免费/在线渗透测试工具

Question

我的雇主聘请了一名外部顾问进行渗透测试。web开发团队没有参与对其本身的控制，我们只收到了关于如何提高安全性的结果和建议，所以我对隐藏工具和方法没有经验。

我现在正致力于一个私人网站的开发，并且在这个阶段无法承受外部的压抑。该网站将包含一个包含客户数据的MySQL数据库。付款很可能是通过第三方来处理的。我已经开始研究一些在线赋值工具，特别是与SQL有关的工具。

是否有具体的测试，或检查清单、指南或测试网站安全性的标准方法，许多顾问都会作为最低限度遵循这些测试？显然，这应该是免费分发的材料，而不是专有的。

我完全理解自我测试永远取代不了安全顾问的专业知识，但我想尝试做同样多的自己，并可能最终要求顾问执行进一步的测试之前，我们去做，如果适当的话。

Answer 1

有一个老的笑话变体，运行这样的东西：

一家主要的报纸突然出现了他们通常可靠的高速打印机的问题。当他们无法迅速修复它时，有人说“查理”是那台特殊打印机的主人。

“查理呢？”

“他上周退休了。”

“按特别合同把他带进来！”

查理走了进来，绕着机器走来走去，盯着它看了10分钟，然后在一个地方放了一个粉笔“X”。“就在那儿用锤子敲”

他们击中了“X”，一切都开始运作了。

查理说：“那将是一万美元。”

“什么，这太离谱了！你只是做了个粉笔记号。我想要一张细列的发票。“

粉笔- $1.00知道放在哪里的“X”- $9,999.00

               ----------------------

In short，这不是工具，而是专业知识。