12 Отворени скенер веб безбедности за проналажење рањивости

Занимљив извештај аутора Симантец открива, 1 од 10 веб локација имао је један или више злонамерних кода.


Ако користите ВордПресс, онда у другом извештају СУЦУРИ емисије, 49% скенираних веб локација је застарело.

Како власник веб апликације како обезбеђујете да ваша веб локација буде заштићена од претњи на мрежи? Не пропушта осетљиве информације?

Ако користите сигурносно решење засновано на облаку, онда је, највероватније, редовно скенирање рањивости део плана. Међутим, ако не, тада морате извршити рутинско скенирање и предузети потребне мере за ублажавање ризика.

Постоје две врсте скенера.

Комерцијални – дају вам могућност за аутоматизацију скенирања ради континуиране заштите, извештавања, узбуњивања, детаљних упутстава за ублажавање итд. Нека од познатих имена у индустрији су:

  • Ацунетик
  • Детецтифи
  • Куалис

Опен Соурце / Бесплатно – можете преузети и извршити сигурносно скенирање на захтев. Неће сви моћи да покрију широк спектар рањивости попут комерцијалне.

Провјеримо следећи скенер рањивости на отвореном коду.

Арацхни

Арацхни, сигурносни скенер високих перформанси изграђен на Руби оквиру за модерне веб апликације. Доступан је у преносном бинарном систему за Мац, Виндовс & Линук.

Није само основни статички или ЦМС веб локација, већ је Арацхни способан за то следе отисци прстију на платформи. Изводи се активно & пасивне провере, обоје.

  • Виндовс, Соларис, Линук, БСД, Уник
  • Нгинк, Апацхе, Томцат, ИИС, Јетти
  • Јава, Руби, Питхон, АСП, ПХП
  • Дјанго, Раилс, ЦхерриПи, ЦакеПХП, АСП.НЕТ МВЦ, Симфони

Неке од откривање рањивости су:

  • НоСКЛ / Блинд / СКЛ / Цоде / ЛДАП / Цомманд / КСПатх убризгавање
  • Кривотворење захтева на више страна
  • Обилазак стазе
  • Укључивања локалних / удаљених датотека
  • Подјела одговора
  • Скрипта на више места
  • Невалидна преусмеравања ДОМ-а
  • Откривање изворног кода

Имате могућност да узмете Ревизорски извештај у ХТМЛ-у, КСМЛ-у, Тект-у, ЈСОН-у, ИАМЛ-у итд.

Арацхни вам омогућава да проширите скенирање на следећи ниво коришћењем додатака. Провери комплет Арацхни функције и преузмите да бисте га искусили.

КсссПи

Много организација, укључујући Мицрософт, Станфорд, Моторола, Информатица, итд., Користе скенер рањивости на бази питхон-а (цросс-сите сцриптинг)..

КсссПи од Фаизан Ахмад је паметно средство. То врло добро функционише. Уместо да само проверите почетну или одређену страницу, она ће проверити целу везу на веб локацијама.

КсссПи такође проверава поддомену, тако да ништа није изостављено.

в3аф

в3аф, пројекат отвореног кода који је покренут крајем 2006, покреће га Питхон и доступан је на Линук и Виндовс ОС. в3аф може открити више од 200 рањивости, укључујући ОВАСП топ 10.

в3аф вам дозвољава убризгајте корисне терете у заглавља, УРЛ, колачиће, низ упита, пост-податке итд. да би се искористила веб апликација за ревизију. Подржава различите методе пријављивања за извјештавање. Нпр:

Нпр:

  • ЦСВ
  • ХТМЛ
  • Конзола
  • Текст
  • КСМЛ
  • Емаил

Грађен је на архитектури додатака и можете да проверите све Додаци су доступни овде.

Никто

Пројект отвореног кода спонзориран од стране Нетспаркер-а има за циљ да пронађе погрешне конфигурације веб сервера, додатака и рањивости на вебу. Никто врши свеобухватни тест против преко 6500 ризичних ставки.

Подржава ХТТП проки, ССЛ, са или НТЛМ аутентификацијом итд. И може дефинисати максимално време извршења по циљном скенирању.

Никто је такође доступан у Кали Линуку.

Изгледа обећавајуће за интранет решење проналажења сигурносних ризика веб сервера.

Вфузз

Вфузз (Веб Фуззер) је алат за процену апликације за продирање тестова. Податке у ХТТП захтеву можете лајковати за било које поље да бисте искористили веб апликацију и проверили веб апликације.

Вфузз је морао да на рачунару инсталира Питхон на коме желите да покренете скенирање. Изврсно је документацију да започнете.

ОВАСП ЗАП

ЗАП (Зет Аттацк Проки) је једно од познатих алата за продирање пенетрације које активно ажурирају стотине волонтера широм света.

То је алат који се темељи на Јава платформи на више платформи и који може да се покреће чак и на Распберри Пи. ЗИП седи између прегледача и веб апликације да пресретне и прегледа поруке

Неке од следећих ствари вреди споменути функционалност ЗАП-а.

  • Фуззер
  • Аутоматизовано & пасивни скенер
  • Подржава више језика скрипта
  • Присилно прегледавање

Топло бих препоручио да се јавите ОВАСП ЗАП видео туториал да започнемо.

Вапити

Вапити скенира веб странице одређеног циља и тражи скрипте и обрасце за убацивање података да види да ли је то рањиво. То није безбедносна провера изворног кода; уместо тога, врши скенирање у црној кутији.

Подржава ГЕТ и ПОСТ ХТТП метод, ХТТП и ХТТПС прокије, неколико аутентификација итд.

Вега

Вега је развијен од стране Субграфа, алата који подржава више платформи и који је написан на Јави како би се пронашли КССС, СКЛи, РФИ и многе друге рањивости.

Вега је добила леп ГУИ и способан је да изврши аутоматизовано скенирање пријављивањем у апликацију са датом акредитацијом.

Ако сте програмер, можете користити вега АПИ за креирање нових модула напада.

СКЛмап

Као што можете погодити по имену, уз помоћ склмап, можете извршити тестирање продора у бази података да бисте пронашли недостатке.

Ради са Питхон 2.6 или 2.7 на било ком оперативном систему. Ако желите да пронађете СКЛ ињекцију и искористите базу података, тада би склмап био од помоћи.

Граббер

То је мали алат заснован на Питхон-у и чини неколико ствари прилично добро. Неке од Граберових карактеристике су:

  • ЈаваСцрипт анализатор изворног кода
  • Скрипта на више места, СКЛ убризгавање, Слепа СКЛ ињекција
  • Провера ПХП апликације помоћу ПХП-САТ

Голисмеро

Оквир за управљање и покретање неких од популарних безбедносних алата као што су Вфузз, ДНС реконструкција, склмап, ОпенВас, робот анализатор, итд.).

Голисмеро је паметан; може да обједини повратне информације о тестовима из других алата и споји се да би показао један резултат.

ОВАСП Ксенотик КССС

Ксенотик КССС би ОВАСП је напредни оквир за проналажење и искориштавање скрипта на више места. Уграђена су три интелигентна фузера за брзо скенирање и побољшане резултате.

Има стотине функција, а можете и ви погледајте све овде наведене.

Закључак

Веб безбедност је пресудна за било које интернет пословање, и надам се да ће горе наведени бесплатни / отворени скенер рањивости помоћи да пронађете ризик како бисте могли да ублажите пре него што неко то искористи. Ако сте заинтересовани да сазнате о пенетрацијском тестирању, погледајте ово онлине курс.

ОЗНАКЕ:

  • Отвореног кода

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map