Как тестировщик программного обеспечения с многолетним стажем, я всегда стремлюсь протестировать новые инструменты тестирования программного обеспечения, которые могут помочь мне создавать потрясающие веб-сайты. Я очень рад представить вам эти коммерческие инструменты тестирования безопасности с открытым исходным кодом в этом посте.
Примечание. Эти инструменты тестирования безопасности следует использовать только для атаки на имеющиеся у вас приложения. разрешение на тестирование.
В этом посте мы увидим следующее:
Что такое тестирование безопасности ?
Тестирование безопасности — это процесс, позволяющий определить, защищает ли система данные и поддерживает ли она функциональность, как предполагалось. Тестирование на проникновение или тестирование на проникновение также является типом тестирования безопасности, которое выполняется для оценки безопасности системы (аппаратного обеспечения, программного обеспечения, сетей или среды информационной системы).
Мы можем проводить тестирование безопасности, используя как ручное, так и автоматизированное тестирование безопасности. инструменты и техники. Тестирование безопасности проверяет существующую систему на наличие уязвимостей.
Большинство компаний проводят тестирование безопасности на недавно развернутом или разработанном программном обеспечении, оборудовании, а также в сетевой или информационной среде. Но эксперты настоятельно рекомендуют проводить тестирование безопасности как часть процесса аудита информационной системы в существующей среде информационной системы.
Обязательно к прочтению: Тестирование безопасности — полное руководство
Для поиска недостатков и уязвимостей в веб-приложении на рынке доступно множество бесплатных, платных и открытых инструментов тестирования безопасности. Мы знаем, что преимущество инструментов с открытым исходным кодом заключается в том, что мы можем легко настроить их в соответствии с нашими требованиями. Мы здесь, чтобы продемонстрировать некоторые из лучших __ инструментов тестирования безопасности с открытым исходным кодом.
Мы используем инструменты тестирования безопасности для проверки того, насколько безопасны веб-сайт или веб-приложение.
Тесты безопасности включают тестирование уязвимостей, таких как SQL Injection, Cross -Site Scripting (XSS), управление сессиями, нарушенная аутентификация, подделка межсайтовых запросов (CSRF), неправильная конфигурация безопасности, отказ ограничить доступ к URL-адресам и т. д.,
Взлом веб-сайтов в настоящее время является довольно распространенным явлением. Время от времени появляются новости о взломе веб-сайта или утечке данных. Infosec (информационная безопасность) прошла долгий путь, как и взлом. Чтобы защитить веб-сайт от хакеров, нам нужно создавать безопасные веб-сайты, чтобы держаться подальше от хакеров. Инструменты тестирования веб-безопасности активно выявляют уязвимости веб-приложений и защищают веб-сайты от атак. На рынке доступно множество платных и бесплатных инструментов для тестирования веб-приложений. Здесь мы обсудим 14 лучших инструментов тестирования безопасности с открытым исходным кодом для веб-приложений.
Лучшие инструменты тестирования безопасности для веб-приложений
р><р>Вот некоторые из коммерческих и открытых инструментов тестирования безопасности, которые популярны среди тестировщиков безопасности.
Продолжайте читать, чтобы увидеть наш подробный анализ.
#1. Invicti
Invicti — это система управления веб-уязвимостями. Это автоматический, чрезвычайно точный и простой в использовании сканер безопасности веб-приложений. Он используется для автоматического выявления проблем безопасности, таких как межсайтовый скриптинг (XSS), а также на веб-сайтах, веб-приложениях и веб-службах.
Его технология сканирования на основе доказательств не только сообщает об уязвимостях, но и производит Proof of Concept, чтобы подтвердить, что они не являются ложными срабатываниями. Поэтому нет смысла тратить время на ручную проверку выявленных уязвимостей после завершения сканирования.
Некоторые функции Invicti заключаются в следующем:
- Оценка уязвимостей
- Расширенное веб-сканирование
- Технология сканирования на основе доказательств для абсолютно точного обнаружения уязвимостей и результатов сканирования
- Полная поддержка HTML5
- Сканирование веб-сервисов
- Создание HTTP-запросов
- Интеграция SDLC
- Отчеты
- Эксплуатация
- Ручное тестирование
- Поддержка токена Anti-CSRF (подделка межсайтовых запросов)
- Автоматическое обнаружение пользовательских страниц ошибок 404
- Поддержка REST API
- Поддержка токена Anti-CSRF
#2. Акунетикс
Acunetix простое, но мощное решение для защиты вашего веб-сайта, веб-приложений и API. Он обнаруживает более 4500 веб-уязвимостей, таких как межсайтовый скриптинг (XSS), внедрение SQL и т. д.
Не пропустите наш подробный обзор Acunetix.
Его DeepScan Crawler сканирует веб-сайты HTML5 и клиентские SPA с большим количеством AJAX. Это позволяет пользователям экспортировать обнаруженные уязвимости в системы отслеживания проблем, такие как Atlassian JIRA, GitHub. Он работает в Windows, Linux и в Интернете.
Некоторые функции Acunetix заключаются в следующем:
- Углубленное сканирование и анализ — автоматическое сканирование всех веб-сайтов
- Высочайший уровень обнаружения уязвимостей с низким ложные срабатывания
- Встроенное управление уязвимостями — приоритизация угроз и контроль над ними
- Его можно интегрировать с системами отслеживания дефектов, такими как JIRA, Bugzilla или Mantis.
- Бесплатные инструменты сканирования безопасности сети и ручного тестирования
- Поддерживаемые платформы Windows, Linux и macOS
#3. Zed Attack Proxy (ZAP)
Zed Attack Proxy, широко известный как ZAP, представляет собой инструмент тестирования безопасности с открытым исходным кодом для веб-приложения, разработанный OWASP (Открытый проект безопасности веб-приложений). Он работает на всех операционных системах, поддерживающих Java 8. Это один из самых популярных в мире бесплатных инструментов безопасности, активно поддерживаемый волонтерами. Это простой в использовании интегрированный инструмент тестирования на проникновение для поиска ряда уязвимостей безопасности в веб-приложении во время разработки и тестирования приложения. Это также отличный инструмент для опытных пентестеров, который может использовать его для ручного тестирования безопасности. Он предназначен для использования людьми с широким спектром опыта в области безопасности и поэтому идеально подходит для разработчиков и функциональных тестировщиков, которые плохо знакомы с тестированием на проникновение, а также для опытных специалистов по безопасности. Он поставляется с дружественным графическим интерфейсом, который поможет как новичкам, так и экспертам. Это дает доступ к командной строке для опытных пользователей.
ZAP имеет огромную репутацию среди инструментов тестирования безопасности как простой в использовании и мощный.
Основные особенности:
- < li>Простой в использовании
- Простой в установке
- Бесплатный, с открытым исходным кодом
- Кроссплатформенный
- Интернационализированный
Ключевые особенности ZAP:
- Автоматическое сканирование
- API на основе Rest
- Перехват прокси-сервера
- Поддержка аутентификации
- Ajax Spider
- Динамические SSL-сертификаты
- Внедрение SQL
- Внедрение XXS
- Принудительный просмотр
- Fuzzing
- Поддержка веб-сокетов
- Активные и пассивные сканеры
- Управление сеансами аутентификации на основе файлов cookie и HTTP
- Обработка токенов Anti CSRF
#4. Wfuzz< /h3>
Wfuzz инструмент фаззера безопасности веб-приложений, разработанный на Python. Он не поставляется с графическим интерфейсом, поэтому тестировщики безопасности, которые хотят использовать этот инструмент, должны работать с интерфейсом командной строки. Этот инструмент предназначен для перебора веб-приложений.
Ключевые особенности Wfuzz:
- Несколько точек внедрения с несколькими словарями
- Перебор записей, заголовков и аутентификационных данных
- Вывод в HTML
- Разработка файлов cookie
- Многопоточность
- Поддержка прокси-серверов
- Поддержка SOCK
- Временные задержки между запросами
- Поддержка аутентификации (NTLM, Basic)
- Подбор всех параметров (POST и GET)
- Несколько кодировщиков для полезной нагрузки
- Базовый запрос (для фильтрации результаты против)
- Методы грубой силы HTTP
- Поддержка нескольких прокси-серверов (каждый запрос через другой прокси-сервер)
- Сканирование HEAD (быстрее для обнаружения ресурсов)
Ссылка на веб-сайт: http://www.edge-security.com/wfuzz.php
#5. Вапити
Wapiti — сканер уязвимостей веб-приложений. Это позволяет нам проверять безопасность веб-сайтов или веб-приложений. Он выполняет сканирование черного ящика веб-приложения, просматривая веб-страницы развернутого веб-приложения в поисках сценариев и форм, куда он может вводить данные. Как только он получает список URL-адресов, форм и их входных данных, Wapiti действует как фаззер, вводя полезные данные, чтобы определить, уязвим ли скрипт. Этот инструмент тестирования безопасности с открытым исходным кодом поддерживает методы HTTP-атак GET и POST. Это приложение командной строки. Он не поставляется с графическим интерфейсом. Поэтому важно знать различные команды Wapiti. На официальном сайте Wapiti есть подробная документация.
Обнаруживает такие уязвимости, как
- раскрытие файлов
- внедрение данных
- внедрение XSS (межсайтовый скриптинг)
- внедрение XXE (внешний объект XML)< ли>Внедрение CRLF
- SSRF (подделка запроса на стороне сервера)
- Обход слабых конфигураций .htaccess
- Шок оболочки (он же Bash Bug)
Ключевые функции сканера веб-уязвимостей Wapiti:< /strong>
- Поддерживает HTTP-методы GET и POST для атак
- Действует как фаззер
Ссылка на сайт: http://wapiti.sourceforge.net/
#6. W3af
W3af — это фреймворк для атаки и аудита веб-приложений, разработанный с использованием Python. Это одна из самых популярных сред тестирования безопасности веб-приложений на рынке. Он поставляется как с графическим интерфейсом, так и с консольным интерфейсом. Он помогает разработчикам и пентестерам выявлять и использовать уязвимости в веб-приложениях. Он поддерживает типы проверки подлинности, такие как базовая проверка подлинности HTTP, проверка подлинности NTLM, проверка подлинности формы, проверка подлинности файлов cookie. Он способен выявлять более 200 типов проблем безопасности в веб-приложениях, включая
- Межсайтовый скриптинг
- Внедрение SQL
- Угадываемые учетные данные
- Необработанные ошибки приложений
- Неверные настройки PHP
- Слепые инъекции SQL
- Уязвимость переполнения буфера
- CORS (совместное использование ресурсов между источниками)
- Уязвимости CSRF (подделка межсайтовых запросов)
- Команды ОС
- Поддержка аутентификации
< strong>Ссылка на веб-сайт: http://w3af.org/
#7. Vega
Vega — это бесплатный сканер веб-безопасности с открытым исходным кодом и платформа для тестирования веб-безопасности для проверки безопасности веб-приложений. Он написан на Java и имеет хорошо спроектированный графический пользовательский интерфейс (GUI), работающий в Linux, OS X и Windows.
Он выявляет уязвимости, в том числе
- Найдите и проверьте внедрение SQL
- Внедрение межсайтового скриптинга (XSS)
- Слепое внедрение SQL
- Внедрение заголовка
- Включение удаленного файла
- Внедрение оболочки
Ссылка на веб-сайт : https://subgraph.com/vega/
#8. SQLMap
SQLMap — это инструмент для тестирования на проникновение с открытым исходным кодом. Это позволяет нам автоматизировать процесс обнаружения и эксплуатации уязвимостей SQL-инъекций в базе данных веб-сайта. Он поставляется с мощным механизмом обнаружения и множеством функций для обнаружения уязвимостей.
Он поддерживает 6 типов методов SQL-инъекций:
- слепые на основе логических значений
- слепые на основе времени
- на основе ошибок< li>Объединение запросов на основе
- Запросы с накоплением
- Внеполосные
Поддерживает большое количество служб баз данных, таких как
- MySQL
- Oracle
- PostgreSQL
- Microsoft SQL Server
- Microsoft Access
- IBM DB2
- SQLite
- Firebird
- Sybase
- SAP
- MaxDB
- Informix
- HSQLDB
- H2
Веб-сайт Ссылка: http://sqlmap.org/
#9. SonarQube
SonarQube — это инструмент тестирования безопасности с открытым исходным кодом, разработанный SonarSource. Это инструмент автоматической проверки кода для обнаружения ошибок, уязвимостей и запахов кода в вашем коде.
Ключевые функции SonarQube:
- Непрерывная проверка
- Обнаружение сложных проблем
- Многоязычная поддержка
- Интеграция DevOps
- Централизация качества
Ссылка на веб-сайт: https://www.sonarqube.org/
#10. Ноготофаил
Nogotofail — это инструмент для тестирования сетевой безопасности (инструмент для сканирования сетевых уязвимостей), разработанный в помощь разработчикам и специалистам по тестированию на проникновение. В качестве сканера сетевой безопасности он включает в себя тестирование распространенных проблем с проверкой SSL-сертификата, ошибок библиотек HTTPS и TLS/SSL, проблем с удалением SSL и STARTTLS, проблем с открытым текстом и т. д.
Уязвимости, выявленные инструментом тестирования сети Nogotofail,
- Внедрение SSL
- Внедрение TLS
- Проблемы с проверкой SSL-сертификата
- Проблемы с удалением SSL и STARTTLS
- Проблемы с открытым текстом
Ссылка на веб-сайт: https://security.googleblog.com/2014/11/introduction-nogotofaila-network-traffic.html
№11. Grabber
Grabber — это сканер веб-приложений с открытым исходным кодом, который обнаруживает некоторые уязвимости на веб-сайте или в веб-приложениях. Он предназначен для сканирования небольших веб-сайтов, таких как форумы и личные веб-сайты. Это абсолютно не для большого приложения. Это займет слишком много времени и заполнит вашу сеть, когда вы будете использовать ее для большого приложения. Он не поставляется с графическим интерфейсом. Он был разработан на Python.
Grabber может выявлять следующие проблемы:
- Межсайтовый скриптинг
- Внедрение SQL
- Включение файлов
- Проверка файлов резервных копий
- Простая проверка AJAX
- Гибридный анализ или тестирование хрустального шара для приложения PHP с использованием PHP-SAT
Ссылка на веб-сайт: https://tools.kali.org/web-applications/grabber
#12. Арахни
Arachni — это инструмент для тестирования безопасности с открытым исходным кодом, призванный помочь тестерам на проникновение и администраторам оценить безопасность веб-приложений. Это полнофункциональная, модульная, высокопроизводительная среда Ruby. Он поддерживает все основные операционные системы, такие как MS Windows, Mac OS X и Linux. Он предназначен для выявления проблем безопасности в веб-приложении и защиты от хакеров.
Arachni может выявить следующие проблемы:
- Включение локального файла
- Включение удаленного файла
- Недействительный перенаправления
- Недействительные перенаправления DOM
- Внедрение XPath
- Внедрение SQL
- Внедрение XSS
Ссылка на веб-сайт: http://www.arachni-scanner.com /
#13. Скипфиш
Skipfish — это активный инструмент для тестирования безопасности веб-приложений. Он подготавливает интерактивную карту сайта для целевого сайта, выполняя рекурсивное сканирование и поиск на основе словаря. Он доступен для Linux, Mac OS X и Windows.
Некоторые проверки безопасности, предлагаемые Skipfish:
- Внедрение запроса на стороне сервера
- Явный SQL-подобный синтаксис в параметрах GET или POST.
- Внедрение команд оболочки на стороне сервера
- Внедрение XML/XPath на стороне сервера
- Формы паролей отправляются со страниц, не поддерживающих SSL, или на них
- Неверные или отсутствующие типы MIME в визуализируемых объектах
< strong>Ссылка на веб-сайт: https://tools.kali.org/web-applications/skipfish
#14. Ratproxy
Ratproxy — это инструмент тестирования безопасности с открытым исходным кодом. Это полуавтоматический, в основном пассивный инструмент аудита безопасности веб-приложений. Оценки Ratproxy требуют небольшой пропускной способности или времени для запуска и выполняются интуитивно, без отвлекающих факторов. Он обеспечивает последовательное и предсказуемое покрытие доступных пользователю функций. Он поддерживается всеми популярными операционными системами, такими как Mac OS X, Windows и Linux.
Ссылка на веб-сайт: https://sectools.org/tool/ratproxy/
Заключение
Мы сделали все возможное, чтобы представить список из 14 лучших коммерческих и открытых инструментов тестирования безопасности для веб-приложений (средства сканирования уязвимостей/средства оценки уязвимостей) для веб-приложений. . Какой ваш любимый инструмент для тестирования безопасности? Сообщите нам в комментариях. Если вы чувствуете, что я забыл упомянуть какой-либо из ваших любимых инструментов, сообщите нам об этом в комментариях ниже. Мы постараемся включить его в наш список и обновить этот пост.
TAG: qa