Python渗透测试工具都有哪些

在对一个网站进行渗透测试时要用到哪些工具~

要做网站渗透测试，首先我们要明白以下几点：
1、什么叫渗透测试？
渗透测试最简单直接的解释就是：完全站在攻击者角度对目标系统进行的安全性测试过程。
2、进行渗透测试的目的？
了解当前系统的安全性、了解攻击者可能利用的途径。它能够让管理人员非常直观的了解当前系统所面临的问题。
3、渗透测试是否等同于风险评估？
不是，你可以暂时理解成渗透测试属于风险评估的一部分。事实上，风险评估远比渗透测试复杂的多，它除渗透测试外还要加上资产识别，风险分析，除此之外，也还包括了人工审查以及后期的优化部分。
4、渗透测试是否就是黑盒测试？
否，很多技术人员对这个问题都存在这个错误的理解。渗透测试不只是要模拟外部黑客的入侵，同时，防止内部人员的有意识（无意识）攻击也是很有必要的。
5、渗透测试涉及哪些内容?
技术层面主要包括网络设备，主机，数据库，应用系统。另外可以考虑加入社会工程学（入侵的艺术/THE ART OF INTRUSION）。
6、渗透测试有哪些不足之处？
主要是投入高，风险高。而且必须是专业的网络安全团队（或公司，像网堤安全）才能相信输出的最终结果。
看完以上内容，相信大家已经明白渗透测试是不能光靠工具的，还要有专业的人员才行。推荐还是选择专攻网络安全这一块的公司或团队进行。

目前我只清楚sqlmap比较不错

网络

Scapy, Scapy3k: 发送，嗅探，分析和伪造网络数据包。可用作交互式包处理程序或单独作为一个库

pypcap, Pcapy, pylibpcap: 几个不同 libpcap 捆绑的python库

libdnet: 低级网络路由，包括端口查看和以太网帧的转发

dpkt: 快速，轻量数据包创建和分析，面向基本的 TCP/IP 协议

Impacket: 伪造和解码网络数据包，支持高级协议如 NMB 和 SMB

pynids: libnids 封装提供网络嗅探，IP 包碎片重组，TCP 流重组和端口扫描侦查

Dirtbags py-pcap: 无需 libpcap 库支持读取 pcap 文件

flowgrep: 通过正则表达式查找数据包中的 Payloads

Knock Subdomain Scan: 通过字典枚举目标子域名

SubBrute: 快速的子域名枚举工具

Mallory: 可扩展的 TCP/UDP 中间人代理工具，可以实时修改非标准协议

Pytbull: 灵活的 IDS/IPS 测试框架（附带超过300个测试样例）

调试和逆向工程

Paimei: 逆向工程框架，包含PyDBG, PIDA , pGRAPH

Immunity Debugger: 脚本 GUI 和命令行调试器

mona.py: Immunity Debugger 中的扩展，用于代替 pvefindaddr

IDAPython: IDA pro 中的插件，集成 Python 编程语言，允许脚本在 IDA Pro 中执行

PyEMU: 全脚本实现的英特尔32位仿真器，用于恶意软件分析

pefile: 读取并处理 PE 文件

pydasm: Python 封装的libdasm

PyDbgEng: Python 封装的微软 Windows 调试引擎

uhooker: 截获 DLL 或内存中任意地址可执行文件的 API 调用

diStorm: AMD64 下的反汇编库

python-ptrace: Python 写的使用 ptrace 的调试器

vdb/vtrace: vtrace 是用 Python 实现的跨平台调试 API, vdb 是使用它的调试器

Androguard: 安卓应用程序的逆向分析工具

Capstone: 一个轻量级的多平台多架构支持的反汇编框架。支持包括ARM,ARM64,MIPS和x86/x64平台

PyBFD: GNU 二进制文件描述(BFD)库的 Python 接口

Fuzzing

Sulley: 一个模糊器开发和模糊测试的框架，由多个可扩展的构件组成的

Peach Fuzzing Platform: 可扩展的模糊测试框架(v2版本 是用 Python 语言编写的)

antiparser: 模糊测试和故障注入的 API

TAOF: (The Art of Fuzzing, 模糊的艺术)包含 ProxyFuzz, 一个中间人网络模糊测试工具

untidy: 针对 XML 模糊测试工具

Powerfuzzer: 高度自动化和可完全定制的 Web 模糊测试工具

SMUDGE: 纯 Python 实现的网络协议模糊测试

Mistress: 基于预设模式，侦测实时文件格式和侦测畸形数据中的协议

Fuzzbox: 媒体多编码器的模糊测试

Forensic Fuzzing Tools: 通过生成模糊测试用的文件，文件系统和包含模糊测试文件的文件系统，来测试取证工具的鲁棒性

Windows IPC Fuzzing Tools: 使用 Windows 进程间通信机制进行模糊测试的工具

WSBang: 基于 Web 服务自动化测试 SOAP 安全性

Construct: 用于解析和构建数据格式(二进制或文本)的库

fuzzer.py(feliam): 由 Felipe Andres Manzano 编写的简单模糊测试工具

Fusil: 用于编写模糊测试程序的 Python 库

Web

Requests: 优雅，简单，人性化的 HTTP 库

HTTPie: 人性化的类似 cURL 命令行的 HTTP 客户端

ProxMon: 处理代理日志和报告发现的问题

WSMap: 寻找 Web 服务器和发现文件

Twill: 从命令行界面浏览网页。支持自动化网络测试

Ghost.py: Python 写的 WebKit Web 客户端

Windmill: Web 测试工具帮助你轻松实现自动化调试 Web 应用

FunkLoad: Web 功能和负载测试

spynner: Python 写的 Web浏览模块支持 Javascript/AJAX

python-spidermonkey: 是 Mozilla JS 引擎在 Python 上的移植，允许调用 Javascript 脚本和函数

mitmproxy: 支持 SSL 的 HTTP 代理。可以在控制台接口实时检查和编辑网络流量

pathod/pathoc: 变态的 HTTP/S 守护进程，用于测试和折磨 HTTP 客户端

　　一、对于你的问题，首先明确测试类型，然后才能明确自动化测试类型，最后定位哪个类型用哪个方面的自动化测试工具。
　　1、测试类型可以包括：白盒测试、黑盒测试（功能测试、性能测试）等。
　　2、不同的测试类型使用的自动化测试方法不同，白盒测试主要针对代码级的单元测试、黑盒测试主要面对功能级和系统级的验证测试。
　　3、自动化测试，针对白盒测试，一般需要有一定的编程基础，即能够基于功能代码写测试代码，常用的单元测试方面的自动化测试工具很多，上网一搜全是。
　　4、自动化测试，针对功能测试，有几种情况，基于CLI、API和GUI的测试；基于CLI、API的测试，即应用脚本技术向设备模拟发送CLI命令或者API请求，以达到控制设备的效果。基于GUI功能测试，即应用传统的界面自动化测试工具(例如：RFT、QTP等）控制界面控件操作的方法，以达到模拟用户操作，这几种方式都需要你有一定的编码基础；基于CLI、API的需要你懂脚本技术（例如:tcl、python、ruby等），RFT需要你懂java或者.net、QTP需要VB等。
　
　5、你说的loadrunner就是性能测试方面的工具，即是测试软件性能、例如多用户操作等性能、也需要写代码，LR脚本支持的语言有：java、
c、Visual Basic、vbscrīpt。默认的脚本生成语言为
C;其实我想说的是，性能测试工具不重要，你需要掌握其性能测试的方法才是更重要的。
　　二、我感觉你想入门自动化测试，但是从你问的问题来看，有一定盲目性，我简单说一下自动化测试吧。
　　1、自动化测试，其理念就是应用各种手段模拟人工操作，节省人力测试成本，保证产品测试质量。
　　2、你想学好自动化软件测试，不是单单靠学习几个自动化工具就能掌握的，但是你可以从工具入手，首先，告诉你自动化测试的基础是：
　　1）编程技巧，包括高级语言和脚本语言，脚本语言是初期的掌握，可以有，tcl、phython、ruby等而高级语言，要好好学好一门，例如，我是对java为重点。还有，如果你是对web自动化测试的话，那么jsp、php、HTML、CSS等web语言是必须掌握的。
　　2）操作系统技巧；因为软件自动化测试是构建在操作系统上的，其技巧需要能善于利用到操作系统的各种技巧，例如：注册表、环境变量、句柄等。
　　3）数据库知识，要善于利用数据库知识去存储管理。
　　4）业务知识，这也是重点。你所在软件行业的软件业务，要知道你的软件的工作方式。
　　5）质量与流程管理理念。
　　然后，你的学习步骤：
　
　1）可以从工具入手，根据具体的项目去学习；例如：java软件界面测试（RFT、QTP的java插件等）、web界面测试（QTP、
selenium等）、性能测试（RPT、loadrunner等）。但记住，学习其工具，重点不是简单的使用，而是如何利用工具去扩展。
　　2）然后，重点学习以上的基础，以编程为重点，其余的结合学习，顺便说一句，其实自动化测试的理念与软件设计模式理念很像，你可以从中有所领悟。
　　3）之后，再学习去拓建自己的自动化测试框架，何谓框架，一下说不清楚，我给你推荐一下。
　　注意：如果没有自动化测试方面的实践项目的话，最好先从基础学起，因为基础学好了，自动化测试入门会很快的。
　　4（至于性能测试，也是一样，可以先从工具入手，但不要局限于工具，性能测试最重要的是环境的构建方法以及对测试结果的分析方法，所以性能测试重点在于分析和实现过程，而不是工具使用过程。

---

秀洲区13517962181： Python渗透测试工具都有哪些 - ？
巩舒清热： 一、对于你的问题,首先明确测试类型,然后才能明确自动化测试类型,最后定位哪个类型用哪个方面的自动化测试工具.1、测试类型可以包括:白盒测试、黑盒测试(功能测试、性能测试)等.2、不同的测试类型使用的自动化测试方法不...

秀洲区13517962181： 在对一个网站进行渗透测试时要用到哪些工具 - ？
巩舒清热： 重要的是思路,工具不是最重要的.一些工具:FireBug,Autoproxy,nmap,sqlmap,metasploit,Wireshark,外加一些python小脚本提高效率.

秀洲区13517962181： 常见的网络渗透测试工具有哪些? ？
巩舒清热： 综合检测 appscan、burp、JSky、safe3wvs、苹果FTP批量扫描工具、WebCruiser、WebSploit Toolkit V.1.9 wvs、x站神器3.7、x站神器3.7、cv6、百度新闻源挖掘机

秀洲区13517962181： 想学python,用来做自动化测试,不知道这个需要适用于什么测试工具,哪位大神 - ？
巩舒清热： 开源功能自动化测试工具:Watir、Selenium、MaxQ、WebInject 开源性能自动化测试工具:Jmeter、OpenSTA、DBMonster、TPTEST、Web Application Load Simulator 不过,大家用的最多的就是QTP和LR哈,希望对你有帮助

秀洲区13517962181： Python自动化测试工具大概有哪些 - ？
巩舒清热： 一、对于你的问题,首先明确测试类型,然后才能明确自动化测试类型,最后定位哪个类型用哪个方面的自动化测试工具. 1、测试类型可以包括:白盒测试、黑盒测试(功能测试、性能测试)等. 2、不同的测试类型使用的自动化测试方法不...

秀洲区13517962181： 黑客们会用到哪些Python技术 - ？
巩舒清热： 有用Python编写的开源的网络爬虫;抄还有很多渗透工具是用Python编写的,比袭如Sqlmap(用于网站渗透);最常见的是各种各样的2113Python编写的自动化渗透脚本,5261利用了Python编写起来简单、开发高效4102的特点,比如Kali上的wifite命令,就1653是用Python编写的自动化破WIFI的脚本.

秀洲区13517962181： python自动化测试的工具有哪些 - ？
巩舒清热： 同在软件测试岗位.由于同样初学python,所以没有太多的实践经验. 使用python的单元测试框架,可以建立测试类,构造测试集. 测试类中包含了common的测试方法定义,包括测试开始前建立测试环境的setUp方法和测试完成后清理还原环境的tearDown方...

秀洲区13517962181： 新手Python编写软件 - ？
巩舒清热： 1、python shell(安装后默认自带的) 2、Eclipse 3、PyCharm 4、Sublime Text5、Notepad++ 建议2、3选一个

秀洲区13517962181： Python有什么成熟的Web自动化测试工具? - ？
巩舒清热： 我曾经实现过web测试的自动化库,主要说一下模拟浏览器部分:对于IE,mshtml组件+一些windows API足够了,因为IE浏览器本身就是构建在这个组件之上,用这个跟真实的浏览器行为非常一致 对于Firefox,我们的方式是写一个plug in用来跟...

秀洲区13517962181： 支持python编写脚本的自动化测试工具? - ？
巩舒清热： Web UI test automation Web UI 自动化 libraries 各种库selenium webdriver - 浏览器自动化工具splinter - 简单的web自动化工具,让元素定位,表单提交等更加容易mechanize - 有状态可编程的浏览器frameworks and wrappers 框架和封装py....