哪些網站可以用來做滲透測試

以下網站可以用來做滲透測試：

• Kali Linux：Kali的前身是BackTrack Linux，由進攻性安全部門的專業人員維護，它在各個方面都進行了優化，可以作為進攻性滲透測試器使用。

• Nmap：作為端口掃描器的鼻祖，nmap (network mapper)是一種久經考驗的測試工具，很少有人能離開它。哪些端口是開放的?那些端口上運行著什么?這是pentester在測試階段必不可少的信息，nmap通常是這項工作的最佳工具。

• Metasploit：對于大多數的測試者而言，Metasploit自動化了大量以前繁瑣的工作，并且真正成為“世界上最常用的滲透測試框架”，正如它的網站所鼓吹的那樣。Metasploit是一個由Rapid7提供商業支持的開源項目，對于防御者來說，它是保護他們的系統免受攻擊的必備工具。

• Wireshark：Wireshark是一種無處不在的工具，用于理解通過網絡傳輸的流量。雖然Wireshark通常用于深入研究日常TCP/IP連接問題，但它支持對數百個協議的分析，包括對其中許多協議的實時分析和解密支持。如果您是測試新手，Wireshark是一個必須學習的工具。

• Hydra：當您需要在線破解密碼時，John的伙伴Hydra就會發揮作用，比如SSH或FTP登錄、IMAP、IRC、RDP等。把Hydra指向你想要破解的服務，如果你愿意，可以給它一個密碼列表，然后開始破解。諸如Hydra之類的工具會提醒我們，為什么限制密碼嘗試的次數，以及在少量登錄嘗試后斷開用戶連接可以成功減輕攻擊者的防御能力。

• Burp Suite：任何關于pentest工具的討論都必須提到web漏洞掃描器Burp Suite，與目前提到的其他工具不同，它不是免費的，而是專業人員使用的昂貴工具。雖然有一個Burp Suite社區版，但它缺少很多功能，而Burp Suite企業版的售價高達每年3999美元。

• 黑客導航：含有眾多網安同類的官方網站及平臺，無論是老司機還是萌新，都可以找到相關的技術文章以學習。

• Game of Hacks：基于游戲的方式來測試使用者的安全技術，每個任務題目提供了大量的代碼，其中有可能有也可能沒有的安全漏洞。

• 封神臺靶場：是一個在線練習靶場，也是一個在線黑客攻防演練平臺，市面上的網站漏洞組成復雜，且有法律風險，想要提升技術能力，封神臺靶場無疑是一個很好的選擇。

• BWAPP：是一個集成了各種常見漏洞和最新漏洞的免費和開源的web應用程序安全項目，為了幫助網絡安全愛好者、開發人員和學生發現并防止網絡漏洞。

• Damn Vulnerable IOS App（DVIA）：是一個IOS安全應用，它的主要目標是給移動安全愛好者IOS的滲透測試技巧提供一個合法的平臺，其涵蓋了所有常見的IOS安全漏洞，免費開放源代碼、漏洞測試和解決方案。

• Dman Vulnerable Web Application（DVWA）：基于php和mysql的虛擬web應用，其內置常見的Web漏洞，如SQL注入、xss之類的，也可以搭建在自己的電腦上。

回答所涉及的環境：聯想天逸510S、Windows 10。