12 Open Source Web Security Scanner เพื่อค้นหาช่องโหว่

รายงานที่น่าสนใจโดย ไซแมนเทค พบว่า 1 ใน 10 เว็บไซต์มีรหัสอันตรายอย่างน้อยหนึ่งรายการ.


และถ้าคุณใช้เวิร์ดเพรสอยู่ในรายงานอื่นด้วย Sucuri แสดงให้เห็นว่า, 49% เว็บไซต์ที่สแกนแล้วล้าสมัยแล้ว.

ในฐานะเจ้าของแอปพลิเคชันเว็บคุณจะมั่นใจได้อย่างไรว่าเว็บไซต์ของคุณได้รับการปกป้องจากภัยคุกคามออนไลน์ ไม่รั่วไหลข้อมูลที่สำคัญ?

หากคุณกำลังใช้โซลูชันรักษาความปลอดภัยบนคลาวด์การสแกนช่องโหว่ปกติเป็นส่วนหนึ่งของแผน อย่างไรก็ตามถ้าไม่เช่นนั้นคุณต้องทำการสแกนตามปกติและดำเนินการที่จำเป็นเพื่อลดความเสี่ยง.

สแกนเนอร์มีสองประเภท.

เชิงพาณิชย์ – ให้ตัวเลือกในการทำการสแกนอัตโนมัติเพื่อความปลอดภัยอย่างต่อเนื่องการรายงานการแจ้งเตือนคำแนะนำการลดรายละเอียด ฯลฯ ชื่อที่รู้จักในอุตสาหกรรมบางส่วน ได้แก่ :

  • Acunetix
  • Detectify
  • Qualys

โอเพ่นซอร์ส / ฟรี – คุณสามารถดาวน์โหลดและสแกนการรักษาความปลอดภัยตามต้องการ ไม่ใช่ว่าทุกคนจะสามารถครอบคลุมช่องโหว่ต่าง ๆ เช่นเชิงพาณิชย์ได้.

มาดูที่เครื่องมือสแกนช่องโหว่ของโอเพนซอร์ซต่อไปนี้.

Arachni

Arachni, เครื่องสแกนความปลอดภัยประสิทธิภาพสูงที่สร้างขึ้นบนกรอบทับทิมสำหรับเว็บแอปพลิเคชันที่ทันสมัย มันมีอยู่ในไบนารีแบบพกพาสำหรับ Mac, Windows & ลินุกซ์.

ไม่เพียงแค่เว็บไซต์แบบสแตติกหรือ CMS พื้นฐานเท่านั้น แต่ Arachni ก็สามารถทำได้ ลายนิ้วมือแพลตฟอร์มดังต่อไปนี้. มันใช้งานได้ & ตรวจสอบเรื่อย ๆ ทั้งสอง.

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

บางส่วนของ การตรวจจับช่องโหว่ คือ:

  • การฉีด NoSQL / Blind / SQL / Code / LDAP / Command / XPath
  • การปลอมแปลงคำขอข้ามไซต์
  • เส้นทางการสำรวจเส้นทาง
  • การรวมไฟล์โลคัล / รีโมต
  • แยกการตอบสนอง
  • การเขียนสคริปต์ข้ามไซต์
  • การเปลี่ยนเส้นทาง DOM ที่ไม่ผ่านการตรวจสอบ
  • การเปิดเผยซอร์สโค้ด

คุณมีตัวเลือกที่จะ รายงานการตรวจสอบ ใน HTML, XML, ข้อความ, JSON, YAML, ฯลฯ.

Arachni ช่วยให้คุณขยายการสแกนไปอีกระดับโดยการใช้ประโยชน์จากปลั๊กอิน ตรวจสอบความสมบูรณ์ คุณสมบัติของอารัคนี และดาวน์โหลดเพื่อรับประสบการณ์.

XssPy

องค์กรหลายแห่งรวมถึง Microsoft, Stanford, Motorola, Informatica และ Python-based XSS (cross-site scripting).

XssPy โดย Faizan Ahmad เป็นเครื่องมืออัจฉริยะ มันทำสิ่งหนึ่งที่ค่อนข้างดี แทนที่จะตรวจสอบหน้าแรกหรือหน้าเว็บที่กำหนดไว้มันจะตรวจสอบลิงก์ทั้งหมดในเว็บไซต์.

XssPy ตรวจสอบโดเมนย่อยด้วยดังนั้นจึงไม่มีอะไรเหลือ.

w3af

w3af, โครงการโอเพ่นซอร์สเริ่มต้นกลับมาในปลายปี 2549 ขับเคลื่อนโดย Python และพร้อมใช้งานบน Linux และ Windows OS w3af สามารถตรวจจับช่องโหว่ได้มากกว่า 200 ช่องโหว่รวมถึง OWASP 10 อันดับแรก.

w3af ให้คุณ payloads ฉีด ไปยังส่วนหัว, URL, คุกกี้, เคียวรี – สตริง, โพสต์ – ข้อมูล, ฯลฯ เพื่อใช้ประโยชน์จากเว็บแอปพลิเคชันสำหรับการตรวจสอบ สนับสนุนวิธีการบันทึกต่างๆสำหรับการรายงาน Ex:

Ex:

  • CSV
  • HTML
  • ปลอบใจ
  • ข้อความ
  • XML
  • อีเมล์

มันสร้างขึ้นบนสถาปัตยกรรมปลั๊กอินและคุณสามารถตรวจสอบทั้งหมด ปลั๊กอินมีให้ที่นี่.

Nikto

โครงการโอเพ่นซอร์สที่ได้รับการสนับสนุนจาก Netsparker มีเป้าหมายที่จะค้นหาการกำหนดค่าผิดพลาดเว็บเซิร์ฟเวอร์ปลั๊กอินและช่องโหว่ของเว็บ Nikto ทำการทดสอบที่ครอบคลุมกับรายการความเสี่ยงมากกว่า 6500 รายการ.

รองรับพร็อกซี HTTP, SSL, หรือการตรวจสอบความถูกต้อง NTLM ฯลฯ และสามารถกำหนดเวลาดำเนินการสูงสุดต่อการสแกนเป้าหมาย.

Nikto ยังมีอยู่ใน Kali Linux.

ดูเหมือนว่ามีแนวโน้มสำหรับโซลูชันอินทราเน็ตเพื่อค้นหาความเสี่ยงด้านความปลอดภัยของเว็บเซิร์ฟเวอร์.

Wfuzz

Wfuzz (Web Fuzzer) เป็นเครื่องมือประเมินแอปพลิเคชั่นสำหรับการทดสอบการเจาะระบบ คุณสามารถ fuzz ข้อมูลในคำร้องขอ HTTP สำหรับฟิลด์ใด ๆ เพื่อใช้ประโยชน์จากเว็บแอ็พพลิเคชันและตรวจสอบเว็บแอ็พพลิเคชัน.

Wfuzz ต้องการการติดตั้ง Python บนคอมพิวเตอร์ที่คุณต้องการเรียกใช้การสแกน มันยอดเยี่ยมมาก เอกสาร เพื่อให้คุณเริ่มต้นได้.

OWASP ZAP

ZAP (Zet Attack Proxy) เป็นหนึ่งในเครื่องมือทดสอบการเจาะที่มีชื่อเสียงซึ่งได้รับการปรับปรุงอย่างแข็งขันโดยอาสาสมัครหลายร้อยคนทั่วโลก.

เป็นเครื่องมือข้ามแพลตฟอร์ม Java ที่สามารถทำงานแม้ใน Raspberry Pi ZIP ตั้งอยู่ระหว่างเบราว์เซอร์และเว็บแอปพลิเคชันเพื่อสกัดกั้นและตรวจสอบข้อความ

บางส่วนของค่าใช้จ่ายต่อไปนี้กล่าวถึงการทำงานของ ZAP.

  • fuzzer
  • อัตโนมัติ & เครื่องสแกนแบบพาสซีฟ
  • รองรับหลายภาษาสคริปต์
  • บังคับให้เรียกดู

ฉันขอแนะนำให้ลองดู วิดีโอสอน OWASP ZAP เพื่อเริ่มต้น.

Wapiti

Wapiti สแกนหน้าเว็บของเป้าหมายที่กำหนดและค้นหาสคริปต์และแบบฟอร์มเพื่อฉีดข้อมูลเพื่อดูว่ามีความเสี่ยงหรือไม่ มันไม่ใช่การตรวจสอบความปลอดภัยของซอร์สโค้ด แต่จะสแกนแบบกล่องดำแทน.

รองรับวิธี GET และ POST HTTP, พร็อกซี HTTP และ HTTPS, การรับรองความถูกต้องหลายอย่าง, ฯลฯ.

Vega

Vega ได้รับการพัฒนาโดย Subgraph เครื่องมือที่รองรับหลายแพลตฟอร์มที่เขียนใน Java เพื่อค้นหา XSS, SQLi, RFI และช่องโหว่อื่น ๆ.

Vega มี GUI ที่ดีและสามารถทำการสแกนอัตโนมัติได้โดยการลงชื่อเข้าใช้แอปพลิเคชันด้วยข้อมูลประจำตัวที่ระบุ.

หากคุณเป็นนักพัฒนาคุณสามารถใช้ vega API เพื่อสร้างโมดูลการโจมตีใหม่.

SQLmap

ในขณะที่คุณสามารถเดาชื่อด้วยความช่วยเหลือของ sqlmap, คุณสามารถทำการทดสอบการเจาะบนฐานข้อมูลเพื่อค้นหาข้อบกพร่อง.

ใช้งานได้กับ Python 2.6 หรือ 2.7 บนระบบปฏิบัติการใด ๆ หากคุณกำลังมองหาการฉีด SQL และใช้ประโยชน์จากฐานข้อมูล sqlmap จะเป็นประโยชน์.

Grabber

เป็นเครื่องมือขนาดเล็กที่ใช้ Python และทำบางสิ่งได้ค่อนข้างดี บางส่วนของ Grabber ของ คุณสมบัติคือ:

  • ตัววิเคราะห์ซอร์สโค้ด JavaScript
  • การเขียนสคริปต์ข้ามไซต์, การฉีด SQL, การฉีด SQL ตาบอด
  • การทดสอบแอปพลิเคชัน PHP โดยใช้ PHP-SAT

Golismero

เฟรมเวิร์กสำหรับจัดการและเรียกใช้เครื่องมือรักษาความปลอดภัยยอดนิยมบางอย่างเช่น Wfuzz, DNS recon, sqlmap, OpenVas, ตัววิเคราะห์หุ่นยนต์เป็นต้น).

Golismero เป็นคนฉลาด สามารถรวมการตอบรับการทดสอบจากเครื่องมืออื่น ๆ และผสานเพื่อแสดงผลลัพธ์เดียว.

OWASP Xenotix XSS

Xenotix XSS โดย OWASP เป็นเฟรมเวิร์กขั้นสูงเพื่อค้นหาและใช้ประโยชน์จากการเขียนสคริปต์ข้ามไซต์ มันมีฟัสเซอร์อัจฉริยะสามตัวสำหรับการสแกนที่รวดเร็วและผลลัพธ์ที่ได้รับการปรับปรุง.

มันมีคุณสมบัติหลายร้อยและคุณสามารถ ตรวจสอบทั้งหมดที่ระบุไว้ที่นี่.

ข้อสรุป

ความปลอดภัยของเว็บมีความสำคัญอย่างยิ่งต่อธุรกิจออนไลน์และฉันหวังว่าเครื่องสแกนช่องโหว่ฟรี / โอเพนซอร์สที่ระบุไว้ข้างต้นจะช่วยคุณค้นหาความเสี่ยงเพื่อให้คุณสามารถลดความเสี่ยงก่อนที่ผู้อื่นจะได้รับประโยชน์จากมัน หากคุณสนใจที่จะเรียนรู้เกี่ยวกับการทดสอบการเจาะระบบให้ลองดูที่นี่ หลักสูตรออนไลน์.

Tags:

  • โอเพ่นซอร์ส

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map