12 Open Source Web Security Scanner na nájdenie zraniteľností

Zaujímavá správa od Symantec ukazuje, že 1 z 10 webových stránok mal jeden alebo viac škodlivých kódov.


A ak používate WordPress, potom v inej správe od Šučur relácie, 49% naskenovaných webových stránok bolo zastaraných.

Ako vlastník webovej aplikácie, ako zaistíte, aby bol váš web chránený pred online hrozbami? Neunikajú citlivé informácie?

Ak používate bezpečnostné riešenie typu cloud, súčasťou plánu je s najväčšou pravdepodobnosťou aj pravidelné skenovanie zraniteľnosti. Ak nie, musíte vykonať rutinné skenovanie a podniknúť potrebné kroky na zmiernenie rizík.

Existujú dva typy skenerov.

komerčný – dá vám možnosť automatizovať skenovanie na zabezpečenie nepretržitej bezpečnosti, podávania správ, upozornení, podrobných pokynov na zmiernenie atď. Niektoré známe názvy v tomto odvetví sú:

  • Acunetix
  • Detectify
  • Qualys

Open Source / Free – na požiadanie môžete prevziať a vykonať bezpečnostné skenovanie. Nie všetky z nich budú schopné pokryť širokú škálu zraniteľností, ako je komerčná.

Pozrime sa na nasledujúci otvorený skener zraniteľnosti webu.

Arachne

Arachne, vysokovýkonný bezpečnostný skener postavený na platforme Ruby pre moderné webové aplikácie. Je k dispozícii v prenosnom binárnom formáte pre systémy Mac a Windows & linux.

Nielen základné statické alebo CMS webové stránky, ale Arachni to dokáže podľa odtlačkov prstov platformy. Vykonáva aktívne & pasívne kontroly.

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Niektoré z detekcia zraniteľností sú:

  • NoSQL / Blind / SQL / Code / LDAP / Command / XPath injection
  • Falšovanie žiadosti na viacerých miestach
  • Prechod cesty
  • Lokálne / vzdialené inklúzie súborov
  • Rozdelenie odozvy
  • Skriptovanie naprieč stránkami
  • Neplatné presmerovania DOM
  • Zverejnenie zdrojového kódu

Máte na výber audítorská správa vo formáte HTML, XML, text, JSON, YAML atď.

Arachni vám umožňuje rozšíriť skenovanie na ďalšiu úroveň pomocou doplnkov. Pozrite sa na komplet Arachniho rysy a stiahnite si ich.

XssPy

Skener zraniteľnosti založený na pythone XSS (cross-site scripting) používa mnoho organizácií, vrátane spoločností Microsoft, Stanford, Motorola, Informatica atď..

XssPy od Faizana Ahmada je šikovný nástroj. Jedna vec je celkom dobre. Namiesto kontroly domovskej stránky alebo danej stránky skontroluje celý odkaz na webových stránkach.

XssPy tiež kontroluje subdoménu, takže nič nevynecháva.

w3af

w3af, projekt s otvoreným zdrojovým kódom, ktorý sa začal už koncom roku 2006, je poháňaný programom Python a je k dispozícii v systémoch Linux a Windows. w3af je schopný zistiť viac ako 200 zraniteľností, vrátane OWASP top 10.

w3af vám vstrekovať užitočné zaťaženie do hlavičiek, adries URL, súborov cookie, reťazcov dotazov, dodatočných údajov atď. na využitie webovej aplikácie na auditovanie. Podporuje rôzne metódy protokolovania pre podávanie správ. ex:

ex:

  • CSV
  • HTML
  • konzola
  • text
  • XML
  • e-mail

Je postavený na architektúre doplnkov a môžete vyskúšať všetky Doplnky sú k dispozícii tu.

nikto

Cieľom projektu open-source sponzorovaného spoločnosťou Netsparker je nájsť chybnú konfiguráciu webového servera, doplnky a zraniteľné miesta na webe. Nikto vykonáva komplexný test na viac ako 6500 rizikových položiek.

Podporuje HTTP proxy, SSL, s alebo NTLM autentifikáciou, atď. A môže definovať maximálny čas vykonávania na kontrolu cieľa.

nikto je k dispozícii aj v systéme Kali Linux.

Vyzerá sľubne pre intranetové riešenie na nájdenie bezpečnostných rizík webových serverov.

Wfuzz

Wfuzz (Web Fuzzer) je nástroj na hodnotenie aplikácií na testovanie penetrácie. Údaje v požiadavke HTTP môžete oklamať pre akékoľvek pole, aby ste mohli využívať webovú aplikáciu a auditovať webové aplikácie.

Wfuzz vyžadoval nainštalovanie Pythonu do počítača, na ktorom chcete spustiť kontrolu. Je to vynikajúce dokumentácia aby ste to mohli začať.

OWASP ZAP

ZAP (Zet Attack Proxy) je jedným z najznámejších nástrojov penetračného testovania, ktoré aktívne aktualizujú stovky dobrovoľníkov na celom svete.

Je to multiplatformový nástroj založený na Java, ktorý môže bežať aj na Raspberry Pi. ZIP sedí medzi prehliadačom a webovou aplikáciou na zachytávanie a kontrolu správ

Niektoré z nasledujúcich funkcií si zaslúžia spomenúť funkčnosť ZAP.

  • Fuzzer
  • automatizovaný & pasívny skener
  • Podporuje viac skriptovacích jazykov
  • Nútené prehliadanie

Vrelo by som odporučiť vyskúšať Výukové videá OWASP ZAP aby to začalo.

wapiti

wapiti prehľadá webové stránky daného cieľa a hľadá skripty a formuláre na vloženie údajov, aby zistil, či je to zraniteľné. Nejde o bezpečnostné kontroly zdrojového kódu; namiesto toho vykonáva skenovanie čiernych skriniek.

Podporuje GET a POST HTTP metódu, HTTP a HTTPS proxy, niekoľko autentifikácií, atď.

vega

vega je vyvinutý Subgraphom, multiplatformovým podporovaným nástrojom napísaným v Jave na nájdenie XSS, SQLi, RFI a mnohých ďalších zraniteľností.

Vega dostal pekné GUI a bol schopný vykonať automatické skenovanie prihlásením sa do aplikácie s daným poverením.

Ak ste vývojár, môžete využiť API vega na vytvorenie nových útočných modulov.

SQLmap

Ako môžete uhádnuť podľa názvu, pomocou sqlmap, môžete vykonať penetračné testovanie v databáze a nájsť nedostatky.

Pracuje s Python 2.6 alebo 2.7 na akomkoľvek OS. Ak hľadáte injekciu SQL a využívate databázu, bola by užitočná sqlmap.

grabber

Je to malý nástroj založený na Pythone a robí pár vecí celkom dobre. Niektoré z grabber vlastnosti sú:

  • Analyzátor zdrojového kódu JavaScript
  • Skriptovanie na viacerých miestach, SQL injekcia, Blind SQL injection
  • Testovanie aplikácií PHP pomocou PHP-SAT

Golismero

Rámec pre správu a spúšťanie niektorých populárnych bezpečnostných nástrojov, ako sú Wfuzz, DNS res, sqlmap, OpenVas, analyzátor robotov atď.).

Golismero je inteligentný; môže konsolidovať spätnú väzbu testov z iných nástrojov a zlúčiť tak, aby ukazoval jediný výsledok.

OWASP Xenotix XSS

Xenotix XSS od OWASP je pokročilý rámec na vyhľadávanie a využívanie skriptovania na viacerých stránkach. Má zabudované tri inteligentné fuzzery na rýchle skenovanie a zlepšenie výsledkov.

Má stovky funkcií a môžete pozrite sa na všetky tu uvedené.

záver

Webové zabezpečenie je rozhodujúce pre akékoľvek online podnikanie a ja dúfam, že vyššie uvedený skener zraniteľností typu open / source vám pomôže nájsť riziko, aby ste ho mohli zmierniť skôr, ako ho niekto využije. Ak máte záujem dozvedieť sa viac o penetračnom testovaní, vyskúšajte to online kurz.

Tagy:

  • Open Source

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map