Érdekes jelentés Symantec kiderül, hogy 10 webhely közül egynél volt egy vagy több rosszindulatú kód.

És ha WordPress-t használ, akkor egy másik jelentésében SUCURI műsorok, 49% a beolvasott webhelyek száma elavult.

Mint webalkalmazás-tulajdonos, hogyan biztosíthatja webhelyének védelmét az online fenyegetésekkel szemben? Nem szivárog érzékeny információ?

Ha felhőalapú biztonsági megoldást használ, akkor valószínű, hogy a rendszeres sebezhetőség ellenőrzése a terv része. Ha nem, akkor végre kell hajtania egy rutin vizsgálatot, és meg kell tennie a szükséges lépéseket a kockázatok csökkentése érdekében.

Kétféle szkenner létezik.

Kereskedelmi – lehetőséget ad a folyamatos biztonság, a jelentés, a riasztás, a részletes kockázatcsökkentési utasítások, stb. Folyamatos keresésének automatizálására, az iparág néhány ismert neve:

  • Acunetix
  • Detectify
  • Qualys

Nyílt forrás / Ingyenes – letölthet és elvégezhet biztonsági ellenőrzést igény szerint. Nem mindegyik képes a sérülékenységek széles skálájára lefedni, mint például a kereskedelemben.

Nézze meg a következő nyílt forráskódú web sérülékenységi szkennert.

Arachni

Arachni, nagy teljesítményű biztonsági szkenner, amely a Ruby keretre épül a modern webes alkalmazásokhoz. Ez egy hordozható bináris fájlban érhető el Mac, Windows rendszerhez & Linux.

Nem csak az alapvető statikus vagy a CMS weboldalon, hanem az Arachni képes erre a platform ujjlenyomatainak követése. Ez aktív & passzív ellenőrzések is.

  • Windows, Solaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Ruby, Python, ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Néhány sérülékenységek észlelése vannak:

  • NoSQL / Blind / SQL / Kód / LDAP / Parancs / XPath injekció
  • Telephelyközi hamisítási igény
  • Az út áthaladása
  • Helyi / távoli fájl zárványok
  • A válasz megosztása
  • Webhelyek közötti szkriptek
  • Érvénytelen DOM-átirányítások
  • Forráskód közzététele

Választhat egy lehetőséget ellenőrzési jelentés HTML, XML, Text, JSON, YAML stb. formájában.

Az Arachni lehetővé teszi a beolvasás következő szintre történő kiterjesztését pluginek kihasználásával. Nézze meg a teljes oldalt Arachni jellemzői és töltse le, hogy megtapasztalja.

XssPy

A python-alapú XSS (helyszíni szkriptek) sebezhetőségi szkennert számos szervezet használja, köztük a Microsoft, a Stanford, a Motorola, az Informatica stb..

XssPy írta: Faizan Ahmad egy intelligens eszköz. Egy dolgot nagyon jól csinál. Ahelyett, hogy ellenőrzi a kezdőlapot vagy az adott oldalt, ellenőrzi a teljes linket a webhelyeken.

Az XssPy az aldomaint is ellenőrzi, tehát semmi nem marad ki.

w3af

w3af, egy nyílt forráskódú projekt, mely 2006 végén indult, Python hajtja, és elérhető Linuxon és Windows operációs rendszeren. A w3af több mint 200 sebezhetőséget képes felfedezni, beleértve az OWASP top 10-et.

w3af engedi injekciós hasznos teher fejlécekre, URL-re, sütikre, lekérdezési karakterláncra, utóadatokra stb. a webes alkalmazás ellenőrzés céljából történő kiaknázására. Különféle naplózási módszereket támogat a jelentésekhez. Volt:

Volt:

  • CSV
  • HTML
  • Konzol
  • Szöveg
  • XML
  • Email

A plugin architektúrájára épül, és mindent megnézhet plugins elérhető itt.

Nikto

A Netsparker által szponzorált nyílt forráskódú projekt célja a webszerver téves konfigurációjának, beépülő moduljainak és webes biztonsági réseinek a felkutatása. A Nikto átfogó tesztet végez több mint 6500 kockázati tétel ellen.

Támogatja a HTTP proxy, SSL, vagy vagy NTLM hitelesítést stb., És meghatározhatja a célszkennelésenkénti maximális végrehajtási időt.

Nikto szintén elérhető a Kali Linux rendszerben.

Az intranet megoldásnak ígéretesnek tűnik a webkiszolgálók biztonsági kockázatainak felkutatása.

Wfuzz

Wfuzz (The Web Fuzzer) egy alkalmazás-értékelő eszköz a penetrációs teszteléshez. A HTTP kérés adatait tetszőleges méretűvé teheti bármelyik mezőben a webalkalmazás kiaknázása és a webalkalmazások ellenőrzése céljából.

A Wfuzz-nak szüksége volt arra, hogy a Python telepítve legyen azon a számítógépen, ahol a letapogatást végrehajtani szeretné. Kiváló volt dokumentáció hogy elinduljon.

OWASP ZAP

TÁMAD (Zet Attack Proxy) az egyik legismertebb penetrációs tesztelő eszköz, amelyet világszerte több száz önkéntes frissít.

Ez egy platformközi, Java alapú eszköz, amely még a Raspberry Pi rendszeren is futtatható. A ZIP böngésző és webalkalmazás között helyezkedik el az üzenetek lehallgatásához és ellenőrzéséhez

A következők közül néhányat érdemes megemlíteni a ZAP funkcionalitásáról.

  • fuzzer
  • Automatizált & passzív szkenner
  • Támogatja a több szkriptnyelv használatát
  • Kényszerített böngészés

Nagyon ajánlom, hogy nézd meg OWASP ZAP oktatóvideók hogy elinduljon.

Amerikai szarvas

Amerikai szarvas megvizsgálja az adott cél weboldalát, és szkripteket és űrlapokat keres az adatok beadására, hogy megbizonyosodjon arról, hogy ez sérülékeny-e. Ez nem egy forráskód biztonsági ellenőrzése; ehelyett fekete dobozos szkennelést hajt végre.

Támogatja a GET és POST HTTP módszert, a HTTP és a HTTPS proxyk, számos hitelesítés stb.

Vega

Vega a Subgraph fejlesztette ki, amely egy Java-ban írt, több platformon támogatott eszköz az XSS, SQLi, RFI és sok más sebezhetőség megtalálására.

Vega egy szép grafikus felhasználói felületet kapott, amely képes automatikus ellenőrzést végezni, ha bejelentkezik egy alkalmazásba egy adott hitelesítő adatokkal.

Ha fejlesztő vagy, akkor vega API-t használhat új támadási modulok létrehozására.

sqlmap

Mint a név alapján kitalálhatja, a sqlmap, elvégezhet egy penetrációs tesztet egy adatbázisban, hogy hibákat találjon.

Bármely operációs rendszeren működik a Python 2.6-os vagy 2.7-es verzióval. Ha SQL befecskendezést keres és kihasználja az adatbázist, akkor az sqlmap hasznos lenne.

Markológép

Ez egy kis eszköz, amelynek alapja a Python, és néhány dolgot elég jól végez. Néhány markológép a jellemzői:

  • JavaScript forráskód-elemző
  • Webhelyek közötti szkriptek, SQL injektálás, Blind SQL injekciók
  • A PHP alkalmazás tesztelése a PHP-SAT használatával

Golismero

A népszerű biztonsági eszközök, például a Wfuzz, a DNS rekonstruálás, az sqlmap, az OpenVas, a robot elemző stb. Kezelésének és futtatásának kerete.

Golismero okos; konszolidálhatja más eszközök tesztelési visszajelzéseit, és egyesítheti egyetlen eredmény megjelenítéséhez.

OWASP Xenotix XSS

Xenotix XSS a OWASP által fejlesztett keretrendszer a webhelyek közötti szkriptek felkutatására és kiaknázására. Beépített három intelligens fuzzerrel rendelkezik a gyors vizsgálat és a jobb eredmények érdekében.

Több száz funkcióval rendelkezik, és te is nézd meg az összes itt felsorolt.

Következtetés

A webbiztonság kritikus jelentőségű minden online vállalkozás számára, és remélem, hogy a fent felsorolt ​​ingyenes / nyílt forráskódú szkennerek segítenek megtalálni a kockázatot, így enyhíteni tudják, mielőtt valaki kihasználja azt. Ha érdekli a penetrációs tesztelés megismerése, akkor nézd meg ezt online tanfolyam.

CÍMKÉK:

  • Nyílt forráskód

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me