasını destekler. Araç, ISO 27001 standartlarıyla uyumludur ve kullanıcı ve varlık yapılandırması, günlük depolama ve bulut altyapısı değerlendirmesi gibi işlevleri içerir. Linux, OSX ve Windows için kullanılabilir.
USM Anywhere Özellikleri:
- Bulutu, hibrit bulutu ve şirket içi altyapıyı izler
- Ortaya çıkan tehditler hakkında güncel bilgilere sahip olmak için sürekli tehdit istihbaratı sağlar
- En kapsamlı tehdit tespitini ve eyleme geçirilebilir olay müdahale direktiflerini sağlar
- Hızlı, kolay ve daha az çabayla devreye alınır
- Sohbet, İletişim Formu, Telefon yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Linux, OSX ve Windows
- Fiyat: Planlar ayda 1075 dolardan başlıyor.
- Ücretsiz Deneme 14 Gün
İndirme bağlantısı: https://cybersecurity.att.com/products/usm-anywhere/free-trial
26) John the Ripper
JTR olarak bilinen John the Ripper, çok popüler bir şifre kırma aracıdır. Öncelikle sözlük saldırıları gerçekleştirmek için kullanılır. Bir ağdaki zayıf parola güvenlik açıklarının belirlenmesine yardımcı olur. Ayrıca kullanıcıları kaba kuvvet ve gökkuşağı çatlak saldırılarına karşı da destekler.
John the Ripper, güvenlik taraması, OpenVAD taraması ve Nmap taraması gibi işlevler sunan açık kaynaklı bir parola güvenliği denetleme ve parola kurtarma aracıdır. Sürüm değişikliği özetleri de dahil olmak üzere belgelere çevrimiçi göz atılmasına olanak tanır ve DKMS, Bitbucket Server, Continuous ve LDAP ile sorunsuz bir şekilde bütünleşir. ISO-2022 ve ISO-9660 standartlarına uygundur, izinsiz giriş tespiti sağlar ve Linux, Mac, Android ve Windows için kullanılabilir.
John the Ripper Özellikleri:
- Proaktif şifre gücü kontrol modülü
- Belgelerin çevrimiçi olarak taranmasına olanak tanır
- Birçok ek karma ve şifre türü desteği
- E-posta, Telefon yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Linux, Mac, Android ve Windows
- Fiyat: Profesyonel Planlar 39,95 dolardan başlıyor
- Ücretsiz Deneme Temel sürümü ücretsiz
İndirme bağlantısı: https://www.openwall.com/john/
27) Zenmap
Zenmap resmi Nmap Güvenlik Tarayıcı yazılımıdır. Çok platformlu, ücretsiz ve açık kaynaklı bir uygulamadır . Yeni başlayanlar için kullanımı kolay olmakla birlikte deneyimli kullanıcılar için de gelişmiş özellikler sunmaktadır.
Zenmap, keşfedilen ağların topoloji haritalarını çizebilen ve iki tarama arasındaki farkları gösterebilen çok yönlü bir araçtır. Yöneticilerin yeni ana bilgisayarları veya hizmetleri izlemesine ve mevcut olanları izlemesine yardımcı olur. Nessus, OpenVAS, Core Impact, Nexpose, GFI LanGuard, QualysGuard, Retina ve Secunia PSI dahil olmak üzere çeşitli tarayıcıları destekler. ISO standartlarına uygundur ve kaynak kodu aracılığıyla Windows, macOS, Linux ve diğer işletim sistemleri için kullanılabilir.
Zenmap Özellikleri:
- İnteraktif ve grafiksel sonuçların görüntülenmesi
- Tek bir ana bilgisayarla veya tam taramayla ilgili ayrıntıları kullanışlı bir ekranda özetler.
- E-posta yoluyla müşteri desteği sağlar
- Desteklenen Platformlar: Windows, macOS, Linux (RPM), Diğer İşletim Sistemleri (kaynak kodu)
- Fiyat: Açık Kaynak Aracı İndirmesi Ücretsiz
- Ücretsiz Deneme Temel sürümü ücretsiz
İndirme bağlantısı: https://nmap.org/download.html
Sızma testi için yararlı olabilecek diğer araçlar şunlardır:
- Retina: Bir ön test aracından çok bir güvenlik açığı yönetim aracına benzer
- Nessus: Uyumluluk kontrolleri, hassas veri aramaları, IP taraması, web sitesi taraması vb. konulara odaklanır.
- ÇEKİRDEK Etkisi: Bu yazılım, mobil cihaz sızması, şifre tanımlama ve kırma, ağ cihazı sızması vb. için kullanılabilir. Yazılım testinde en pahalı araçlardan biridir.
- Burpsuite: Diğerleri gibi bu yazılım da ticari bir üründür. Proxy’yi, web uygulaması taramasını, tarama içeriğini, işlevselliği vb. engelleyerek çalışır. Burpsuite kullanmanın avantajı, bunu Windows, Linux ve Mac OS X ortamlarında kullanabilmenizdir.
Sızma Testi (Pentest) Aracı SSS
En İyi Sızma Testi Araçları
İsim | platformu | Ücretsiz deneme | Bağlantı |
---|---|---|---|
Invicti | Web | 15 Günlük Ücretsiz Deneme | Daha fazla bilgi edin |
Acunetix | Windows, Mac | Ücretsiz demo rezervasyonu yapın | Daha fazla bilgi edin |
Intruder | Cloud, Web apps, APIs, Network (internal & external) | 30 Günlük Deneme | Daha fazla bilgi edin |
İndusface Was | Windows, Android ve iOS | 14 Günlük Ücretsiz Deneme | Daha fazla bilgi edin |
Astra Pentest | Web app, cloud security, mobile app, API | 7 Günlük Ücretsiz Deneme | Daha fazla bilgi edin |