awesome-pentest:一份渗透测试资源清单 📅 2026/7/2 10:49:21 文章目录awesome-pentest一份渗透测试资源清单覆盖范围项目结构适合谁用awesome-pentest一份渗透测试资源清单做安全的人都知道渗透测试这个领域工具多、知识杂。光是搞清楚哪些工具好用、哪些书值得读就得花不少时间。GitHub 上有个项目专门解决这个问题叫 awesome-pentest目前 Star 数超过 26000。简单说这就是一份渗透测试资源的整理清单。项目维护者把各类安全工具、学习资料、社区资源按类别归好方便查阅。覆盖范围这份清单的内容覆盖面很广大致能分成几个方向工具类网络扫描方面收录了 Nmap、Masscan 这类常用工具还有专门做协议分析的 Wireshark、tcpdump。Web 渗透这块Burp Suite、sqlmap、OWASP ZAP 都在里面。密码破解有 Hashcat、John the Ripper。无线安全方面Aircrack-ng 这套工具也在列。比较有意思的是清单还单独列了反病毒规避工具。像 Shellter、Veil 这些专门用来测试杀软的检测能力。做红队的人对这块应该不陌生。漏洞利用和逆向漏洞开发工具收录了 Pwntools、peda 这些 CTF 和实战中常用的框架。逆向工程部分有 Ghidra、IDA 相关的资源。文件格式分析工具也有比如 ExifTool、Kaitai Struct。学习资料书单列了二十多本从入门到进阶都有。像《The Art of Exploitation》《Black Hat Python》《Metasploit: The Penetration Tester’s Guide》这些经典书目都在。还有专门的恶意软件分析、社会工程方向的书单。云安全这个方向是近几年新加的重点。AWS、Azure、GCP 三大云平台的攻击工具都有收录。Cloudsplaining 可以审计 AWS IAM 策略CloudHunter 能扫描云存储桶的权限配置Endgame 可以对 AWS 账户做渗透测试。OSINT 和社工开源情报收集这块清单整理了邮箱搜索、元数据分析、网络设备发现等方向的工具。社会工程部分除了工具还有专门的书单和在线资源。社区资源全球主要的安全会议都有列出。DEF CON、Black Hat、HITB、HITCON 这些老牌会议不用说国内的安全会议像 SECUINSIDE 也在里面。CTF 竞赛方面有 CTFTime 和专门的 CTF 工具集。项目结构清单按类别组织用 Markdown 格式写的目录结构清晰。每个工具都带一句话说明和链接找东西很快。项目有贡献指南社区成员可以提 PR 补充新工具或修正过时内容。适合谁用这份清单对几类人比较有用刚接触渗透测试的人可以把它当入门索引按类别逐步学习。做安全运维的人可以参考里面的漏洞扫描和审计工具。打 CTF 的人工具和书单部分直接能用。做红队的人反病毒规避和数据渗出那几个分类的工具都是实战向的。当然awesome 系列项目都有一个共同的问题内容更新不一定及时。有些工具可能已经停止维护了需要自己甄别。但作为整体了解渗透测试领域的全景图这份清单还是很有参考价值的。26000 多个 Star 说明社区认可度高。如果你对渗透测试有兴趣值得花时间翻一翻。考价值的。26000 多个 Star 说明社区认可度高。如果你对渗透测试有兴趣值得花时间翻一翻。