オープンソース セキュリティ テスト ツール トップ 9 (2025)

セキュリティ テスト ツールは、Web アプリ、データベース、サーバー、マシンを多くの脅威や脆弱性から保護します。 最高の侵入テスト ツールには、統合を容易にする API が付属しており、複数の展開オプション、幅広いプログラミング言語のサポート、詳細なスキャン機能、自動脆弱性検出、プロアクティブな監視などを提供します。

私たちはあなたのために9つの最高のセキュリティテストツールのリストをまとめました。

トップのオープンソース セキュリティ テスト ツール

お名前 脆弱性が検出されました 展開オプション プログラミング言語 リンク
ManageEngine Vulnerability Manager Plus クロスサイト スクリプティング、SSRF、XXE インジェクション、SQL インジェクションなど。 Windows, MacOS, Android, Linux Java, Python, Javaスクリプト もっと詳しく
Burp Suite クロスサイト スクリプティング、SQL インジェクション、XML 外部エンティティ インジェクションなど。 Linuxでは、 macOS, Windows Java, Python、そしてルビー もっと詳しく
SonarQube クロスサイト スクリプティング、特権獲得検出、ディレクトリ トラバーサルなど。 Linuxでは、 macOS, Windows Java、ネット、 Javaスクリプト、PHPなど もっと詳しく
Zed攻撃プロキシ セキュリティの設定ミス、認証の失敗、機密データの漏洩など。 Linuxでは、 macOS, Windows Javaスクリプト、 Python, etc. もっと詳しく
w3af LDAPインジェクション、SQLインジェクション、XSSインジェクションなど Linuxでは、 macOS, Windows Python の もっと詳しく
専門家の助言:
Krishna ルンタ

セキュリティ テスト ツールは、脆弱性の発見、信頼性の向上、データ侵害の防止、顧客の信頼の向上に大いに役立ちます。 すべてのニーズを満たし、既存の技術スタックと統合できるセキュリティ ツールを選択してください。 理想的なセキュリティ テスト サービスは、すべてのアプリ、サーバー、データベース、Web サイトをテストできる必要があります。  

1) ManageEngine Vulnerability Manager Plus

企業の脅威と脆弱性の管理に最適

脆弱性マネージャー プラス は、脆弱性を即座に検出して修復することで、企業ネットワークをエクスプロイトから保護する、統合された脅威と脆弱性管理ソリューションです。 

Vulnerability Manager Plus は、ネットワーク エンドポイントを侵害から保護するために、セキュリティ構成管理、自動パッチ適用モジュール、高リスク ソフトウェア監査、Web サーバーの強化など、多数のセキュリティ機能を提供します。

ManageEngineの

機能と特徴:

  • 複数のプラットフォーム、サードパーティ製アプリケーション、ネットワーク デバイスのリスクベースの脆弱性評価により、悪用可能で影響力のある脆弱性を評価し、優先順位を付けます。
  • パッチを自動的に展開する Windows, macOS、Linux。
  • ゼロデイ脆弱性を特定し、修正が到着する前に回避策を実装します。
  • セキュリティ構成管理により、構成ミスを継続的に検出して修正します。
  • セキュリティに関する推奨事項を取得して、複数の攻撃の変種を回避できる方法で Web サーバーをセットアップします。
  • サポートが終了したソフトウェア、ピアツーピア、安全でないリモート デスクトップ共有ソフトウェア、ネットワーク内のアクティブなポートを監査します。

ManageEngine にアクセス >>


2) Burp Suite

既存のアプリの統合に最適

Burp Suite は、高速スキャン、堅牢な API、セキュリティ ニーズを管理するためのツールを提供する、最高のセキュリティおよび侵入テスト ツールの 1 つです。さまざまな規模のビジネスのニーズに迅速に対応するために、複数のプランが用意されています。デルタやその他の多くの変更を使用して、セキュリティ体制の進化を簡単に視覚化する機能を提供します。

60,000 人を超えるセキュリティ専門家が、脆弱性の検出、ブルート フォース攻撃に対する防御などにこのセキュリティ テスト ツールを信頼しています。GraphQL API を使用して、スキャンの開始、スケジュール、キャンセル、更新を行い、完全な柔軟性で正確なデータを受信できます。 さまざまなパラメータをアクティブにチェックして、同時セキュリティ スキャンの頻度を自動的に調整します。

 

機能と特徴:

  • 自動化された OAST (アウトオブバンド アプリケーション セキュリティ テスト) は、多くの脆弱性の検出に役立ちます
  • Jenkinsなどのプラットフォームと統合できます。 TeamCity ダッシュボードにすべての脆弱性を視覚的に表示する
  • マルチユーザー システムを作成し、ユーザーにさまざまな機能、アクセス、権限を提供するツールを提供します。
  • 手動で作成したものを統合する Burp Suite 完全に自動化されたエンタープライズ環境へのプロのセットアップ
  • 脆弱性の検出: クロスサイト スクリプティング、SQL インジェクション、XML 外部エンティティ インジェクションなど。
  • API: Yes
  • 自動スキャン: Yes

メリット

  • クロール脆弱性の最大リンクの深さを指定できます。
  • スキャン速度を設定してリソース消費を制限する
  • 内蔵リピーター、デコーダー、シーケンサー、および比較ツール

デメリット

  • 初心者向けではなく、その動作を理解するのに多くの時間がかかります。

主な仕様:

サポートされているプログラミング言語: Java, Python、そしてルビー
導入オプション: Linuxでは、 macOS, Windows
オープンソース: Yes

リンク: https://portswigger.net/burp/communitydownload


3) SonarQube

複数のプログラミング言語に最適

SonarQube は、すべてのコードがクリーンで適切に維持されていることを確認するために、すべてのファイルを評価する高度なセキュリティ テスト機能を備えたオープンソース セキュリティ ツールです。強力な品質チェック機能を使用して、未確認のバグ、パフォーマンスのボトルネック、セキュリティの脅威、ユーザー エクスペリエンスの矛盾を見つけて修正できます。

Issue Visualizer は、複数のメソッドやファイルにわたって問題を追跡し、より迅速な問題解決を支援します。 25 以上の人気のあるプログラミング言語を完全にサポートしています。 エンタープライズおよびデータサーバーレベルのセキュリティテスト用に、クローズドソースの有料プランが 3 つあります。

SonarQube

機能と特徴:

  • 導入ツールを通じてバックグラウンドで継続的に動作することでエラーを特定します
  • アプリケーションがクラッシュしたりメモリが不足したりする傾向がある場合、メモリ リークなどの重大な問題を表示します。
  • プログラマーのスキル向上に役立つコードの品質に関するフィードバックを提供します。
  • あるコード ファイルから別のコード ファイルまでの問題をチェックするためのアクセシビリティ ツール
  • 脆弱性の検出: クロスサイト スクリプティング、権限の取得、ディレクトリ トラバーサルなど。
  • API: Yes
  • 自動スキャン: Yes

メリット

  • SonarLint プラグインを利用して IDE と直接統合します。
  • コードの問題を検出し、コードを修正するよう開発者に自動的に警告します。
  • 特定のプロジェクトまたはチームに異なるルールを設定するための組み込みサポート

デメリット

  • 時間のかかる初期セットアップ、構成、管理

主な仕様:

サポートされているプログラミング言語: Java、ネット、 Javaスクリプト、PHPなど
導入オプション: Linuxでは、 macOS, Windows
オープンソース: Yes

リンク: https://www.sonarqube.org/


4) Zed攻撃プロキシ

Web アプリケーションの脆弱性の発見に最適

ZAP または Zed Attack Proxy は、Open Web Application Security Project (OWASP) によって開発された侵入テスト ツールです。Web アプリケーションの脆弱性を簡単に発見して解決できます。これを使用すると、OWASP の脆弱性トップ 10 のほとんどを簡単に見つけることができます。API とデーモン モードを使用して、開発を完全に制御できます。

ZAP は、クライアントの Web ブラウザとサーバーの間の理想的なプロキシです。 このツールを使用すると、すべての通信を監視し、悪意のある試みを阻止できます。 テクノロジー スタックと簡単に統合するために使用できる REST ベースの API を提供します。

機能と特徴:

  • ZAP は Web スキャンを通じてすべてのリクエストとレスポンスを記録し、検出された問題についてアラートを提供します
  • Jenkins プラグインを利用して、セキュリティ テストを CI/CD パイプラインに統合できます。
  • ファザーは、 Javaアプリの脆弱性を明らかにするスクリプトペイロード
  • カスタム スクリプト アドオンにより、ZAP に挿入されたスクリプトを実行して内部データ構造にアクセスできるようになります
  • 脆弱性の検出: セキュリティの設定ミス、認証の失敗、機密データの漏洩など。
  • API: Yes
  • 自動スキャン: Yes

メリット

  • 柔軟なスキャン ポリシー管理を実現するカスタマイズ可能なパラメータ
  • 従来の Web クローラーと AJAX Web クローラーは、Web アプリケーションのすべてのページをスキャンします。
  • 高度なカスタマイズ性を保証する堅牢なコマンド ライン インターフェイス

デメリット

  • GUIベースのインターフェースがないため、初心者にとっては使いにくい

主な仕様:

サポートされているプログラミング言語: NodeJS, Javaスクリプト、 Python, etc.
導入オプション: Linuxでは、 macOS, Windows.
オープンソース: Yes

リンク: https://github.com/zaproxy/zaproxy


5) w3af

データが豊富なセキュリティ レポートの生成に最適

w3af は、Web アプリの脆弱性を特定して解決するのに最適なオープンソースのセキュリティ テスト ツールです。このツールを使用すると、Web サイトの 200 を超える脆弱性を簡単に検出できます。使いやすい GUI、強力なオンライン ナレッジ ベース、熱心なオンライン コミュニティ、初心者から経験豊富な専門家までを支援するブログを提供します。

これを使用して、セキュリティ テストを実行し、データが豊富なセキュリティ レポートを生成できます。SQL インジェクションの試み、コード インジェクション、ブルート フォース攻撃など、さまざまな攻撃から防御するのに役立ちます。プラグイン ベースのアーキテクチャを使用して、ニーズに応じて機能を追加/削除できます。

w3af

機能と特徴:

  • XSS、SQLI、CSF などの複数の脆弱性をテストするためのソリューションを提供します
  • Sed プラグインは、さまざまな正規表現を使用してリクエストとレスポンスを変更するのに役立ちます
  • GUI ベースのエキスパート ツールは、カスタム HTTP リクエストの簡単な作成と送信に役立ちます。
  • ファジーおよび手動リクエスト Generator この機能により、手動 Web アプリケーション テストに関連する問題が解消されます。
  • 脆弱性の検出: LDAPインジェクション、SQLインジェクション、XSSインジェクション
  • API: いいえ
  • 自動スキャン: いいえ

メリット

  • コンソール、電子メール、HTML、XML、テキストなど、さまざまなファイル形式をサポートします。
  • 制限された領域にアクセスしてクロールするためのデフォルトのユーザー名とパスワードを指定します
  • PHP の構成ミス、未処理のアプリケーション エラーなどの検出に役立ちます。

デメリット

  • 統合を作成および管理するための API が組み込まれていない

主な仕様:

サポートされているプログラミング言語: Python
導入オプション: Linuxでは、 macOS, Windows
オープンソース: Yes

リンク: https://github.com/andresriancho/w3af/


6) ワピチ

最高のオープンソース脆弱性検出器

Wapiti は、あらゆる技術スタックで機能する最高級の脆弱性検出プログラムです。サーバー上の潜在的に危険なファイルを自動的に識別して修復できるため、セキュリティ脅威に対する強力な防御ラインとなります。サーバーに対するブルートフォース攻撃を検出して保護するのに最適なツールです。さらに、このツールには、セットアップを支援したり、専門的なアドバイスを提供したりするセキュリティ専門家のアクティブなコミュニティがあります。

このツールを使用すると、.htaccess ファイルや危険なデータベースなどに関する潜在的な問題など、多数のサーバー レベルの脆弱性を検出できます。 さらに、このコマンドライン プログラムは、Web サイトにテスト ペイロードを挿入できます。

ワピチ

機能と特徴:

  • HTML、XML、JSON、TXT などでデータドリブンの脆弱性レポートを生成します。
  • 基本、ダイジェスト、NTLM、または GET/POST メソッドを使用したログイン フォームの認証。
  • 実行中のセキュリティスキャンを一時停止し、後で再開することができます
  • ウェブサイトをクロールし、適切なセキュリティテストのために「ブラックボックス」スキャンを実行します。
  • 脆弱性の検出: Shellshock または Bash バグ、SSRF、XXE インジェクションなど。
  • API: いいえ
  • 自動スキャン: いいえ

メリット

  • HTML、XML、JSON、TXT などのさまざまな形式でデータ駆動型の脆弱性レポートを作成します。
  • 同時 HTTP リクエストの頻度を完全に制御します
  • wapiti-get cookie ツールを使用すると、Cookie を簡単にインポートできます。

デメリット

  • 自動脆弱性スキャンはサポートされていません。

主な仕様:

サポートされているプログラミング言語: Python のみ
導入オプション: FreeBSDとLinux
オープンソース: Yes

リンク: https://wapiti-scanner.github.io/


7) スナック

コードを保護するための最高のセキュリティ プラットフォーム

Snyk は、展開前でもコードの脆弱性を検出できる理想的なツールです。 IDE、レポート、ワークフローに統合できます。 Sync ロジック プログラミングの原則を使用して、コードの作成時にセキュリティの脆弱性を検出します。また、自己学習リソースを利用して、アプリケーションのセキュリティ テストを改善することもできます。

Snyk の組み込みインテリジェンスは、サーバー全体のさまざまなパラメーターに基づいてスキャン頻度を動的に調整します。 Jira 用に事前に構築された統合があり、 Microsoft Visual Studio、GitHub、 CircleCIなど。このツールは、さまざまなビジネス規模の固有のニーズを満たすために複数の価格プランを提供します。

スナック

機能と特徴:

  • 一括コードテストでパターンを発見し、潜在的な脆弱性を特定できる
  • デプロイされたプロジェクトとコードを自動的に追跡し、新しい脆弱性が検出されると警告します。
  • ユーザーがセキュリティ自動化機能を変更できるようにします。
  • 推移的な脆弱性のトリアージを改善するための直接的な依存関係修正の提案
  • 脆弱性の検出: クロスサイト スクリプティング、SQL インジェクション、XML 外部エンティティ インジェクションなど。
  • API: Yes
  • 自動スキャン: Yes

メリット

  • さまざまなビジネスニーズを満たす複数のプラン
  • 正確なセキュリティ情報を取得するためのフィルタリングおよびレポートのオプションを許可します
  • すべての脆弱性を修正するためのインテリジェントで実用的な手順/推奨事項を提供します。

デメリット

  • ドキュメントが貧弱で初心者には理想的ではない

主な仕様:

サポートされているプログラミング言語: Javaスクリプト、.NET、 Python、ルビーなど
導入オプション: Ubuntu、CentOS、および Debian
オープンソース: Yes

リンク: https://snyk.io/


8) ベガ

サーバーとクライアントの通信の監視に最適

Vega は、さまざまなプラットフォームでセキュリティ テストを行うための強力なオープンソース ツールです。 貴重な警告を提供することで、脆弱性と潜在的な脅威を特定するのに役立ちます。 これをプロキシとして使用して、サーバーとブラウザ間の通信を制御できます。 SQL インジェクションやブルート フォース攻撃などのさまざまなセキュリティ リスクからサーバーを保護します。

高度な API を使用して堅牢な攻撃モジュールを構築し、ニーズに応じてセキュリティ テストを実行できます。 それは最高の一つです ソフトウェアテストツール Web サイトに自動的にログインし、すべての制限領域に脆弱性がないかチェックします。

ベガ

機能と特徴:

  • SSL インターセプトを実行し、すべてのクライアント/サーバー通信を分析します。
  • 定期テスト用の自動スキャナを含む戦術的検査ツールを提供します
  • ユーザーの資格情報が提供されると、Web サイトに自動的にログインします。
  • プロキシ機能により、ブラウザから Web アプリケーション サーバーへのリクエストをブロックできます。
  • 脆弱性の検出: ブラインドSQLインジェクション、ヘッダーインジェクション、シェルインジェクションなど
  • API: Yes
  • 自動スキャン: Yes

メリット

  • 自動、手動、およびハイブリッドのセキュリティ テストの組み込みサポート
  • ユーザーがリクエストしたすべてのページをプロキシ経由でアクティブにスキャンします。
  • ベース URL を手動で入力するか、既存のターゲット スコープを選択する柔軟性

デメリット

  • 誤検知の数が比較的多い
  • 高度なデータ駆動型分析を含まない基本的なレポートのみを提供します

主な仕様:

サポートされているプログラミング言語: Java, Python、HTMLなど。
導入オプション: Linuxでは、 macOS, Windows
オープンソース: Yes

リンク: https://subgraph.com/vega/


9) SQLマップ

SQLの脆弱性の検出に最適

SQLMap は、データベースのセキュリティ保護に特化したセキュリティ ツールです。データベース内のインジェクションの欠陥、脆弱性、弱点、潜在的なデータ侵害の脅威をスキャンするために使用できます。高度な検出エンジンにより、適切な侵入テストを効率的に実行できます。ディープ スキャンにより、重大なサーバーの誤った構成やシステムの弱点を特定できます。SQL インジェクションの欠陥、機密データの欠陥などをチェックするために使用できます。

ハッシュを使用してパスワードを自動的に認識し、パスワードを解読するための辞書攻撃の調整をサポートします。次のようなさまざまなデータベース管理システムを保護できます。 MySQL, Oracle, PostgreSQL, IBM DB2など

SQLマップ

機能と特徴:

  • スタックされたクエリ、時間ベース、エラーベースの SQL クエリなどを使用して、脆弱性を定期的に検索します。
  • 現在のデータベース情報、セッションユーザー、DBMSバナーを自動的に取得します。
  • テスターは複数の攻撃を簡単にシミュレートして、システムの安定性をチェックし、サーバーの脆弱性を発見できます。
  • サポートされている攻撃には、ユーザーの列挙、パスワード ハッシュ、ブルート フォース テーブルが含まれます。
  • 脆弱性の検出: クロスサイトスクリプティング、 SQLインジェクション、XML 外部エンティティ インジェクションなど。
  • API: いいえ
  • 自動スキャン: Yes

メリット

  • すべてのクエリに対して非常に細かい粒度で ETA を提供します
  • 安全なDBMS認証情報により、SQLを挿入することなく直接ログインできます。
  • 完全なデータベース テーブルのダンプを含む、効率的な一括データベース操作。

デメリット

  • Web ページやアプリケーションなどのテストには理想的ではありません。
  • グラフィック ユーザー インターフェイスは使用できません。

主な仕様:

プログラミング言語: Python、シェル、HTML、Perl、SQL など。
導入オプション: Linuxでは、 macOS, Windows
オープンソース: Yes

リンク: https://sqlmap.org/


10) Kali Linux

インジェクションとパスワードスニッピングに最適

Kali Linux は、負荷テスト、倫理的ハッキング、未知の脆弱性の発見に最適なセキュリティ侵入テスト ツールです。活発なオンライン コミュニティは、あらゆる問題や疑問の解決に役立ちます。これを使用して、スニッフィング、デジタル フォレンジック、および WLAN/LAN 脆弱性評価を実行できます。の Kali NetHunter モバイル侵入テスト ソフトウェアです。 Android スマートフォン。

アンダーカバー モードは、あまり注目を集めることなく静かに実行されます。 VM、クラウド、USB などに導入できます。その高度なメタパッケージにより、ユースケースに合わせて最適化し、サーバーを微調整することができます。

カリリナックス

機能と特徴:

  • 初心者だけでなくベテランにも役立つ関連情報を含む詳細なドキュメント
  • Web アプリケーションに多くの侵入テスト機能を提供し、攻撃をシミュレートし、脆弱性分析を実行します。
  • ライブUSBブートドライブは、ホストオペレーティングシステムに干渉することなくテストに使用できます。
  • 脆弱性の検出: ブルート フォース攻撃、ネットワークの脆弱性、コード インジェクションなど
  • API: いいえ
  • 自動スキャン: Yes

メリット

  • 常にアクティブな状態を維持し、ハッキングの試みにおける一般的なパターンを検出して理解します
  • Kali Undercover は、日常の使用では目立たないようにバックグラウンドで動作します。
  • ネットワーク マッピングを使用すると、ネットワーク セキュリティの抜け穴を見つけることができます。

デメリット

  • 利用可能な API はありません。

主な仕様:

サポートされているプログラミング言語: C と ASM
導入オプション: Linuxでは、 Windows, Android
オープンソース: Yes

リンク: https://www.kali.org/

よくあるご質問

セキュリティ テストに最適なツールは次のとおりです。

セキュリティ テスト ツールの重要な機能は次のとおりです。

  • 言語サポート: 最高のセキュリティ ツールは、技術的なニーズに応じて必要となるすべてのプログラミング言語で利用できる必要があります。
  • 自動スキャン: 自動スキャンが可能であり、外部パラメータに基づいてスキャン頻度を調整できる必要があります。
  • ペネトレーションテスト: 選択したツールには、侵入テストを実行して脆弱性を発見するための適切な侵入テスト ソフトウェアが組み込まれている必要があります。
  • 分析された脆弱性: それ Web セキュリティ、アプリ セキュリティ、データベース セキュリティなど、特定のユースケースにおけるすべての脆弱性を検出できる必要があります。ニーズに合ったツールを見つけるには、これらを検討することを検討してください。 トップ 5 の侵入テスト ツール.
  • オープンソース: ツール内のセキュリティ上の欠陥を簡単に検出できるように、完全にオープンソース コードを備えたセキュリティ テスト ツールを選択する必要があります。

最高のオープンソース セキュリティ テスト ツール

お名前 脆弱性が検出されました 展開オプション プログラミング言語 リンク
ManageEngine Vulnerability Manager Plus クロスサイト スクリプティング、SSRF、XXE インジェクション、SQL インジェクションなど。 Windows, MacOS, Android, Linux Java, Python, Javaスクリプト もっと詳しく
Burp Suite クロスサイト スクリプティング、SQL インジェクション、XML 外部エンティティ インジェクションなど。 Linuxでは、 macOS, Windows Java, Python、そしてルビー もっと詳しく
SonarQube クロスサイト スクリプティング、特権獲得検出、ディレクトリ トラバーサルなど。 Linuxでは、 macOS, Windows Java、ネット、 Javaスクリプト、PHPなど もっと詳しく
Zed攻撃プロキシ セキュリティの設定ミス、認証の失敗、機密データの漏洩など。 Linuxでは、 macOS, Windows Javaスクリプト、 Python, etc. もっと詳しく
w3af LDAPインジェクション、SQLインジェクション、XSSインジェクションなど Linuxでは、 macOS, Windows Python の もっと詳しく