12 סורק אבטחת אינטרנט בקוד פתוח למציאת פגיעויות

דו”ח מעניין מאת סימנטק מגלה כי לאחד מכל עשרה אתרים היה קוד זדוני אחד או יותר.


ואם אתה משתמש בוורדפרס, דוח אחר מאת סוקורי מופעים, 49% מאתרים סרוקים היו מיושנים.

כבעלי יישומי אינטרנט, איך אתה מבטיח שהאתר שלך מוגן מפני איומים מקוונים? איננו מדליף מידע רגיש?

אם אתה משתמש בפתרון אבטחה מבוסס ענן, ככל הנראה, סריקת פגיעות רגילה היא חלק מהתכנית. עם זאת, אם לא, אז עליכם לבצע סריקה שגרתית ולנקוט צעדים הכרחיים כדי להקטין את הסיכונים.

ישנם שני סוגים של סורק.

מסחרי – תן לך אפשרות להפוך את הסריקה לאוטומטית לאבטחה רציפה, דיווח, התרעה, הוראות הפחתה מפורטות וכו ‘. חלק מהשמות הידועים בענף הם:

  • אקונטיקס
  • לגלות
  • קוואליס

קוד פתוח / חינם – אתה יכול להוריד ולבצע סריקת אבטחה לפי דרישה. לא כולם יוכלו לכסות מגוון רחב של פגיעויות כמו מסחרי.

בואו ונבדוק את סורק הפגיעויות באינטרנט בקוד הפתוח הבא.

ארכני

ארכני, סורק אבטחה בעל ביצועים גבוהים הבנוי על גבי מסגרת Ruby ליישומי אינטרנט מודרניים. זה זמין בינארי נייד עבור Mac, Windows & לינוקס.

לא רק אתר סטטי בסיסי או אתר CMS, אלא ארכני מסוגל לעשות זאת בעקבות טביעות אצבעות פלטפורמה. זה מבצע פעיל & שיקים פסיביים, שניהם.

  • Windows, Solaris, Linux, BSD, Unix
  • נגינקס, אפאצ’י, טומקט, IIS, ג’טי
  • ג’אווה, רובי, פייתון, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

חלק מה זיהוי פגיעויות הם:

  • NoSQL / Blind / SQL / Code / LDAP / Command / XPath הזרקה
  • זיוף בקשה בשטח
  • מעבר נתיב
  • תכלילים של קובץ מקומי / מרוחק
  • פיצול תגובה
  • סקריפטים חוצה אתרים
  • הפניות מחדש של DOM לא מאושרות
  • גילוי קוד מקור

יש לך אפשרות לקחת דוח ביקורת ב- HTML, XML, טקסט, JSON, YAML וכו ‘.

Arachni מאפשר לך להרחיב את הסריקה לשלב הבא על ידי מינוף תוספים. בדוק את המלא תכונות ארכני ולהוריד כדי לחוות את זה.

XssPy

סורקי פגיעות מבוססי XSS (סקריפטים בין אתרים) משמשים על ידי ארגונים רבים, כולל מיקרוסופט, סטנפורד, מוטורולה, אינפורמטיקה וכו ‘..

XssPy מאת פייזאן אחמד הוא כלי חכם. זה עושה דבר אחד טוב למדי. במקום לבדוק רק את דף הבית או את הדף הנתון, הוא בודק את כל הקישור באתרי האינטרנט.

XssPy בודק גם את תת-הדומיין, כך שלא נותרים דבר בחוץ.

w3af

w3af, פרויקט קוד פתוח שהתחיל בסוף 2006, מופעל על ידי Python וזמין במערכת ההפעלה לינוקס ומערכת Windows. w3af מסוגל לאתר יותר מ- 200 פגיעויות, כולל OWASP 10 העליונה.

w3af תן לך להזרים עומסים לכותרות, URL, קובצי cookie, מחרוזת שאילתה, פוסט-נתונים וכו ‘כדי לנצל את יישום האינטרנט לביקורת. זה תומך בשיטות רישום שונות לדיווח. דוגמה:

דוגמה:

  • CSV
  • HTML
  • קונסולה
  • טקסט
  • XML
  • אימייל

זה בנוי על ארכיטקטורת תוספים ותוכלו לבדוק את כל הדברים תוספים זמינים כאן.

ניקטו

פרויקט קוד פתוח בחסות Netsparker נועד למצוא תצורה שגויה של שרת האינטרנט, תוספים ופגיעויות באינטרנט. ניקטו מבצע בדיקה מקיפה נגד למעלה מ 6500 פריטי סיכון.

הוא תומך בפרוקסי HTTP, SSL, עם אימות NTLM או וכו ‘ויכול להגדיר זמן ביצוע מקסימאלי לכל סריקת יעד.

ניקטו זמין גם בקאלי לינוקס.

נראה כי פיתרון האינטרא-נט למצוא סיכוני אבטחה של שרתי האינטרנט.

וופוז

וופוז (ה- Fuzzer Web) הוא כלי הערכת יישומים לבדיקת חדירה. אתה יכול לטשטש את הנתונים בבקשת HTTP עבור כל שדה כדי לנצל את יישום האינטרנט ולבדוק את יישומי האינטרנט.

Wfuzz דרשה להתקין את Python במחשב שבו ברצונך להפעיל את הסריקה. זה נהיה מצוין תיעוד כדי שתתחיל.

OWASP ZAP

ZAP (Zet Attack Proxy) הוא אחד מכלי בדיקת החדירה המפורסמים המתעדכנים באופן פעיל על ידי מאות מתנדבים ברחבי העולם.

זהו כלי מבוסס ג’אווה חוצה פלטפורמות שיכול לפעול אפילו ב- Raspberry Pi. ZIP יושבת בין דפדפן ליישום אינטרנט כדי ליירט ולבדוק הודעות

כמה מהדברים הבאים ראוי להזכיר את הפונקציונליות של ZAP.

  • פוזר
  • אוטומטית & סורק פסיבי
  • תומך בשפות סקריפט מרובות
  • גלישה מאולצת

אני ממליץ בחום לבדוק סרטוני הדרכה OWASP ZAP כדי להתחיל בזה.

Wapiti

Wapiti סורק את דפי האינטרנט של יעד נתון ומחפש סקריפטים וטפסים כדי להזרים את הנתונים כדי לראות אם זה פגיע. זה לא בדיקות אבטחה של קוד מקור; במקום זאת, הוא מבצע סריקות בתיבה שחורה.

זה תומך בשיטת GET ו- POST HTTP, פרוקסי HTTP ו- HTTPS, מספר אימות וכו ‘.

וגה

וגה מפותח על ידי Subgraph, כלי נתמך רב פלטפורמות שנכתב ב- Java בכדי למצוא XSS, SQLi, RFI, ופגיעויות רבות אחרות..

וגה קיבלה ממשק משתמש נחמד ויכול לבצע סריקה אוטומטית על ידי כניסה ליישום עם אישור נתון.

אם אתה מפתח, אתה יכול למנף את vega API ליצירת מודולי התקפה חדשים.

SQLmap

כפי שאתה יכול לנחש בשם, בעזרת ה- sqlmap, אתה יכול לבצע בדיקות חדירה במסד נתונים כדי למצוא פגמים.

זה עובד עם Python 2.6 או 2.7 בכל מערכת הפעלה. אם אתם מחפשים למצוא הזרקת SQL ולנצל את בסיס הנתונים, אז sqlmap יהיה מועיל.

חוטף

זה כלי קטן שמבוסס על פייתון ועושה כמה דברים די טוב. חלק מה Grabber’s התכונות הן:

  • מנתח קוד מקור של JavaScript
  • סקריפטים בין אתרים, הזרקת SQL, הזרקת SQL עיוורת
  • בדיקת יישומי PHP באמצעות PHP-SAT

גוליסמרו

מסגרת לניהול והפעלת חלק מכלי האבטחה הפופולריים כמו Wfuzz, Rec DNS, sqlmap, OpenVas, Analy Robot וכו ‘).

גוליסמרו זה חכם; זה יכול לאחד משוב מבחן מכלים אחרים ולהתמזג כדי להציג תוצאה יחידה.

OWASP Xenotix XSS

Xenotix XSS מאת OWASP היא מסגרת מתקדמת לאיתור וניצול סקריפטים חוצה אתרים. זה מובנה שלושה fuzzers אינטליגנטי לסריקה מהירה ותוצאות משופרות.

יש לו מאות תכונות, ואתה יכול עיין בכל הרשומים כאן.

סיכום

אבטחת אתרים היא קריטית לכל עסק מקוון, ואני מקווה שסורק פגיעויות שמופיע ברשימה בחינם / קוד פתוח עוזר לך למצוא סיכון כדי שתוכל להקל לפני שמישהו ינצל אותו. אם אתם מעוניינים ללמוד על בדיקת חדירה, בדקו זאת קורס מקוון.

תגיות:

  • קוד פתוח

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map