Security 网络笔测试推荐-工具和；外部承包商建议

我不确定这是否是一个合适的问题，但我还是会继续，因为我不确定

我一直在为我当前的项目寻找笔测试工具，并找到了一些，但最终还是要认真对待这一点，寻找一个专门从事这类工作的专业组织或个人

寻找工具的原因仅仅是为了让我能够在开始一个完整的笔测试周期之前摘下挂不住的果实。这也有望使该过程更便宜，因为我将有望解决所有明显的漏洞

工具和资源

组织和个人

---

我想知道是否有任何资源可以对执行这些任务的组织进行评估和审查？是否有任何组织可以推荐您以前使用过并取得良好效果？

@Jammer，我不确定是否存在您想要的评级。我个人的观点是，无论您是在寻求认证或法规遵从性，还是只是试图提高安全性，都要对您的需求进行研究。基于这些标准，您可以查看pentesting组织并自行评估它们。这个链接可能会有所帮助

无论如何，在选择第三方供应商或拥有自己的安全团队之间总是存在权衡。您可以咨询第三方，然后拥有自己的内部安全培训QA团队

---

希望这能有所帮助。

恐怕您列出的一些工具具有可比性

Burp是一种代理扫描工具。您可以使用burp拦截流量，并在发送到服务器之前处理请求。专业版有扫描仪，可根据您发送的特定请求使用扫描仪

Nikto和Appscan是自动扫描仪。最后，您需要消除误报，也可能有误报结果

nmap是一个功能强大的工具，用于通过脚本引擎进行网络搜索，如端口扫描、ftp、snmp等相关搜索

此外，使用自动化工具不会降低渗透测试成本。因为在任何情况下，你都应该在公开你的应用程序之前接受渗透测试服务

降低安全成本不是一个好主意，相反，最好雇佣具有安全编码背景的开发人员，或者将安全开发生命周期应用到您的开发环境中

---

如果你还有其他问题，请回答

这是一个太宽泛而无法回答的问题，可能不是解决堆栈溢出（甚至security.se）的最佳问题。如果你在寻找某个特定的东西，也许有人可以帮助你，但这似乎更像是一个非常广泛的“我有什么选择”的问题，回答起来可能非常主观，也非常广泛。