一个优秀的渗透测试工程师不仅要具备扎实的专业技能，熟知各种攻击手段和防御措施，还需要熟练使用各种各样的工具，这些缺一不可，因为借助工作可以让我们在短时间内完成测试任务。那么渗透测试的工具有哪些?本文为大家介绍一下。

　　1、Invicti Pro

　　invicti是一种自动化但完全可配置的web应用程序安全扫描程序，使您能够扫描网站、web应用程序和web服务，并识别安全漏洞。

　　2、BurpSuite

　　与web浏览器配合使用，可发现给定APP的功能和安全问题，是发起定制攻击的基础。目前，免费版本功能很有限，但付费版本提供全面的网络爬取和扫描功能、多攻击点、基于范围的配置。关于此工具最常见的评价是，它可用于自动化重复功能，提供app与服务器互动的良好视图。

　　3、Nmap

　　Nmap以隐秘的手法，避开闯入检测系统的监视，并尽可能不影响目标系统的日常操作。同时它还提供防火墙规避和欺骗功能。

　　4、Metasploit Pro

　　Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，web应用程序扫描，社会工程。

　　5、Cobalt Strike

　　Cobalt Strike是一款GUI的框架式渗透工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，Java木马生成，office宏病毒生成，木马捆绑;钓鱼攻击包括：站点克隆，目标信息获取，Java执行，浏览器自动攻击等等。

　　6、AWVS

　　AWVS，全称Acunetix Web Vulnerability Scanner，是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞。

　　7、Fortify

　　Fortify是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，通过与软件安全漏洞规则集进行匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并可导出报告。

　　8、OWASP ZAP

　　是一款web application集成渗透测试和漏洞工具，是免费开源跨平台的。OWASP_ZPA支持截断代理，主动、被动扫描，Fuzzy，暴力破解并且提供API。

　　9、DarkAngel

　　DarkAngel是一款全自动白帽漏洞扫描器，从hackerone、bugcrowd资产监听到漏洞报告生成、企业微信通知。

　　10、fscan

　　一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服务的爆*、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。