一、Web 应用安全测试工具

1. 代理与漏洞扫描

OWASP ZAP – 开源全能型 Web 安全测试工具，支持手动 / 自动测试，含渗透测试、漏洞扫描等功能

• 下载：https://www.zaproxy.org/download/

Burp Suite Community – 免费版含基础功能，支持 HTTP/HTTPS 流量拦截、分析和修改

• 下载：https://portswigger.net/burp/communitydownload

Acunetix (AWVS) – 商业级 Web 漏洞扫描器，试用 14 天

• 下载：https://www.acunetix.com/vulnerability-scanner/download/

2. 渗透测试辅助

SQLMap – 自动 SQL 注入检测与利用工具，支持多种数据库

• 下载：https://github.com/sqlmapproject/sqlmap
• 安装：git clone –depth 1 https://github.com/sqlmapproject/sqlmap.git

Wfuzz/Gobuster – 用于 Web 目录、文件、参数爆破与枚举

Wfuzz：

• 下载：pip install wfuzz 或 pip install wfuzz[complete]
• GitHub：https://github.com/xmendez/wfuzz

Gobuster：

• 下载：go install github.com/OJ/gobuster/v3@latest (需 Go 环境)
• GitHub：https://github.com/OJ/gobuster/releases

3. 代码审计

SonarQube + SonarLint – 静态代码分析，检测代码质量与安全漏洞

• SonarQube：https://www.sonarsource.com/products/sonarqube/
• SonarLint：https://www.sonarsource.com/products/sonarlint/

二、移动应用安全测试工具

MobSF (Mobile Security Framework) – 支持 Android/iOS/Windows 应用的静态与动态分析

• 下载：https://github.com/MobSF/Mobile-Security-Framework-MobSF
• Docker 安装：docker pull opensecurity/mobile-security-framework-mobsf:latest

APKTool – Android APK 反编译工具，可将 APK 转为可读代码并支持重新编译

• 下载：https://ibotpeaches.github.io/Apktool/
• GitHub：https://github.com/iBotPeaches/Apktool/releases

三、网络安全测试工具

1. 网络扫描与探测

Nmap – 端口扫描、服务识别、操作系统探测的全能工具

• 下载：https://nmap.org/download.html
• Windows：下载.exe安装包
• Linux：sudo apt install nmap

Masscan – 高速网络端口扫描器，比 Nmap 更快

• 下载：https://github.com/robertdavidgraham/masscan

2. 流量分析

Wireshark – 网络数据包捕获与分析，网络安全领域的 “X 光机”

• 下载：https://www.wireshark.org/download.html
• 支持 Windows/macOS/Linux

TCPDump/WinDump – 命令行流量捕获工具

• Linux：预装，直接使用
• Windows：https://www.winpcap.org/windump/

3. 密码破解

John the Ripper – 密码破解工具，支持多种哈希类型

• 下载：https://www.openwall.com/john/

Hashcat – 高级密码破解工具，支持 GPU 加速，被誉为 “宇宙最快密码破解器”

• 下载：https://hashcat.net/hashcat/
• GitHub：https://github.com/hashcat/hashcat

四、漏洞扫描工具

OpenVAS (GVM) – 开源漏洞扫描器，已更名为 Greenbone Vulnerability Manager

• 下载：https://www.openvas.org/
• Kali Linux 预装，其他系统可通过包管理器安装

Nessus – 商业漏洞扫描器，提供专业报告，试用版免费

• 下载：https://www.tenable.com/downloads/nessus

Nikto – Web 服务器漏洞扫描工具，检测 6700 + 种潜在危险

• 下载：https://github.com/sullo/nikto
• 或从官网：https://cirt.net/Nikto2

五、其他常用安全工具

1. 渗透测试平台

Kali Linux – 预装 600 + 安全工具的 Linux 发行版，渗透测试首选

• 下载：https://www.kali.org/get-kali/
• 提供 ISO 镜像、虚拟机等多种形式

Metasploit Framework – 漏洞利用框架，含大量攻击模块和 payload

• 下载：https://www.metasploit.com/
• Windows：下载.msi安装包
• Linux：sudo apt install metasploit-framework

2. API 安全测试

Postman + Newman – API 测试与自动化，支持多种请求类型和断言

• Postman：https://www.postman.com/downloads/
• 桌面版 / 网页版均支持

3. 容器安全

Trivy – 轻量级容器镜像漏洞扫描工具

• 下载：https://github.com/aquasecurity/trivy
• 安装：curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh

Clair – Docker 镜像漏洞静态分析工具

• 下载：https://github.com/quay/clair

六、工具选择提议

必备工具组合：

• Web 测试：OWASP ZAP + Burp Suite 社区版 + SQLMap
• 移动测试：MobSF + APKTool
• 网络测试：Nmap + Wireshark
• 综合渗透：Kali Linux

下载渠道优先级：

1. 官方网站 (如zaproxy.org、portswigger.net)
2. GitHub 官方仓库
3. 包管理器 (如 pip、apt、brew)
4. 其他可信渠道