12 atvirojo kodo interneto saugos skaitytuvo, kad rastumėte pažeidžiamumus

Įdomus pranešimas „Symantec“ atskleidžia, kad 1 iš 10 svetainių turėjo vieną ar daugiau kenksmingų kodų.


Ir, jei jūs naudojate WordPress, tada kitoje ataskaitoje SUKURI rodo, 49 proc. nuskaitytų svetainių paseno.

Kaip jūs, kaip žiniatinklio programos savininkas, užtikrinsite, kad jūsų svetainė būtų apsaugota nuo internetinių grėsmių? Neišteka neskelbtinos informacijos?

Jei naudojate „debesies“ pagrįstą saugos sprendimą, greičiausiai reguliarus pažeidžiamumo nuskaitymas yra plano dalis. Tačiau jei ne, tada turite atlikti įprastą nuskaitymą ir imtis reikiamų veiksmų rizikai sumažinti.

Yra dviejų tipų skaitytuvai.

Komercinis – suteiks jums galimybę automatizuoti nuolatinio saugumo, ataskaitų teikimo, perspėjimo, išsamių sušvelninimo instrukcijų ir tt paiešką. Kai kurie žinomi pramonės pavadinimai yra šie:

  • „Acunetix“
  • Nustatyti
  • „Qualys“

Atviras šaltinis / nemokamas – pagal poreikį galite atsisiųsti ir atlikti saugos nuskaitymą. Ne visi jie galės padengti daugybę pažeidžiamumų, tokių kaip komerciniai.

Peržiūrėkime šį atvirojo kodo žiniatinklio pažeidžiamumo skaitytuvą.

Arachni

Arachni, didelio efektyvumo saugos skaitytuvas, sukurtas remiantis „Ruby“ sistema, skirta šiuolaikinėms interneto programoms. Jį galima įsigyti nešiojamame dvejetainyje įrenginyje „Mac“, „Windows“ & „Linux“.

„Arachni“ tai gali padaryti ne tik pagrindinė statinė ar CMS svetainė po platformos pirštų atspaudais. Tai atlieka aktyviai & pasyvūs patikrinimai.

  • „Windows“, „Solaris“, „Linux“, BSD, „Unix“
  • „Nginx“, „Apache“, „Tomcat“, IIS, „Jetty“
  • „Java“, „Ruby“, „Python“, ASP, PHP
  • „Django“, „Rails“, „CherryPy“, „CakePHP“, ASP.NET MVC, „Symfony“

Keletas iš pažeidžiamumų nustatymas yra:

  • „NoSQL“ / „Blind“ / SQL / kodas / LDAP / „Command“ / „XPath“ injekcija
  • Prašymas padirbti visoje vietoje
  • Kelio trasa
  • Vietos / nuotolinio failo įtraukimai
  • Atsakymo padalijimas
  • Skirtingų svetainių scenarijai
  • Neteisėti DOM peradresavimai
  • Šaltinio kodo atskleidimas

Jūs turite galimybę pasirinkti audito ataskaita HTML, XML, Text, JSON, YAML ir kt.

„Arachni“ leidžia išplėsti nuskaitymą į kitą lygį pasitelkiant papildinius. Peržiūrėkite visą Arachni savybės ir atsisiųskite, kad galėtumėte tai patirti.

„XssPy“

Python pagrindu sukurtas XSS (kryžminio scenarijaus) pažeidžiamumo skaitytuvas naudojamas daugelyje organizacijų, įskaitant „Microsoft“, „Stanford“, „Motorola“, „Informatica“ ir kt..

„XssPy“ autorius Faizan Ahmad yra intelektuali priemonė. Tai gana gerai daro viena. Užuot tik patikrinę pagrindinį puslapį ar duotą puslapį, jis patikrina visą nuorodą svetainėse.

„XssPy“ taip pat tikrina padomenį, taigi nieko neliko.

w3af

w3af, atvirojo kodo projektas, pradėtas 2006 m. pabaigoje, maitinamas „Python“ ir prieinamas „Linux“ ir „Windows“ OS. „w3af“ gali aptikti daugiau nei 200 pažeidžiamumų, įskaitant OWASP top 10.

w3af tau sušvirkšti naudingą krovinį į antraštes, URL, slapukus, užklausos eilutę, pašto duomenis ir kt., kad būtų galima audituoti žiniatinklio programą. Tai palaiko įvairius duomenų registravimo metodus. Pvz .:

Pvz .:

  • CSV
  • HTML
  • Konsolė
  • Tekstas
  • XML
  • Pašto adresą

Ji sukurta pagal papildinių architektūrą ir galite patikrinti visas papildinius galite rasti čia.

Nikto

„Netsparker“ remiamas atvirojo kodo projektas siekia rasti netinkamą interneto serverio konfigūraciją, papildinius ir žiniatinklio spragas. „Nikto“ atlieka išsamų testą su daugiau nei 6500 rizikos objektų.

Tai palaiko HTTP tarpinį serverį, SSL, su arba NTLM autentifikavimu ir tt ir gali apibrėžti maksimalų vykdymo laiką, taikomą vienam tikslo nuskaitymui.

Nikto taip pat yra „Kali Linux“.

Intraneto sprendimui atrodo perspektyvu rasti interneto serverių saugumo riziką.

„Wfuzz“

„Wfuzz“ („Web Fuzzer“) yra programų įvertinimo įrankis skverbties testavimui. Galite panaudoti bet kurio lauko HTTP užklausos duomenis, kad būtų galima naudoti žiniatinklio programą ir tikrinti žiniatinklio programas.

„Wfuzz“ reikalavo, kad Python būtų įdiegtas kompiuteryje, kuriame norite paleisti nuskaitymą. Tai gavosi puikiai dokumentacija kad galėtumėte tai pradėti.

OWASP ZAP

ZAP („Zet Attack Proxy“) yra viena iš garsiųjų skverbties tikrinimo priemonių, kurią aktyviai atnaujina šimtai savanorių visame pasaulyje.

Tai kelių platformų „Java“ įrankis, kurį galima naudoti net naudojant „Raspberry Pi“. ZIP yra tarp naršyklės ir žiniatinklio programos, kad galėtų perimti ir apžiūrėti pranešimus

Kai kuriuos iš šių punktų verta paminėti ZAP funkcionalumą.

  • Fuzeris
  • Automatizuotas & pasyvus skaitytuvas
  • Palaiko kelias scenarijų kalbas
  • Priverstinis naršymas

Labai rekomenduočiau pasidomėti „OWASP ZAP“ mokymo vaizdo įrašai kad pradėčiau.

Wapiti

Wapiti nuskaito tam tikro objekto tinklalapius ir ieško scenarijų bei formų, kad būtų galima įvesti duomenis, kad būtų galima įsitikinti, ar tai nėra pažeidžiama. Tai nėra šaltinio kodo saugumo patikrinimas; vietoj to jis atlieka juodųjų dėžių nuskaitymą.

Tai palaiko GET ir POST HTTP metodą, HTTP ir HTTPS tarpinius serverius, keletą autentifikacijų ir kt.

Vega

Vega yra sukurtas „Subgraph“, daugialypės platformos palaikomo įrankio, parašyto „Java“ tinkle, norint rasti XSS, SQLi, RFI ir daugelį kitų pažeidžiamumų.

„Vega“ gavo gražią grafinę sąsają ir gali atlikti automatinį nuskaitymą prisijungdama prie programos su nurodytu kredencialu.

Jei esate kūrėjas, galite naudoti „vega“ API kurdami naujus išpuolių modulius.

SQL žemėlapis

Kaip jūs galite atspėti pagal pavadinimą, naudodamiesi sqlmap, galite atlikti duomenų bazės skverbties testus, kad rastumėte trūkumų.

Ji veikia su Python 2.6 arba 2.7 bet kurioje OS. Jei norite rasti SQL injekciją ir išnaudoti duomenų bazę, tada „sqlmap“ būtų naudinga.

Griebtuvas

Tai mažas įrankis, pagrįstas „Python“ ir gana gerai atliekantis keletą dalykų. Keletas iš Grabber’s funkcijos yra:

  • „JavaScript“ šaltinio kodo analizatorius
  • Skirtingų svetainių scenarijų rašymas, SQL įterpimas, aklųjų SQL įterpimas
  • PHP programos testavimas naudojant PHP-SAT

Golismero

Kai kurių populiarių saugos priemonių, tokių kaip „Wfuzz“, DNS rekonstravimo, „sqlmap“, „OpenVas“, robotų analizatoriaus ir kt., Valdymo ir vykdymo sistema.

Golismero yra protingas; jis gali sujungti bandymų atsiliepimus iš kitų įrankių ir sujungti, kad būtų parodytas vienas rezultatas.

„OWASP Xenotix XSS“

„Xenotix XSS“ „OWASP“ yra patobulinta sistema, skirta rasti ir naudoti scenarijus skirtingose ​​svetainėse. Jame įmontuoti trys intelektualūs kaitikliai, kad būtų galima greitai nuskaityti ir pagerinti rezultatus.

Jis turi šimtus funkcijų, ir jūs galite patikrinkite visus čia išvardintus.

Išvada

Žiniatinklio sauga yra gyvybiškai svarbi bet kokiam internetiniam verslui, ir aš tikiuosi, kad aukščiau išvardytas nemokamas / atviro kodo pažeidžiamumų skaitytuvas padeda rasti riziką, kad galėtumėte sumažinti, kol kas nors pasinaudoja ja. Jei jus domina mokymas apie skverbties testavimą, patikrinkite tai internetinis kursas.

ŽENKLAI:

  • Atviro kodo

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map