12 اسکنر امنیت وب منبع باز برای یافتن آسیب پذیری

گزارشی جالب از سیمانتک نشان می دهد ، از هر 10 وب سایت 1 یا یک کد مخرب وجود دارد.


و اگر از WordPress استفاده می کنید ، در گزارش دیگری توسط سوکوري نشان می دهد, 49٪ وب سایتهای اسکن شده منسوخ شده بودند.

به عنوان یک صاحب برنامه وب ، چگونه می توانید سایت خود را از خطرات آنلاین محافظت کنید؟ اطلاعات حساس را فاش نمی کنید?

اگر از یک راهکار امنیتی مبتنی بر ابر استفاده می کنید ، به احتمال زیاد ، اسکن منظم آسیب پذیری بخشی از این طرح است. اما اگر اینطور نیست ، باید اسکن روتین را انجام دهید و اقدامات لازم را برای کاهش خطرات انجام دهید.

دو نوع اسکنر وجود دارد.

تجاری – گزینه ای برای خودکار سازی اسکن برای امنیت مداوم ، گزارش ، هشدار ، دستورالعمل های کاهش دقیق ، و غیره به شما می دهد. برخی از نام های شناخته شده در صنعت عبارتند از:

  • Acunetix
  • شناسایی
  • کوالیز

منبع آزاد / رایگان – می توانید اسکن امنیتی را در صورت تقاضا بارگیری و انجام دهید. همه آنها قادر به پوشش طیف گسترده ای از آسیب پذیری ها مانند یک تجارت تجاری نیستند.

بیایید اسکنر آسیب پذیری وب منبع باز زیر را بررسی کنیم.

آراچی

آراچی, یک اسکنر امنیتی با کارایی بالا که در چارچوب Ruby برای برنامه های وب مدرن ساخته شده است. در دوتایی قابل حمل برای Mac ، Windows موجود است & لینوکس.

نه فقط وب سایت استاتیک پایه یا CMS بلکه Arachni قادر به انجام آن است اثر انگشت سکوی زیر. فعال است & هر دو چک های منفعل.

  • ویندوز ، سولاریس ، لینوکس ، BSD ، یونیکس
  • Nginx ، Apache ، Tomcat ، IIS ، Jetty
  • جاوا ، روبی ، پایتون ، ASP ، PHP
  • جنگو ، ریل ، CherryPy ، CakePHP ، ASP.NET MVC ، Symfony

برخی از تشخیص آسیب پذیری هستند:

  • NoSQL / Blind / SQL / Code / LDAP / Command / XPath تزریق
  • جعل درخواست متقابل سایت
  • مسیر گذر
  • اجزاء پرونده محلی یا از راه دور
  • تقسیم پاسخ
  • برنامه نویسی متقاطع
  • تغییر مسیر DOM معتبر نیست
  • افشای کد منبع

شما گزینه ای برای استفاده از آن دارید گزارش حسابرسی در HTML ، XML ، متن ، JSON ، YAML و غیره.

Arachni به شما امکان می دهد تا با اعمال پلاگین ها ، اسکن را به سطح بعدی گسترش دهید. کامل را بررسی کنید ویژگی های آراچی و بارگیری کنید تا آن را تجربه کنید.

XssPy

اسکنر آسیب پذیری مبتنی بر پایتون XSS (اسکریپت بین سایت) توسط بسیاری از سازمان ها از جمله مایکروسافت ، استنفورد ، موتورولا ، انفورماتیک و غیره استفاده می شود..

XssPy توسط فیضان احمد ابزاری هوشمند است. این یک چیز کاملا خوب است. به جای اینکه فقط صفحه اصلی یا صفحه مشخص شده را بررسی کند ، کل پیوند را در وب سایت ها بررسی می کند.

XssPy همچنین فرامین فرعی را نیز بررسی می کند ، بنابراین هیچ چیزی از آن خارج نمی شود.

w3af

w3af, یک پروژه منبع باز از اواخر سال 2006 آغاز شد ، توسط Python نیرو می گیرد و در سیستم عامل لینوکس و ویندوز در دسترس است. w3af قادر به شناسایی بیش از 200 آسیب پذیری از جمله 10 مورد برتر OWASP است.

به شما اجازه می دهم تزریق بار به هدر ، URL ، کوکی ها ، رشته پرس و جو ، داده های پس از داده و غیره برای بهره برداری از برنامه وب برای ممیزی. این روش گزارش گیری مختلف را پشتیبانی می کند. سابق:

سابق:

  • CSV
  • HTML
  • کنسول
  • متن
  • XML
  • پست الکترونیک

در معماری افزونه ساخته شده است ، و می توانید تمام موارد را بررسی کنید پلاگین های موجود در اینجا.

نیکو

یک پروژه منبع باز که توسط Netsparker حمایت می شود ، قصد دارد پیکربندی غلط وب سرور ، افزونه ها و آسیب پذیری های وب را پیدا کند. Nikto یک آزمایش جامع علیه بیش از 6500 مورد خطر انجام می دهد.

این پشتیبانی از پروکسی HTTP ، SSL ، با تأیید اعتبار NTLM و غیره ، و می تواند حداکثر زمان اجرای را در هر اسکن هدف تعریف کند..

نیکو در Kali Linux نیز موجود است.

به نظر می رسد راه حل درون شبکه برای یافتن خطرات امنیتی سرورهای وب امیدوار باشد.

Wfuzz

Wfuzz (The Web Fuzzer) ابزاری برای ارزیابی اپلیکیشن برای آزمایش نفوذ است. می توانید داده ها را در درخواست HTTP برای هر زمینه ای برای سوءاستفاده از برنامه وب و حسابرسی از برنامه های وب فازی کنید.

Wfuzz نیاز دارد که پایتون را روی رایانه ای نصب کنید که می خواهید اسکن را انجام دهید. عالی شد مستندات برای شروع کار.

OWASP ZAP

ZAP (Zet Attack Proxy) یکی از ابزارهای معروف تست نفوذ است که بطور فعال توسط صدها داوطلب در سراسر جهان به روز می شود.

این یک ابزار جاوا مبتنی بر کراس پلت فرم است که می تواند حتی در Raspberry Pi نیز اجرا شود. ZIP برای رهگیری و بازرسی پیام ها بین یک مرورگر و برنامه وب قرار دارد

برخی از موارد زیر قابل ذکر است که عملکرد ZAP را ذکر می کنیم.

  • فوزر
  • خودکار & اسکنر منفعل
  • چندین زبان برنامه نویسی را پشتیبانی می کند
  • اجبار مرور

من به شدت توصیه می کنم برای بررسی فیلم های آموزشی OWASP ZAP برای شروع آن.

Wapiti

Wapiti صفحات وب یک هدف مشخص را اسکن می کند و به دنبال اسکریپت ها و فرم ها برای تزریق داده ها می رود تا ببیند این آسیب پذیر است یا خیر. این یک بررسی امنیتی کد منبع نیست. در عوض ، اسکن جعبه سیاه را انجام می دهد.

این برنامه از روش GET و POST HTTP ، پروکسی HTTP و HTTPS ، چندین تأیید اعتبار و غیره پشتیبانی می کند.

وگا

وگا توسط Subgraph ساخته شده است ، ابزاری با پشتیبانی چند پلتفرمی که در جاوا برای یافتن XSS ، SQLi ، RFI و بسیاری از آسیب پذیری های دیگر نوشته شده است..

Vega از یک رابط کاربری گرافیکی خوب و قابلیت انجام یک اسکن خودکار با ورود به یک برنامه با یک اعتبار خاص استفاده کرد.

اگر یک توسعه دهنده هستید ، می توانید برای ایجاد ماژول های حمله جدید ، از API vega استفاده کنید.

SQLmap

همانطور که می توانید با کمک نام ، حدس بزنید sqlmap, برای یافتن نقص می توانید تست نفوذ را در یک بانک اطلاعاتی انجام دهید.

با پایتون 2.6 یا 2.7 در هر سیستم عامل کار می کند. اگر به دنبال پیدا کردن تزریق SQL و سوء استفاده از بانک اطلاعاتی هستید ، sqlmap مفید خواهد بود.

گرابر

این یک ابزار کوچک مبتنی بر پایتون است و چند کار را به خوبی انجام می دهد. برخی از Grabber ویژگی ها عبارتند از:

  • آنالایزر کد منبع JavaScript
  • برنامه نویسی متقاطع ، تزریق SQL ، تزریق کور SQL
  • تست برنامه PHP با استفاده از PHP-SAT

گولیسرو

چارچوبی برای مدیریت و اجرای برخی از ابزارهای امنیتی محبوب مانند Wfuzz ، DNS recon ، sqlmap ، OpenVas ، آنالایزر ربات و غیره).

گولیسرو باهوش است؛ این می تواند بازخورد آزمون را از ابزارهای دیگر تلفیق کرده و برای نشان دادن یک نتیجه واحد ادغام شود.

OWASP Xenotix XSS

Xenotix XSS توسط OWASP یک چارچوب پیشرفته برای یافتن و بهره برداری از برنامه نویسی درون سایت است. این اسکنر به سه اسکنر هوشمند برای اسکن سریع و نتایج بهتر ساخته شد.

صدها ویژگی دارد و شما می توانید همه لیست شده در اینجا را بررسی کنید.

نتیجه

امنیت وب برای هر مشاغل آنلاین بسیار مهم است ، و من امیدوارم که در بالا ذکر شده اسکنر آسیب پذیری منبع آزاد و منبع باز به شما در یافتن ریسک کمک کند ، بنابراین می توانید قبل از اینکه کسی از آن استفاده کند ، کاهش یابد. اگر علاقمند به یادگیری تست نفوذ هستید ، این موضوع را بررسی کنید دوره آنلاین.

برچسب ها:

  • متن باز

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map