12 Open Source Web Security Scanner om kwesbaarhede te vind

‘N Interessante verslag deur Symantec onthul, 1 uit 10 webwerwe het een of meer kwaadwillige kodes gehad.


En as u WordPress gebruik, dan in ‘n ander verslag deur SUCURI programme, 49% van geskandeerde webwerwe is verouderd.

Hoe verseker u dat u webwerf as ‘n webaansoeker beskerm word teen aanlynbedreigings? Lek nie sensitiewe inligting nie?

As u ‘n wolkgebaseerde beveiligingsoplossing gebruik, is die skandering van die kwesbaarheid waarskynlik ‘n deel van die plan. Indien nie, moet u egter ‘n roetine-skandering doen en die nodige stappe neem om die risiko’s te verminder.

Daar is twee soorte skandeerder.

kommersiële – gee u die opsie om die skandering te outomatiseer vir deurlopende sekuriteit, rapportering, waarskuwing, gedetailleerde versagtingsinstruksies, ens. Van die bekende name in die industrie is:

  • Acunetix
  • Detectify
  • QUALYS

Oop bron / gratis – u kan ‘n sekuriteitskandering op aanvraag aflaai en uitvoer. Nie almal sal ‘n wye reeks kwesbaarhede, soos ‘n kommersiële, kan dek nie.

Kom ons kyk na die volgende open source web kwesbaarheid skandeerder.

Arachni

Arachni, ‘n hoë-verrigting sekuriteit skandeerder gebou op Ruby raamwerk vir moderne webtoepassings. Dit is beskikbaar in ‘n draagbare binêre vir Mac, Windows & Linux.

Nie net ‘n basiese statiese of CMS-webwerf nie, maar Arachni kan dit doen volgende vingerafdrukke op die platform. Dit is aktief & passiewe tjeks, albei.

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Sommige van die kwesbaarheid opsporing is:

  • NoSQL / Blind / SQL / Code / LDAP / Command / XPath inspuiting
  • Vervalsing op verskillende terreine
  • Padoorgang
  • Plaaslike / afstandlêers ingesluit
  • Reaksie verdeel
  • Kruiswêreldskripsies
  • Ongeldige DOM-aansture
  • Openbaarmaking van die bronkode

U het die opsie om ‘n ouditverslag in HTML, XML, teks, JSON, YAML, ens.

Met Arachni kan u die skandering na die volgende vlak uitbrei deur gebruik te maak van plugins. Kyk na die volledige Arachni funksies en laai dit af om dit te ervaar.

XssPy

‘N Python-gebaseerde XSS (kruis-site scripting) kwesbaarheidskandeerder word deur baie organisasies gebruik, insluitend Microsoft, Stanford, Motorola, Informatica, ens..

XssPy deur Faizan Ahmad is ‘n slim hulpmiddel. Dit doen een ding baie goed. In plaas daarvan om net die tuisblad of die gegewe bladsy na te gaan, kyk dit na die volledige skakel op die webwerwe.

XssPy kontroleer ook die subdomein, sodat niks uitgelaat word nie.

w3af

w3af, ‘n open source projek wat aan die einde van 2006 begin is, word aangedryf deur Python en beskikbaar op Linux en Windows OS. w3af kan meer as 200 kwesbaarhede opspoor, insluitend OWASP top 10.

w3af laat jou spuit loonvragte na opskrifte, URL, koekies, navraag-string, post-data, ens. om die webtoepassing te gebruik vir ouditering. Dit ondersteun verskillende meldmetodes om aan te meld. ex:

ex:

  • CSV
  • HTML
  • console
  • teks
  • XML
  • e-pos

Dit is gebou op ‘n plugin-argitektuur, en u kan dit alles bekyk plugins hier beskikbaar.

Nikto

‘N Oopbronprojek wat deur Netsparker geborg word, het ten doel om verkeerde konfigurasie, inproppe en kwesbaarhede op die webbediener te vind. Nikto voer ‘n uitgebreide toets uit teen meer as 6500 risikoprodukte.

Dit ondersteun HTTP-instaanbediener, SSL, met of NTLM-verifikasie, ens. En kan die maksimum uitvoeringstyd per doelskandering definieer.

Nikto is ook beskikbaar in Kali Linux.

Dit lyk belowend vir die intranet-oplossing om webbedieners se veiligheidsrisiko’s te vind.

Wfuzz

Wfuzz (The Web Fuzzer) is ‘n toepassingsassesseringsinstrument vir penetrasietoetsing. U kan die gegewens in die HTTP-versoek vir enige veld verslap om die webtoepassing te benut en die webtoepassings te kontroleer.

Wfuzz het Python geïnstalleer op die rekenaar waar u die skandering wil uitvoer. Dit het uitstekend gevaar dokumentasie vir u om dit aan die gang te kry.

OWASP ZAP

ZAP (Zet Attack Proxy) is een van die beroemde instrumente vir penetrasietoetsing wat aktief deur honderde vrywilligers wêreldwyd opgedateer word.

Dit is ‘n kruisplatform-gebaseerde Java-instrument wat selfs op Raspberry Pi kan werk. ZIP sit tussen ‘n blaaier en ‘n webtoepassing om boodskappe te onderskep en te inspekteer

Sommige van die volgende is die moeite werd om die funksies van ZAP te noem.

  • Fuzzer
  • outomatiese & passiewe skandeerder
  • Ondersteun verskeie skriftaaltale
  • Gedwonge blaai

Ek sal dit aanbeveel om na te gaan OWASP ZAP-handleidingsvideo’s om dit aan die gang te kry.

Wapiti

Wapiti skandeer die webblaaie van ‘n gegewe doelwit en soek na skrifte en vorms om die data in te spuit om te sien of dit kwesbaar is. Dit is nie ‘n sekuriteitskontrole vir ‘n bronkode nie; in plaas daarvan, voer dit swartboks-skanderings uit.

Dit ondersteun GET en POST HTTP metode, HTTP en HTTPS gevolmagtigdes, verskeie verifikasies, ens.

Vega

Vega word ontwikkel deur Subgraf, ‘n multi-platform ondersteunde instrument wat in Java geskryf is om XSS, SQLi, RFI en baie ander kwesbaarhede te vind.

Vega het ‘n prettige grafiese gebruikerskoppelvlak gekry en is in staat om ‘n outomatiese skandering uit te voer deur aan te meld by ‘n toepassing met ‘n gegewe bewys.

As u ‘n ontwikkelaar is, kan u vega API gebruik om nuwe aanvalmodules te skep.

SQLmap

Soos u met die naam kan raai, met behulp van die sqlmap, u kan penetrasietoetsing in ‘n databasis uitvoer om foute op te spoor.

Dit werk saam met Python 2.6 of 2.7 op enige bedryfstelsel. As u op soek is na SQL-inspuiting en die databasis kan benut, sou sqlmap nuttig wees.

haai

Dit is ‘n klein instrument gebaseer op Python en doen ‘n paar dinge goed. Sommige van die haai se funksies is:

  • JavaScript-bronkode-ontleder
  • Cross-site scripting, SQL-inspuiting, Blinde SQL-inspuiting
  • PHP-toepassingstoetsing met behulp van PHP-SAT

Golismero

‘N Raamwerk om sommige van die gewilde sekuriteitsinstrumente te bestuur en uit te voer, soos Wfuzz, DNS-rekord, sqlmap, OpenVas, robotanaliseerder, ens.).

Golismero is slim; dit kan toetsterugvoer van ander instrumente gekonsolideer en saamsmelt om ‘n enkele resultaat te toon.

OWASP Xenotix XSS

Xenotix XSS deur OWASP is ‘n gevorderde raamwerk om skripsies op verskillende terreine te vind en te benut. Dit het drie intelligente fuzzers ingebou vir ‘n vinnige skandering en verbeterde resultate.

Dit het honderde funksies, en jy kan kyk na al die lys hier.

Afsluiting

Webbeveiliging is van kritieke belang vir enige aanlynonderneming, en ek hoop dat die bogenoemde gratis / open source kwesbaarheidskandeerder u help om risiko te vind, sodat u kan versag voordat iemand dit benut. As u belangstel om oor penetrasietoetsing te wete te kom, gaan kyk hierna aanlyn kursus.

Tags:

  • Oop bron

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map