Web uygulamaları ve ağlar için güvenlik testi gereksinimlerinize en iyi şekilde hizmet edecek bir sızma testi aracı (Pentest Tool)mı arıyorsunuz? Farklı sızma testi araçlarını karşılaştırmak ve analiz etmek ve hangisinin işletmeniz için en uygun olduğuna karar vermek ister misiniz? Yoksa sadece orada hangi araçların olduğunu ve özelliklerinin neler olduğunu merak mı ediyorsunuz?

Cevabınız evet ise, o zaman bu yazı sizi kapsıyor.

Pentest ister mevzuata uygunluk, güvenlik değerlendirmesi , isterse BT ortamının Siber Güvenlik tehditlerine karşı savunmasını güçlendirme amacıyla yapılsın , doğru araçların bir kombinasyonu çok önemlidir. Sızma test cihazının doğru araçlara erişimi yoksa, güvenlik açıkları olabilir, bazıları kritik, tespit edilemeyebilir ve bu nedenle yanlış bir güvenlik hissi verdiği bildirilebilir.

Sızma Testi Nedir? Penetrasyon Testi Nedir?

Gelişmiş Kalıcı Tehditleri (APT) içeren yüksek profilli Siber Saldırılar , Fidye Yazılım saldırıları ve haber manşetlerine hakim olan içeriden gelen tehditlerle, kuruluşların potansiyel güvenlik açıklarını tespit etmeleri ve bunları düzelterek güvenlik duruşlarını sıkı tutmaları son derece önemlidir.

Sızma testi , potansiyel bir siber saldırgan fırsatı bulup kullanmadan önce, kurumsal bilgi işlem kaynaklarındaki/uygulamalarındaki güvenlik açıklarını belirlemede, anlamada ve düzeltmede önemli bir rol oynar. Penetrasyon testi çeşitli kötü niyetli metodolojiler ile sistemi veya ağı değerlendirerek bilgi işlem uygulamalarındaki güvenlik açıklarını belirleme işlemidir. Bu testin nihai amacı, sürekli olarak sisteme yetkisiz erişim elde etmeye çalışan yabancılardan kritik bilgileri güvence altına almaktır. Güvenlik açıkları bir kez tanımlandıktan sonra hassas bilgilere erişim sağlamak için kullanılabilir. İdeal bir Sızma Testi ile ortaya çıkarılan güvenlik sorunları, daha sonra sistem sahibine, tüm kuruluş üzerindeki olası etkisinin doğru bir değerlendirmesiyle sunulur. Etkili bir Kalem testi, bir kuruluşun kullandığı güvenlik araçlarındaki boşlukları bulmaya yardımcı olur, birden fazla bulur. saldırı vektörleri ve yanlış yapılandırmalar. Ayrıca riskin önceliklendirilmesine yardımcı olur, düzeltme ve genel güvenlik yanıt süresini iyileştirme.

POPÜLER PENTEST TOOL SIZMA TESTİ ARAÇLARI

İşte güvenlik açıklarını tespit etmeye ve siber saldırıları doğru bir şekilde simüle etmeye çok uygun 11 Pentest Tool (sızma testi aracı) . Özelliklerine, avantajlarına ve uyumlu oldukları platformlara bir göz atalım.

1. BURP SUİTE PRO – Pentest Tool

Burp Suite Pro, sızmacıların güvenlik açıklarını düzeltmelerine ve bunlardan yararlanmalarına ve hedeflerinin daha incelikli kör noktalarını belirlemelerine yardımcı olabilecek en popüler, güçlü ve gelişmiş pentest toollarından biridir. Çeşitli gelişmiş araçlardan oluşan bir “paket”tir ve web uygulamalarının sızma testi için en uygunudur.

İki sürüm vardır – topluluk sürümü, tarayıcı trafiğine müdahale etme, keşif verilerini yönetme ve manuel pentest için gerekli olan bant dışı yetenekler gibi gerekli özellikleri sunarken, profesyonel sürüm, güvenlik açıkları için web uygulamasını tarama gibi çeşitli gelişmiş özellikler sunar.
Burp Suite Pro, aşağıda listelenen birkaçı gibi, pentesters için inanılmaz derecede yararlı olan çeşitli özelliklere sahiptir.

• Veri aktarımını engellemek için ortadaki adam saldırıları gerçekleştiren ve kullanıcının tarayıcıdan geçen HTTP(S) iletişimini değiştirmesine izin veren güçlü bir proxy bileşenine sahiptir.
• Burp Suite, manuel test sırasında bant dışı (OOB) güvenlik açıklarının (geleneksel bir HTTP istek yanıtında algılanamayanlar) test edilmesine yardımcı olur.
• Araç, otomatik keşif işlevi aracılığıyla gizli hedef işlevlerini bulur.
• Araç, daha hızlı brute-force ve fuzzing yetenekleri sunar, bu da pentesterlerin, farklı görevlerde harcanan süreyi önemli ölçüde azaltan, yük kümelerini içeren özel HTTP istekleri dizisini dağıtmasına olanak tanır.
• Burpsuite Pro, belirli bir istek için siteler arası istek sahteciliği (CSRF) Kavram Kanıtı (POC) saldırısını kolayca oluşturma özelliği sunar.
• Araç ayrıca yansıyan veya depolanan girdiler için bir görünüm sağlayabildiği için daha derin manuel testi kolaylaştırır.
• Uygulama mağazası, Burp kullanıcıları tarafından yazılan ve test edilen, topluluk tarafından oluşturulan yüzlerce eklentiye erişim sağlar.

Kullanım – Kritik uygulama düzeyindeki kusurları ortaya çıkarmak için güçlü bir otomatikleştirilmiş ve gelişmiş manuel test aracından yararlanmak isteyen profesyoneller ve uzman penetrasyon test uzmanları için en iyisi.
Ana şirket – PortSwigger
Platformları – Desteklenen platformlar arasında macOS, Linux ve Windows bulunur.

2. Sqlmap – Pentest Tool

SQLmap, açık kaynak kodlu, ancak uzman pentest uzmanlarının farklı veritabanlarını etkileyen SQL Injection güvenlik açıklarını belirlemek ve bunlardan yararlanmak için kullandığı çok güçlü bir penetrasyon testi aracıdır. Tek bir komutla değerli verileri alabilen sağlam bir algılama motoruyla birlikte gelen inanılmaz bir pentest tooldur.

Aşağıda SQLmap’in popüler ve faydalı özelliklerinden bazıları verilmiştir:

• Sözlük tabanlı bir saldırı kullanan SQLmap, parola karma biçimlerinin otomatik olarak tanınmasına ve bunların kırılması için destek sağlanmasına yardımcı olur.
• Tüm veritabanında belirli veritabanı adlarını, tabloları veya sütunları verimli bir şekilde arar; bu, ad ve geçiş gibi dizeler içeren uygulama kimlik bilgilerini içeren tabloları belirlemede yararlıdır.
• SQLmap, kullanıcıya etkileşimli komut istemi veya bir ölçüm yorumlayıcı oturumu sağlayarak, veritabanı sunucusu ile saldırgan makine arasında bant dışı bir TCP bağlantısı kurmayı destekler.
• Araç, uyumlu olduğu veritabanlarından/veritabanlarına herhangi bir dosyanın indirilmesini ve yüklenmesini destekler.

Kullanım – En iyi SQL Injection kusurlarını tespit etmek ve kullanmak ve veritabanı sunucularını devralmaktır.
Ana şirket – GNU (Genel Kamu Lisansı)
Platformlarında bulunan açık kaynak aracı – MySQL, Oracle, PostgreSQL, Microsoft SQL Server, SQLite, Firebird, SAP MaxDB.

3. AİRCRACK-NG – Pentest Tool

Aircrack-ng, Wi-Fi ağlarını olası güvenlik açıklarına karşı değerlendirmek için bir dizi yardımcı programla birlikte gelen bir ağ güvenliği pentest tooldır. Kritik izleme, test etme, saldırı ve kırma işlemlerini sağlar.

Bu araç, test cihazının veri paketlerini yakalamasına ve diğer üçüncü taraf araçlar tarafından daha fazla işlenmek üzere verileri metin dosyalarına aktarmasına olanak tanır. Replay saldırıları, de-authentication saldırıları gerçekleştirme ve paket enjeksiyon yoluyla sahte erişim noktaları oluşturma yeteneğine sahiptir. Araç ayrıca Wi-Fi kartlarının ve sürücü özelliklerinin kontrol edilmesine yardımcı olur ve WEP ve WPA WPA’yı (1 ve 2) kırmak için kullanılabilir.

Diğer özellikler şunları içerir:

• Araç en iyi, WEP ve WPA-PSK’yı kırmak için WEP ve kaba kuvvet saldırısını kırmak için istatistiksel bir yöntem kullandığı, kimliği doğrulanmış herhangi bir istemci olmadan WEP ve WPA-PSK’yi kırma yeteneği ile bilinir.
• Aircrack-ng, bir dedektör, paket dinleyicisi, analitik araçlar ve WEP ve WPA/WPA2-PSK krakerlerini içeren eksiksiz bir pakettir.
• Aircrack-ng paketi, airodump-ng, aireplay-ng, aircrack-ng ve airdecap-ng araçları gibi araçlar içerir
• Airodump-ng, ham 802.11 paketlerini yakalamak için kullanılır.
• Airplay-ng, kablosuz trafiğe çerçeveleri enjekte etmek için kullanılır ve daha sonra Aircrack-ng tarafından yeterli veri paketi yakalandığında WEP ve WPA-PSK anahtarlarını kırmak için kullanılır.
• Airdecap-ng, yakalanan dosyaların şifresini çözmek için kullanılır ve kablosuz başlıkları soymak için de kullanılabilir.

Kullanım – WI-FI ağlarını hacklemek için penetrasyon test cihazları için harika bir araç takımıdır. Bu bir komut satırı aracıdır ve özelleştirmeye izin verir.
Ana şirket – GNU (Genel Kamu Lisansı)
Platformlarında bulunan açık kaynak aracı – Desteklenen platformlar arasında Linux, OS X Solaris ve Windows bulunur.

4. Wireshark – Pentest Tool

Wireshark, sahip olunması gereken bir ağ protokolü analizörüdür. Gecikme sorunları, paket düşüşleri ve ağdaki kötü amaçlı etkinlikler dahil olmak üzere ağ sorunlarını gidermek için canlı ağ trafiğini yakalamak için yaygın pentest tool olarak kullanılır. Testçilerin ağdan geçen verileri ele geçirmesine ve analiz etmesine olanak tanır ve bunları insan tarafından okunabilir bir biçime dönüştürür.

Wireshark’ın bazı önemli özellikleri:

• Wireshark, sayısız protokolün derinlemesine incelenmesini sağlayan güçlü özelliklere sahiptir
• Standart üç bölmeli paket tarayıcı ve güçlü ekran filtreleri ile birlikte gelir.
• Wireshark, verilere GUI veya TTY modu TShark yardımcı programı aracılığıyla göz atılmasına izin verir.
• tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (sıkıştırılmış ve sıkıştırılmamış) ve daha fazlası gibi farklı dosya formatlarını okuyabilir ve yazabilir.
• Araç, IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP ve WPA/WPA2 dahil olmak üzere farklı protokoller için şifre çözme desteği sunar.
• Araçlar ayrıca VOIP trafiğinin denetlenmesine de olanak tanır.

Kullanım – Ağ sorun giderme için Yöneticiler ve hassas ağ verilerini analiz etmek için pentesterler için en uygunudur.
Ana şirket – GNU (Genel Kamu Lisansı)
Platformlarında bulunan açık kaynak aracı – MacOS, Linux, Solaris ve Windows desteklenen birkaç platformdur.

5. NMAP – Pentest Tool

Nmap, ağdaki açık bağlantı noktalarını ve güvenlik açıklarını belirlemeye yardımcı olan en iyi ve pentesterlerin favori açık kaynaklı sızma testi araçlarından (Pentest Tool) biridir. Ayrıca ağda hangi cihazların çalıştığını belirlemeye ve canlı ana bilgisayarları keşfetmeye yardımcı olur.

Aracın sunduğu diğer özellikler şunlardır:

• Tanımlanan bağlantı noktalarında çalışan hizmetlerde uygulama adını ve sürüm numarasını belirlemek için kullanılan bağlantı noktası tarama yetenekleri ve sürüm algılama motoru kullanılarak açık bağlantı noktalarının numaralandırılması.
• NMAP, temeldeki ana bilgisayarların işletim sistemlerini belirlemede yararlı olan 2900’den fazla OS parmak izi içerir.
• NMAP temelde bir komut satırı yardımcı programıdır, ancak Zenmap GUI adlı bir GUI sürümü de sunar.
• Nmap komut dosyası oluşturma motoru, 170’in üzerinde NSE komut dosyası ve güvenlik duvarı baypas, süper mikro-ipmi-conf, oracle-brute-stealth ve ssl-heartbleed gibi 20 kitaplık ile birlikte gelir.
• CIDR tarzı adres aralıklarında daha kapsamlı ağ taraması, Boşta Tarama, paralel ters DNS ve daha fazla NSE komut dosyası kapsamında daha iyi IPv6 desteği sunar.
• NMAP, güvenlik duvarını veya WAF’yi atlamak gibi, sızmacıların ağ çevresinde uygulanan güvenlik cihazlarını atlamalarına yardımcı olabilecek bazı şaşırtıcı, gelişmiş tarama teknikleri sunar.

Kullanım – Pentestçileri tarafından ağ düzeyindeki güvenlik açıklarını belirlemek için en iyi Pentest tool araç olarak kabul edilir.
Ana şirket – GNU (Genel Kamu Lisansı)
Platformlarında bulunan açık kaynak aracı – Aracı destekleyen platformlar arasında Linux, Microsoft Windows, FreeBSD, OpenBSD, Solaris, HP-UX, NetBSD, Sun OS ve Amiga bulunur.

6. METASPLOİT – Pentest Tool

Metasploit, hem siber saldırganlar hem de etik bilgisayar korsanları tarafından yaygın olarak kullanılan bir penetrasyon testi çerçevesidir . Metasploit Projesinin iki versiyonu vardır – açık kaynaklı alt proje Metasploit Framework ve lisanslı versiyon Metasploit Pro.

Metasploit Framework’ün en iyi teklifi, uzaktaki bir hedef makineye karşı geliştirilebilen ve yürütülebilen istismar kodu ve yükleridir. Üzerinde çalışmak için bir komut satırı arayüzü sağlar, ancak test kullanıcıları ayrıca gelişmiş özellikler ve GUI tabanlı işlemler için Metasploit Pro’yu satın alabilir.

İşte Metasploit’in birkaç önemli özelliği:

• Metasploit, 25 platformda düzenlenen 1600’den fazla istismar içerir.
• Araç, aşağıdakileri içeren yaklaşık 500 yüke sahiptir:
• Komut dosyalarını bir ana bilgisayara karşı çalıştırmak için kabuk yüklerine komut verin.
• Virüsten koruma yazılımından kaçınmak için benzersiz yükler oluşturmak için dinamik yükler.
• Cihaz monitörlerinin, oturumların, karşıya yükleme ve indirme dosyalarının kontrolünü ele geçirmek için meterpreter yükleri.
• Bağlantı noktası iletmek ve ağlar arasında iletişimi sağlamak için statik yükler.
• Metasploit, derin penetrasyon testi için kullanılabilecek sömürü sonrası modüller sunar . Bu modüller, pentesterlerin, hashdump’lar veya hizmet numaralandırıcılar gibi istismar edilen sistem hakkında daha fazla bilgi toplamasına izin verir.

Kullanım – Metasploit en iyi, birden fazla uygulamanın veya sistemin test edileceği yerlerde kullanılır.
Ana şirket – Rapid7
Platforms – Metasploit, Kali Linux işletim sistemine önceden yüklenmiştir. Ayrıca Windows ve MacOS’ta da desteklenir.

7. HASHCAT – Pentest Tool

Hashcat, hem hacker hem de etik hacker toplulukları tarafından kullanılan popüler bir açık kaynaklı şifre kırma (Pentest Tool) aracıdır. Hashcat bir şifre tahmin eder, hash eder ve ardından elde edilen hash’i kırmaya çalıştığı hash ile karşılaştırır. Hashler eşleşirse, şifreyi biliyoruz.

Parola temsili öncelikle WHIRLPOOL, RipeMD, NTMLv1, NTLMv2 MD5, SHA ve daha fazlası gibi karma anahtarlarla ilişkilidir. Okunabilir verileri kafa karıştırıcı kodlara dönüştürebilir, bu da başkalarının verilerin şifresini çözmesini zorlaştırır.

Hashcat’in diğer özellikleri:

• Hızlı, verimli ve çok yönlüdür.
• Hashcat, pentest cihazının aynı anda birden fazla karma kırmasını sağlar ve iş parçacığı sayısı en düşük önceliğe göre yapılandırılabilir ve yürütülebilir.
• Anahtar alanı siparişi veren Markov zincirleri ile birlikte otomatik performans ayarını destekler.
• Araç, yerleşik bir kıyaslama sistemi ve entegre termal bekçi köpeği ile birlikte gelir.
• 300’den fazla hashcat uygulamasına izin verir.
• Altıgen karakter kümesini ve altıgen tuzu destekler.
• Dağıtılmış kırma ağlarını ve 200’den fazla farklı karma biçimini destekler.

Kullanım – Sistem kurtarma uzmanları ve şifreli parolaları kırmak için sızma testleri için en uygun yöntemdir.
Ana şirket – MIT Lisans
Platformlarında bulunan açık kaynaklı araç – Linux, OS X ve Windows, desteklenen ağlardan bazılarıdır.

8. WPScan – Pentest Tool

WPScan, WordPress çekirdeği, eklentileri ve temalarındaki bilinen güvenlik açıklarını taramaya yardımcı olan açık kaynaklı bir WordPress güvenlik tarayıcısıdır(Plugin Pentest Tool). WordPress platformu güvenlik açıklarının güncel bir veritabanını tutar. WPScan, Ruby uygulaması kullanılarak oluşturulmuştur ve hedefi güvenlik açıklarına karşı taramak için wpscan – url http://example.com gibi basit bir komut çalıştırılabilir.

WPScan’in bazı özellikleri şunlardır:

• WordPress numaralandırma taraması, WordPress çekirdeğinin, eklentilerin ve temaların doğru sürümünü tanımlar. Ayrıca WordPress sitesinde aktif olan kullanıcıları da sıralayabilir.
• Herkese açık wp-config.php yedekleme dosyalarını ve diğer veritabanı dışa aktarımlarını belirleme ve algılama.
• WPScan ayrıca, WPScan parola sözlüğünden geçirilerek veya kaba zorlama yoluyla elde edilen zayıf parolaları tespit etmeye ve kırmaya da yardımcı olabilir.
• WPScan ayrıca bir WordPress sitesinde çalışan temaların ve eklentilerin sürüm bilgilerini sıralar ve tanımlanan sürümle ilişkili güvenlik açıkları hakkında bilgi sağlar.
• Diğer özellikler arasında, açıkta kalan hata günlükleri, medya dosyası numaralandırma, güvenlik açığı bulunan Timthumb dosyaları, yükleme dizini listesi, tam yol ifşası ve daha fazlası yer alır.

Kullanım – WPScan’i çalıştırmanın en hızlı yolu, eklentisini wordpress web sitenize veya docker image kullanarak yüklemektir .
Ana şirket – GitHub deposunda bulunan açık kaynak aracı.
Platformlar – WPScan, ArchLinux, Ubuntu, Fedora ve Debian’da desteklenir.

9. NESSUS – Pentest Tool

Nessus, güçlü ve yaygın olarak kullanılan bir ağ güvenlik açığı tarayıcısıdır. Geniş güvenlik açığı imzaları deposu nedeniyle güvenlik açığı taraması için en iyi araçtır. Bir hedef makinede Nessus taraması çalıştırıldığında, o makinede çalışan hizmetler belirlenir ve ilgili güvenlik açıkları tespit edilir ve araç ayrıca bunlardan yararlanma ve düzeltme için ek bilgiler sağlar. (Nessus Pentest Tool)

Nessus tarayıcının kullanılması, güvenlik duruşunu iyileştirir ve sanal ve bulut ortamlarında daha iyi uyumluluk sağlar. Bir kuruluş hız ve doğruluk gerektiriyorsa, Nessus lisansına değer. Ancak Nessus Essentials, ortamınızı tarayıcı başına 16 adede kadar IP adresini ücretsiz olarak taramanıza olanak tanır.

Nessus’un sizi kuruluşunuz için denemeye zorlayabilecek ilginç özelliklerinden bazıları şunlardır:

• Nessus’un diğer güvenlik açığı değerlendirme araçlarına kıyasla daha fazla teknolojiyi desteklediği bilinmektedir; bu, daha kapsamlı testler için durumu sağlar.
• Yüksek hızlı varlık keşfine yardımcı olur ve hedef profil oluşturma ve kötü amaçlı yazılım algılama ile birlikte yapılandırma denetimine olanak tanır.
• Güvenlik açığı taraması – sistem sağlamlaştırma ve eksik yamalar için kimlik bilgisi olmayan güvenlik açığı tespiti ve kimlik bilgili tarama.
• Araç ayrıca, güvenlik açığı analizine yardımcı olan hassas veri keşfini de destekler.
• Nessus, sürekli güncellenen en büyük güvenlik açıkları kütüphanesiyle birlikte gelir.
• Araç, tarama sonuçları, düzeltme ve öneriler için hedeflenen e-posta bildirimleriyle esnek ve özelleştirilebilir raporlama sunar.

Kullanım – Nessus çeşitli amaçlar için kullanılabilir – işletim cihazlarını, ağ cihazlarını, hipervizörleri, veri tabanlarını, tabletleri, web sunucularını, telefonları ve diğer kritik altyapıları taramak için.
Ana şirket – Tenable
Platforms – Nessus, Debian, MacOS, Ubuntu, FreeBSD, Windows, Oracle ve Linux üzerinde çalıştırılabilir.

10. MOBSF – Pentest Tool

MobSF (Mobil Güvenlik Çerçevesi), farklı platformlardaki mobil uygulamaların pentesti, kötü amaçlı yazılım analizi ve güvenlik değerlendirmesi için kapsamlı, hepsi bir arada bir çerçevedir. Statik ve dinamik analiz için kullanılabilir. APK, XAPK, IPA ve APPX gibi mobil uygulama ikili dosyalarını destekler ve entegre bir deneyime izin veren yerleşik API’lerle birlikte gelir. (MobSF Pentest Tool)

Aşağıda bazı yararlı özellikler bulunmaktadır:

• MobSF açık kaynaklı bir araçtır ve CI/CD veya DEVSECOPS ardışık düzeni ile sorunsuz entegrasyona izin verir.
• Araç, mobil uygulamanın otomatik bir statik analizini sunar, yani kritik güvenlik açıklarını ortaya çıkarmak için kaynak kodu veya ikili dosyayı analiz eder.
• Araç, gerçek bir cihaz veya simülatör üzerinde dinamik analize izin verir. Uygulamayı yürüterek tarar ve hassas veri erişimini, sabit kodlanmış bilgileri veya güvenli olmayan istekleri analiz eder.
• XXE, SSRF, Path Traversal, IDOR gibi mobil uygulama ile ilgili güvenlik açıklarının belirlenmesine yardımcı olur.

Kullanım – Mobil uygulamaları taramak için sınıfının en iyisi otomatik çerçeve .
Ana şirket – Açık kaynak aracı, indirilebilir
Platformlar – Desteklenen platformlar arasında Android, iOS ve Windows bulunur.

11. JOHN THE RİPPER ŞİFRE KIRICI – Pentest Tool

Adından da anlaşılacağı gibi, John the Ripper (JTR), bir sistemdeki zayıf şifreleri bulmaya ve bunları açığa çıkarmaya yardımcı olan bir şifre kırma ve kurtarma aracıdır. Bu araç orijinal olarak parola gücünü test etmek, kaba kuvvetle şifrelenmiş/karma haline getirilmiş parolaları ve sözlük saldırılarını kullanarak parolaları kırmak için tasarlanmıştır.(Password Pentest Tool)

JTR, birden fazla mod kullanarak şifre kırma sürecini hızlandırabilen pentester topluluğu içindeki en popüler araçlardan biridir.

• Bunun dışında, bir kuruluşa inanılmaz derecede fayda sağlayabilecek çeşitli başka özelliklere sahiptir. Bunlardan birkaçına bir göz atalım:
• Şifrelenmiş parolalar tarafından kullanılan karma algoritmaları otomatik olarak algılama.
• Araç, şifreli parola karma türleri, Kerberos Andrew Dosya Sistemi (Kerberos AFS) karma, MD-4’e bağlı parola karmaları, Windows NT/2000/XP/2003 LM türünde Karma ve daha fazlasını içeren çeşitli karmalara dayalı olarak farklı parolaları kırabilir. .
• John the Ripper, saldırıyı sözlük saldırıları, kaba kuvvet saldırıları ve Rainbow tabloları dahil olmak üzere üç ana kategoriye ayırarak çalışır.
• En az üç mod sağlar – Single Crack, Wordlist ve Artımlı mod ile birlikte kullanıcının bir yapılandırma dosyası aracılığıyla özelleştirilmiş bir mod tanımlamasını sağlayan harici bir mod.

Kullanım – JTR , hem yeni başlayanlar hem de uzmanlar için uygun en iyi parola güvenliği denetleme ve parola kurtarma araçlarından biridir.
Ana şirket – GNU’da (Genel Kamu Lisansı) bulunan açık kaynak aracı; pro sürümleri tescillidir.
Platformlar – Orijinal olarak Unix için geliştirilen araç, 15 farklı platformda çalışabilir.

Yukarıda, pentest cihazlarının işini kolaylaştıran ağ, web ve mobil uygulamalar için birkaç yaygın penetrasyon testi aracı vardı. Güvenlik açıklarını belirlemelerine ve altyapıyı olası tehditlerden korumalarına yardımcı olurlar.