12 Otvoreni skener web sigurnosti za pronalaženje ranjivosti

Zanimljivo izvješće autora Symantec otkriva, 1 od 10 web lokacija imao je jedan ili više zlonamjernih kodova.


A, ako koristite WordPress, onda u drugom izvješću od Sucuri pokazuje, 49% skeniranih web stranica su zastarjele.

Kako ste vlasnik web aplikacije kako osiguravate da je vaša web lokacija zaštićena od prijetnji na mreži? Ne propušta osjetljive podatke?

Ako koristite sigurnosno rješenje temeljeno na oblaku, tada je, najvjerojatnije, redovito skeniranje ranjivosti dio plana. Međutim, ako ne, tada morate izvršiti rutinsku pretragu i poduzeti potrebne mjere za ublažavanje rizika.

Postoje dvije vrste skenera.

trgovački – daju vam mogućnost automatiziranja skeniranja za kontinuiranu sigurnost, izvještavanje, uzbunjivanje, detaljne upute za ublažavanje itd. Neka od poznatih imena u industriji su:

  • Acunetix
  • Detectify
  • Qualys

Open Source / Besplatno – možete preuzeti i izvršiti sigurnosno skeniranje na zahtjev. Neće svi moći pokriti širok spektar ranjivosti poput komercijalne.

Provjerimo sljedeći otvoreni skener skenera ranjivosti.

Arachni

Arachni, sigurnosni skener visokog učinka izgrađen na Ruby okviru za moderne web aplikacije. Dostupna je u prijenosnom binarnom računalu za Mac, Windows & Linux.

Ne samo osnovna statička ili CMS web stranica, već je i Arachni sposoban za to slijedeći otiske platforme. Izvodi se aktivno & pasivne provjere, oboje.

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Neki od otkrivanje ranjivosti su:

  • Ubrizgavanje NoSQL / Blind / SQL / Kod / LDAP / Command / XPath
  • Krivotvorenje zahtjeva na više stranica
  • Obilazak staze
  • Uključivanja lokalne / udaljene datoteke
  • Podjela odgovora
  • Skripta na više mjesta
  • Nevalidna preusmjeravanja DOM-a
  • Otkrivanje izvornog koda

Imate mogućnost uzeti revizorsko izvješće na HTML-u, XML-u, tekstu, JSON-u, YAML-u itd.

Arachni omogućava vam da proširite skeniranje na sljedeću razinu, koristeći dodatke. Provjerite kompletnu Arachni značajke i preuzmite da biste ga iskusili.

XssPy

XSS (cross-site scripting) skener ranjivosti temeljen na pitonu koristi se u mnogim organizacijama, uključujući Microsoft, Stanford, Motorolu, Informatica itd..

XssPy od Faizan Ahmad pametno je sredstvo. To vrlo dobro djeluje. Umjesto samo provjere početne ili određene stranice, on provjerava cijelu vezu na web stranicama.

XssPy također provjerava poddomena, tako da ništa ne propušta.

w3af

w3af, projekt otvorenog koda pokrenut krajem 2006., pokretan je od strane Pythona i dostupan u Linuxu i Windows OS-u. w3af može otkriti više od 200 ranjivosti, uključujući OWASP top 10.

w3af vam dopušta ubrizgajte korisne terete na zaglavlja, URL, kolačiće, niz upita, postove podataka itd. za korištenje web aplikacije za reviziju. Podržava različite metode prijavljivanja za izvještavanje. ex:

ex:

  • CSV
  • HTML
  • Konzola
  • Tekst
  • XML
  • E-mail

Građen je na arhitekturi dodataka i možete provjeriti sve dodaci su dostupni ovdje.

Nikto

Projekt otvorenog koda kojeg sponzorira Netsparker ima za cilj pronaći pogrešnu konfiguraciju web poslužitelja, dodatke i ranjivosti na webu. Nikto provodi opsežni test na više od 6500 rizičnih stavki.

Podržava HTTP proxy, SSL, s ili NTLM provjerom autentičnosti itd. I može definirati maksimalno trajanje izvršenja po ciljnom skeniranju.

Nikto dostupan je i u Kali Linuxu.

Izgleda obećavajuće za intranet rješenje pronalaženja sigurnosnih rizika web poslužitelja.

Wfuzz

Wfuzz (Web Fuzzer) je alat za procjenu aplikacije za penetracijsko testiranje. Podatke u HTTP zahtjevu možete zabuniti u bilo kojem polju za korištenje web aplikacije i reviziju web aplikacija.

Wfuzz je trebao instalirati Python na računalo na kojem želite pokrenuti skeniranje. Dobio je izvrsno dokumentacija da biste ga započeli.

OWASP ZAP

ZAP (Zet Attack Proxy) jedan je od poznatih alata za prodiranje penetracije koji se aktivno ažurira na stotine volontera širom svijeta.

To je alat koji se temelji na platformi na više platformi Java, a može se pokretati čak i na Raspberry Pi. ZIP sjedi između preglednika i web aplikacije kako bi presretnuo i pregledao poruke

Neke od sljedećih vrijedno je spomenuti funkcionalnost ZAP-a.

  • fuzzer
  • Automatizirano & pasivni skener
  • Podržava više jezika skriptiranja
  • Prisilno pregledavanje

Toplo bih preporučio da se javite OWASP ZAP video priručnici da započne.

Sjevernoamerički jelen

Sjevernoamerički jelen skenira web stranice određenog cilja i traži skripte i obrasce za ubacivanje podataka da vidi je li ranjiva. To nisu provjere izvornog koda; umjesto toga vrši skeniranje u crnoj kutiji.

Podržava GET i POST HTTP metodu, HTTP i HTTPS proxyje, nekoliko autentifikacija itd.

Vega

Vega je razvio Subgraph, alat za višestruke platforme napisan na Javi za pronalaženje XSS, SQLi, RFI i mnogih drugih ranjivosti.

Vega je dobila lijep GUI i sposoban je izvršiti automatizirano skeniranje prijavom u aplikaciju s određenom vjerodajnicom.

Ako ste programer, možete upotrijebiti vega API za stvaranje novih modula napada.

SQLmap

Kao što možete pogoditi po imenu, uz pomoć sqlmap, možete provesti penetracijsko testiranje u bazi podataka da biste pronašli nedostatke.

Radi s Python 2.6 ili 2.7 na bilo kojem OS-u. Ako želite pronaći SQL injekciju i iskorištavati bazu podataka, tada bi sqlmap bio koristan.

Gramžljivac

To je mali alat baziran na Pythonu i čini nekoliko stvari prilično dobro. Neki od Hvatač je značajke su:

  • JavaScript analizator izvornog koda
  • Skripta na više mjesta, ubrizgavanje SQL-a, slijepo SQL ubrizgavanje
  • Provjera aplikacije PHP pomoću PHP-SAT

Golismero

Okvir za upravljanje i pokretanje nekih od popularnih sigurnosnih alata kao što su Wfuzz, DNS rekonstrukcija, sqlmap, OpenVas, analizator robota, itd.).

Golismero pametan je; može objediniti povratne informacije o testiranju s drugih alata i spojiti se da bi pokazao pojedinačni rezultat.

OWASP Xenotix XSS

Xenotix XSS by OWASP je napredni okvir za pronalaženje i iskorištavanje skripta na više mjesta. Ugrađena su tri inteligentna puhanja za brzo skeniranje i poboljšane rezultate.

Ima stotine značajki, a ti to možeš pogledajte sve ovdje navedene.

Zaključak

Web sigurnost je presudna za bilo koju internetsku tvrtku, a nadam se da gore navedeni besplatni / otvoreni skener ranjivosti pomaže vam u pronalaženju rizika kako biste mogli ublažiti prije nego što netko to iskoristi. Ako ste zainteresirani za učenje penetracijskog testiranja, pogledajte ovo online tečaj.

OZNAKE:

  • Otvoreni izvor

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map