Web类

进攻

1、BurpSuite

2、python (使用2或3版本均可，需要安装requests类库)

3、Chrome或Firefox浏览器，需要安装插件hackbar和SwitchyOmega（代理工具）

4、蚁剑AntSword或菜刀工具，但有时连接会出现问题，可用hackbar先进行调试

5、漏洞扫描器（绿盟、nessus、awvs均可，绿盟能好一些不过收费，并且直接包含各种端口弱口令爆破功能，基本能包含nmap等各种类别的扫描功能）

6、Kali

7、sqlmap

8、MSF

9、漏洞利用工具

（1）ThinkPHP漏洞利用工具

（2）Strust2漏洞利用工具

1、D盾（进行webshell查杀，比河马查的准一些，但也有误报）

2、代码审计工具（seay）

3、添加waf

4、《Web安全漏洞加固手册v2.0》

1、IDA 静态逆向分析

2、OD 动态逆向分析（我习惯用吾爱破解黑色款，其实原版白色也一样）

3、python (使用2或3版本均可，需要安装pwntools类库，使用pip install pwntools安装--如果在线安装失败可离线安装)

4、Kali