12 Open Source Web Security Scanner pro nalezení chyb zabezpečení

Zajímavá zpráva od Symantec ukazuje, 1 z 10 webů měl jeden nebo více škodlivých kódů.


A pokud používáte WordPress, pak v jiné zprávě od SUCURI ukazuje, 49% naskenovaných webových stránek bylo zastaralé.

Jak zajistíte, že je váš web jako vlastník webové aplikace chráněn před online hrozbami? Nevytéká citlivé informace?

Pokud používáte řešení zabezpečení založené na cloudu, součástí plánu je s největší pravděpodobností pravidelné prověřování zranitelnosti. Pokud tomu tak není, musíte provést rutinní skenování a podniknout nezbytné kroky ke zmírnění rizik.

Existují dva typy skenerů.

Komerční – máte možnost automatizovat skenování, aby bylo zajištěno nepřetržité zabezpečení, podávání zpráv, upozornění, podrobné pokyny ke zmírnění atd. Některé známé názvy v oboru jsou:

  • Acunetix
  • Zjistit
  • Qualys

Open Source / Free – na vyžádání si můžete stáhnout a provést bezpečnostní kontrolu. Ne všichni z nich budou schopni pokrýt celou řadu zranitelných míst, jako je komerční.

Podívejme se na následující open source web zranitelnost.

Arachni

Arachni, vysoce výkonný bezpečnostní skener postavený na rámci Ruby pro moderní webové aplikace. Je k dispozici v přenosném binárním systému pro Mac, Windows & Linux.

Nejen základní statický nebo CMS web, ale Arachni je schopen otisky prstů platformy. Provádí aktivní & pasivní kontroly.

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Některé z detekce zranitelností jsou:

  • NoSQL / Blind / SQL / Code / LDAP / Command / XPath injection
  • Padělání žádosti o více stránek
  • Průchod cesty
  • Lokální / vzdálené inkluze souborů
  • Rozdělení odpovědi
  • Cross-site skriptování
  • Neplatná přesměrování DOM
  • Zveřejnění zdrojového kódu

Máte možnost vzít si zpráva o auditu v HTML, XML, textu, JSON, YAML atd.

Arachni vám umožňuje rozšířit skenování na další úroveň využitím pluginů. Podívejte se na kompletní Arachni rysy a stáhněte si jej.

XssPy

Skener zranitelnosti založený na pythonu XSS (cross-site scripting) používá mnoho organizací, včetně společností Microsoft, Stanford, Motorola, Informatica atd..

XssPy od Faizana Ahmada je chytrý nástroj. Udělá jednu věc docela dobře. Namísto kontroly domovské stránky nebo dané stránky zkontroluje celý odkaz na webových stránkách.

XssPy také kontroluje subdoménu, takže nic nezůstane.

w3af

w3af, projekt s otevřeným zdrojovým kódem, který byl zahájen na konci roku 2006, využívá technologii Python a je k dispozici v operačních systémech Linux a Windows. w3af je schopen detekovat více než 200 zranitelných míst, včetně OWASP top 10.

w3af vám vstřikujte užitečná zatížení do záhlaví, URL, cookies, řetězce dotazů, post-data atd. k využití webové aplikace pro auditování. Podporuje různé metody protokolování pro podávání zpráv. Příklad:

Příklad:

  • CSV
  • HTML
  • Řídicí panel
  • Text
  • XML
  • E-mailem

Je postaven na architektuře pluginů a můžete se podívat na všechny pluginy jsou k dispozici zde.

Nikto

Cílem projektu open-source sponzorovaného společností Netsparker je najít nesprávnou konfiguraci webového serveru, pluginy a zranitelnosti webu. Nikto provádí komplexní test proti více než 6500 rizikovým položkám.

Podporuje HTTP proxy, SSL, s nebo NTLM ověřování atd. A může definovat maximální dobu provádění na kontrolu cíle.

Nikto je také k dispozici v systému Kali Linux.

Vypadá to jako slibné řešení pro intranet k nalezení bezpečnostních rizik webových serverů.

Wfuzz

Wfuzz (Web Fuzzer) je nástroj pro hodnocení aplikací pro testování penetrace. Data v požadavku HTTP můžete chápat v jakémkoli poli pro využití webové aplikace a audit webových aplikací.

Wfuzz vyžadoval, aby byl Python nainstalován v počítači, kde chcete spustit skenování. Bylo to vynikající dokumentace abyste to mohli začít.

OWASP ZAP

ZAP (Zet Attack Proxy) je jedním z nejznámějších nástrojů pro testování penetrace, který je aktivně aktualizován stovkami dobrovolníků po celém světě.

Je to nástroj založený na platformě Java, který lze spustit i na Raspberry Pi. ZIP sedí mezi prohlížečem a webovou aplikací, aby zachytil a zkontroloval zprávy

Některé z následujících funkcí stojí za zmínku o funkčnosti ZAP.

  • Fuzzer
  • Automatizovaný & pasivní skener
  • Podporuje více skriptovacích jazyků
  • Nucené prohlížení

Vřele doporučuji vyzkoušet Výuková videa OWASP ZAP aby to začalo.

Wapiti

Wapiti prohledá webové stránky daného cíle a hledá skripty a formuláře, které vloží data, aby zjistily, zda je to zranitelné. Nejedná se o kontroly zabezpečení zdrojového kódu; místo toho provádí skenování černé skříňky.

Podporuje GET a POST HTTP metodu, HTTP a HTTPS proxy, několik autentizací atd.

Vega

Vega je vyvíjen Subgraphem, multiplatformovým podporovaným nástrojem napsaným v Javě k nalezení XSS, SQLi, RFI a mnoha dalších zranitelných míst.

Vega dostal pěkné GUI a byl schopen provádět automatické skenování přihlášením do aplikace s daným pověřením.

Pokud jste vývojář, můžete využít API vega k vytvoření nových útočných modulů.

SQLmap

Jak můžete uhodnout jménem, ​​pomocí sqlmap, můžete provést penetrační testování v databázi, abyste našli chyby.

Pracuje s Pythonem 2.6 nebo 2.7 na jakémkoli OS. Pokud hledáte najít SQL injekci a využít databázi, pak by byla užitečná sqlmap.

Grabber

Je to malý nástroj založený na Pythonu a dělá pár věcí docela dobře. Některé z Grabber’s funkce jsou:

  • Analyzátor zdrojového kódu JavaScript
  • Cross-site scripting, SQL injection, Blind SQL injection
  • Testování PHP aplikací pomocí PHP-SAT

Golismero

Rámec pro správu a spouštění některých oblíbených bezpečnostních nástrojů, jako jsou Wfuzz, DNS res, sqlmap, OpenVas, robotový analyzátor atd.).

Golismero je chytrý; může konsolidovat zpětnou vazbu testu z jiných nástrojů a sloučit tak, aby zobrazoval jediný výsledek.

OWASP Xenotix XSS

Xenotix XSS od OWASP je pokročilý rámec pro vyhledávání a využívání skriptování mezi weby. Má vestavěné tři inteligentní fuzzery pro rychlé skenování a lepší výsledky.

Má stovky funkcí a můžete podívejte se na všechny zde uvedené.

Závěr

Webové zabezpečení je rozhodující pro jakékoli online podnikání a já doufám, že výše uvedený skener zranitelností zdarma / open source vám pomůže najít riziko, abyste se mohli zmírnit dříve, než ho někdo využije. Pokud máte zájem dozvědět se o penetračním testování, podívejte se na toto online kurz.

TAGY:

  • Open Source

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector