12 Odprtokodni skener spletnega varovanja za iskanje ranljivosti

Zanimivo poročilo avtorja Symantec razkriva, da je 1 od 10 spletnih strani imelo eno ali več zlonamerne kode.


In, če uporabljate WordPress, potem v drugem poročilu avtorja SUCURI kaže, 49% skeniranih spletnih strani je zastarelo.

Kako lastnik spletne aplikacije zagotavljate, da je vaše spletno mesto zaščiteno pred spletnimi grožnjami? Ne pušča občutljivih informacij?

Če uporabljate varnostno rešitev v oblaku, je najverjetneje redno načrtovanje ranljivosti del načrta. Če pa ni, potem morate opraviti rutinsko pregledovanje in ukrepati, da zmanjšate tveganja.

Obstajata dve vrsti optičnega bralnika.

Komercialno – vam omogočajo avtomatizacijo skeniranja za stalno varnost, poročanje, opozarjanje, podrobna navodila za ublažitev itd. Nekatera znana imena v panogi so:

  • Acunetix
  • Odkrijte
  • Kakovost

Open Source / Free – lahko na zahtevo naložite in izvedete varnostno skeniranje. Niso vsi sposobni zajeti širokega nabora ranljivosti, kot je komercialna.

Oglejmo si naslednji odprtokodni bralnik ranljivosti.

Arachni

Arachni, visokozmogljiv varnostni skener, zgrajen na podlagi Ruby za sodobne spletne aplikacije. Na voljo je v prenosnem dvojiškem računalniku za Mac, Windows & Linux.

Ne le osnovna statična ali CMS spletna stran, ampak Arachni to zmore po prstnih odtisih platforme. Deluje aktivno & pasivni pregledi, oboje.

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Nekateri od odkrivanje ranljivosti so:

  • Vbrizgavanje NoSQL / Blind / SQL / Code / LDAP / Command / XPath
  • Ponarejanje zahteve na več mestih
  • Prehod poti
  • Lokalne / Oddaljene vključitve datotek
  • Razdelitev odzivov
  • Skriptnost na drugem mestu
  • Neveljavne preusmeritve DOM
  • Razkritje izvorne kode

Imate možnost vzeti revizijsko poročilo v HTML, XML, Text, JSON, YAML itd.

Arachni omogoča razširitev optičnega branja na naslednjo raven z uporabo dodatkov. Oglejte si celoto Funkcije Arachni in prenesite, da ga izkusite.

XssPy

Optični bralnik ranljivosti za skeniranje ranljivosti na osnovi pythona uporablja številne organizacije, med drugim Microsoft, Stanford, Motorola, Informatica itd..

XssPy avtorja Faizan Ahmad je pametno orodje. Ena stvar je zelo dobra. Namesto da samo preverite domačo stran ali določeno stran, preveri celotno povezavo na spletnih mestih.

XssPy preveri tudi poddomene, tako da nič ne izostane.

w3af

w3af, odprtokodni projekt, ki se je začel konec leta 2006, poganja Python in je na voljo v sistemih Linux in Windows. w3af je sposoben zaznati več kot 200 ranljivosti, vključno z OWASP top 10.

w3af vam dovoli vbrizgajte koristne obremenitve na glave, URL, piškotke, poizvedbene nize, post-podatke itd. za uporabo spletne aplikacije za revidiranje. Podpira različne načine beleženja za poročanje. Primer:

Primer:

  • CSV
  • HTML
  • Konzola
  • Besedilo
  • XML
  • E-naslov

Zgrajena je na arhitekturi vtičnikov in lahko si ogledate vse Tu so na voljo vtičniki.

Nikto

Namen odprtokodnega projekta, ki ga sponzorira Netsparker, je najti napačno konfiguracijo spletnega strežnika, vtičnike in ranljivosti spleta. Nikto opravi obsežen test na več kot 6500 rizičnih postavkah.

Podpira HTTP proxy, SSL, z ali NTLM avtentikacijo itd. In lahko določi največji čas izvedbe na ciljno skeniranje.

Nikto je na voljo tudi v Kali Linux.

Intranetna rešitev se obeta za iskanje varnostnih tveganj spletnih strežnikov.

Wfuzz

Wfuzz (Spletni mehurček) je orodje za ocenjevanje aplikacij za penetracijsko testiranje. Podatke v zahtevi HTTP lahko zberete v poljubno polje za izkoriščanje spletne aplikacije in revizijo spletnih aplikacij.

Wfuzz zahteva namestitev Pythona v računalnik, kjer želite zagnati optično branje. Dobil je odlično dokumentacijo da bi ga začeli.

OWASP ZAP

ZAP (Zet Attack Proxy) je eno izmed znanih orodij za testiranje penetracije, ki ga na stotine prostovoljcev po vsem svetu aktivno posodablja.

To je orodje, ki temelji na platformi Java, ki deluje tudi na Raspberry Pi. ZIP sedi med brskalnikom in spletno aplikacijo za prestrezanje in pregledovanje sporočil

Nekaj ​​od naslednjega je vredno omeniti funkcionalnost ZAP-a.

  • Fuzzer
  • Avtomatizirano & pasivni skener
  • Podpira več jezikov za skriptiranje
  • Prisilno brskanje

Zelo priporočam, da se odjavite OWASP ZAP video posnetki da se začne.

Wapiti

Wapiti pregleda spletne strani določenega cilja in išče skripte in obrazce, s katerimi vbrizga podatke, da bi videl, ali je to ranljivo. Ne gre za varnostne preglede izvorne kode; namesto tega opravi pregled v črnem oknu.

Podpira GET in POST HTTP metodo, HTTP in HTTPS proxy, več avtentikacij itd.

Vega

Vega je razvil Subgraph, večplastno podporno orodje, napisano v Javi za iskanje XSS, SQLi, RFI in mnogih drugih ranljivosti.

Vega je dobil uporabniški vmesnik GUI in lahko izvedel samodejno skeniranje s prijavo v aplikacijo z dano poverilnico.

Če ste razvijalec, lahko uporabite vega API za ustvarjanje novih modulov napada.

SQLmap

Kot lahko uganite po imenu, s pomočjo sqlmap, lahko izvedete testiranje penetracije v bazi podatkov, da ugotovite pomanjkljivosti.

Deluje s Python 2.6 ali 2.7 v katerem koli OS. Če želite najti injekcijo SQL in izkoristiti bazo podatkov, bi bil sqlmap koristen.

Grabber

To je majhno orodje, ki temelji na Pythonu in naredi nekaj stvari zelo dobro. Nekateri od Grabber’s značilnosti so:

  • JavaScript analizator izvorne kode
  • Skriptnost na več mestih, vbrizgavanje SQL, injekcija slepih SQL
  • Testiranje aplikacij PHP z uporabo PHP-SAT

Golismero

Okvir za upravljanje in zagon nekaterih priljubljenih varnostnih orodij, kot so Wfuzz, obnovitev DNS, sqlmap, OpenVas, analizator robot itd.).

Golismero je pameten; lahko konsolidira povratne informacije o testih iz drugih orodij in se združi ter prikaže en rezultat.

OWASP Xenotix XSS

Xenotix XSS by OWASP je napreden okvir za iskanje in izkoriščanje skript na več mestih. Vgradili so tri inteligentne fuzerje za hitro pregledovanje in izboljšane rezultate.

Ima na stotine funkcij in lahko preverite vse naštete tukaj.

Zaključek

Spletna varnost je ključnega pomena za vsako spletno podjetje in upam, da zgoraj našteti brezplačni / odprtokodni skener ranljivosti pomaga, da najdete tveganje, da boste lahko ublažili, preden nekdo to izkoristi. Če vas zanima učenje penetracijskega testiranja, preverite to spletni tečaj.

Oznake:

  • Odprtokodno

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map