8 инструментов с открытым кодом для тестирования безопасности сайта

Инструменты автоматизации тестирования безопасности в интернете полезны для превентивного обнаружения уязвимостей приложений и защиты веб-сайтов от атак.

Вот 8 инструментов с открытым исходным кодом, которые популярны среди тестировщиков:

  • Vega – это инструмент для сканирования и тестирования уязвимостей, написанный на Java. Он работает с платформами OS X, Linux и Windows. Включается при помощи графического интерфейса и включает автоматический сканер и перехват прокси. Может обнаруживать такие уязвимости веб-приложений, как инъекции SQL, вставка заголовков, межсайтовый скриптинг и т.д. Инструмент может быть расширен через API на JavaScript;
  • ZED Attack Proxy(ZAP) был разработан AWASP и доступен для платформ Windows, Unix/Linux и Macintosh. Инструмент прост в использовании. Может применяться как сканер или перехватывать прокси для ручного тестирования веб-страницы. Его ключевыми особенностями являются поддержка веб-сокетов и API на основе REST;
  • Wapiti выполняет сканирование способом BlackBox и вводит полезные данные, чтобы проверить, уязвим ли сценарий. Инструмент поддерживает способы атак GET и POSTHTTP. Обнаруживает такие уязвимости, как раскрытие файлов, включение файлов, межсайтовый скриптинг(XSS), слабую конфигурацию .htaccess и так далее;
  • W3af – фреймворк для аудита веб-приложений и предотвращения атак, который эффективен против более чем 200 уязвимостей. Инструмент для автоматизации процесса тестирования имеет в себя графический интерфейс со средствами, которые могут использоваться для отправки HTTP-запросов и кластерных HTTP-ответов. Если веб-сайт защищен, W3af может использовать модули проверки подлинности для сканирования. Результат работы фреймворка может быть выведен на консоль, в файл или отправлен по электронной почте;
  • Iron Wasp – это мощный инструмент сканирования с графическим интерфейсом. Он может проверить веб-сайт на наличие более чем 25 видов веб-уязвимостей, обнаружить ложные срабатывания и ложные отрицания. Данный инструмент написан на Python и Ruby и генерирует HTML и RTF отчеты;
  • SQLMap — это средство автоматизации тестирования веб-сайтов обнаруживает уязвимость в виде SQL-инъекций в базе данных веб-сайта. Он может использоваться для широкого круга баз данных и поддерживает 6 видов техник SQL-инъекций: «слепые» инъекции на основе времени, «слепые» инъекции на основе булевой алгебры, инъекции, базирующиеся на ошибках, запросы UNION, стековые запросы и внеполосные инъекции. Инструмент может прямо подключаться к базе данных без использования SQL-инъекций. А также имеет в себя возможности для создания цифрового отпечатка базы данных;
  • Google Nogotofail – средство тестирования безопасности сетевого трафика. Проверяет приложение на наличие известных уязвимостей TLS/SSL и неправильных конфигураций. Сканирует SSL/TLS-шифрованные соединения и проверяет, являются ли они уязвимыми для атак типа «человек посередине»(man-in-the-middle – MiTM). Может быть настроен как маршрутизатор, VPN-сервер или прокси-сервер;
  • BeEF(Browser Exploitation Framework) может выявить слабые места приложения, используя уязвимости браузера. Данный инструмент автоматизации тестирования приложений использует векторы атак на стороне покупателя для проверки безопасности. Может вызывать команды браузера, такие как перенаправление, изменение URL-адресов, создание диалоговых окон и т.д.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *