30+ бесплатних алата за побољшање сигурности веб локације и посетилаца

Бесплатни алати за безбедност веб локација

Напади на електронску мрежу свакодневна су појава и пратећи трошкови за организације ескалирају. Међутим, кибернетичку катастрофу можете ублажити бесплатним алаткама за безбедност веб локација који ће вам помоћи да препознате рањивости веб локације и да заштитите своје посетиоце, тачније… сигурније

Могло би се помислити да велика предузећа имају средства и прилику да прате своје апликације за угроженост веб локација. Али, изгледа да није. Само неколико примера:

  • До повреде Иахоо-а која се разбистрила 2013. догодио се као резултат напада фалсификовања колачића који је омогућио хакерима да се аутентификују као и било који други корисник без лозинке. Аналитичари тврде да је Иахоо могао спречити штету да је предузео брже акције против уљеза.
  • Наслов напада на Панама Паперс био је резултат најмање два пропуста за ажурирање софтвера:
    • Застарела верзија за додатак за њихов клизач слика на ВордПрессу
    • Трогодишња верзија Друпала која садржи неколико познатих рањивости
  • Требало је да 17-годишњи програмер укаже на кривотворење захтева за путем сајта на Флицкр-у. Након што је обавештен, Фликру је требало само 12 сати да исправи пропуст.

Такође видети: Највеће кршење података у историји

Иако ниједан безбедносни систем - чак ни кућна сигурност - није сигуран, редовно скенирање веб локација може ићи дуг пут ка заштити од опортунистичких напада на вашу виртуелну имовину. Узми Америцан Фуззи Лоп (АФЛ), фуззер отвореног кода који је развио Мицхаł Залевски из Гоогле-а. То је помогло да се пронађу рањивости у различитим популарним веб апликацијама, укључујући Фирефок, Фласх, ЛибреОффице, Интернет Екплорер и Аппле Сафари. 

Савети за коришћење бесплатних алата за безбедност веб локација 

Многи овде прегледани бесплатни алати за безбедност веб локација имају сличне карактеристике и функционалност. Често се ради о поређењу јабука и крушака. Без увреде врхунском продавцу обезбеђења Суцури, али чак и они имају потешкоће у разликовању свог производа од осталих:

„Неколико других безбедносних додатака пружају функције праћења активности, али неколико их добро ради […] Смањили смо кључне функције за које смо сматрали да су најрелевантније за власника било које веб локације.“

Из тог разлога смо ове алате категоризирали и констатовали кључне предности и недостатке сваког од њих. Неке се категорије преклапају; најистакнутији алати за испитивање рањивости и продирање.

Примијетићете да попис бесплатних алата садржи неке који се користе посебно за скенирање веб апликација. Која је разлика између веб странице и апликације? Бен Схапиро из компаније Сегуе Тецхнологиес даје свеобухватан дуги одговор. Ако желите кратак одговор, стацковерфлов га сажето поставља:

„[Веб локација] је збирка докумената којима се приступа путем интернета путем веб прегледача. Веб локације могу да садрже и веб апликације које омогућују посетиоцима да извршавају задатке на мрежи, као што су: Претражите, Прегледајте, Купите, одјавите се и платите.

Важно је да приликом тестирања веб странице користите холистички приступ. Ако сумњате, само све тестирајте. Бесплатни алати за безбедност веб локација чине вас једноставним и не коштају ништа осим вашег времена.

  • Развити стратегију теста: Већина безбедносних алата на веб локацији најбоље функционише са другим типовима безбедносних алата. Добар пример је област испитивања пенетрације. Администратори обично користе скенере рањивости пре употребе алата за тестирање продора за одређене циљеве, нпр. мрежни портови или апликације. На пример, Виресхарк је и мрежни анализатор и алат за испитивање продора.

    Вишенаменски скенер рањивости је вероватно најбоље место за почетак. Али, ако вас пре свега занима скенирање кода програмера, пријеђите на одељак о статичким анализаторима изворног кода у наставку. Желите да проверите колико су сигурне лозинке? За вас смо добили и неколико бесплатних алата за креирање лозинки.

  • Једна величина не одговара свима: Сви бесплатни безбедносни алати за веб локације имају предности и мане, а ретко постоји решење за све величине. На пример, као алат за анализу, најбоље оцењени алат за скенирање мрежа Виресхарк ради исти посао као и Фиддлер алат, и то ефикасније. Међутим, Виресхарк не може да ђуска саобраћај унутар исте машине (лоцалхост) на Виндовс-у. Ако желите да њушкате локални саобраћај на Виндовс-у, морате да користите Фиддлер.
  • Анализа резултата: Не верујте резултатима једног скенирања! Тестирали смо бројне скенере на сигурним и несигурним локацијама и резултати су били изразито различити. То нас доводи до лажних позитивних резултата. Ово може бити неугодно, али имајте на уму да су бољи од лажних негатива. Нешто тако једноставно као што је промена конфигурације или ажурирање софтвера могло покренути упозорење које би требало проверити.
  • Приступите бесплатној подршци:  Ако желите да користите бесплатне алате, идеално би требало да имате неко сигурносно знање јер већина бесплатних алата нема корисничку подршку; све прљаве послове морате сами. Алтернативно, посетите Тхе Јоомла! Форум, Убунту Форумс, АСП.НЕТ, МБСА или Блеепинг Цомпутер да постављате питања и тражите решења.
  • Нека буде свеж: Лоша страна бесплатних алата је та што их можда неће редовно ажурирати најновијим познатим рањивостима. Увек проверите датум изласка последње верзије.

Шта треба да знате о бесплатним алаткама за безбедност веб локација

Методе испитивања

Постоје три главне врсте алата који су повезани са откривањем рањивости апликација:

  • Тестирање црне кутије - Метода тестирања софтвера која испитује функционалност апликације без испитивања њених унутрашњих структура. Тестирање се фокусира на оно што софтвер треба да ради, а не како. У ову категорију спадају скенери рањивости, сигурносни скенери за веб апликације и алати за тестирање продора.
  • Тестирање беле кутије - Метода тестирања софтвера која се фокусира на унутрашње структуре апликације на нивоу изворног кода, за разлику од њене функционалности. Статички анализатори изворног кода и алати за испитивање пенетрације спадају у ову категорију. Уз пенетрацијско тестирање, Вхите Бок тестирање, према Википедији, односи се на методологију по којој хакер Вхите Хат има потпуно знање о систему који напада. Циљ теста продора Беле кутије је да симулира злонамерног инсајдера који има знање и можда основне податке за циљни систем.
  • Тестирање сиве кутије - У циберспацеу је линија која означава категорије замутила, што је родило нови модел тестирања који комбинује елементе и црне и беле кутије метода.   

Уобичајене рањивости веб локација

Добро уважени пројекат безбедности отворених веб апликација (ОВАСП) је отворена заједница посвећена омогућавању организацијама да развијају, купују и одржавају апликације којима се може веровати. То је тело за стандарде у настајању за сигурност веб апликација и годишње објављује листу 10 рањивости веб локација за одређену годину.

За сваку рањивост укључили смо линк до веб локације која ће вам дати више техничких детаља ако вас занима.

  1. СКЛ ињекција - техника убризгавања кода у којој се злонамерни СКЛ изрази убацују у уносно поље за извршење. Техника се користи за манипулацију (нпр. Преузимање) или оштећење података. Циља циљеве корисника који нису правилно потврђени и избјегли. Нападач може искористити ову рањивост заменом корисничког уноса сопственим командама које се шаљу директно у базу података. Пример: Комисија за кршење избора на Филипинима.
  2. Брокен Аутхентицатион анд Сессион Манагемент - Функције апликације које се односе на аутентификацију и управљање сесијом често се погрешно имплементирају, омогућавајући нападачима да компромитују лозинке, кључеве или токене сесија или да искористе друге недостатке имплементације како би преузели идентитет других корисника (привремено или трајно.) Пример: Кршење 17 медија.  
  3. Цросс сите сцриптинг (КССС) - Овај напад долази у више укуса. Најосновније омогућава нападачима да убризгавају скрипте на страни клијента у веб странице које прегледавају други корисници. Ослања се на темељни концепт поверења познат као политика истог порекла, који каже да ако се садржају с једне веб локације дозволи приступ ресурсима на систему, тада ће било који садржај са те веб локације делити та одобрења. Након кршења поуздане странице, нападачи могу укључити свој злонамјерни садржај у садржај који се испоручује на веб локацији на страни клијента и добити приступ његовом информативном благу. Пример: ЕБаи је сачувао КССС.
  4. Прекинута контрола приступа - Нападачи могу да користе пропуштања или недостатке у функцијама управљања аутентификацијом или сесијом управљања (нпр. Изложени налози, лозинке, ИД-ове сесије) да би се лажно представљали корисници. Пример: Кршење Адулт Фриенд Финдер-а.
  5. Пропусти у безбедносној конфигурацији - Резултат је „погрешног састављања заштитних мера веб апликације“ остављајући пробојну сигурносну рупу на серверу, бази података, оквиру или коду. Пример: Кршење гласача мексичких бирача.
  6. Осјетљиво излагање података - Многе веб апликације и АПИ-и не штите на прави начин осјетљиве информације, попут финансијских или здравствених података. Нападачи могу красти или модификовати слабо заштићене податке да би извршили превару са кредитним картицама, крађу идентитета или друга кривична дела. Осетљиви подаци заслужују додатну заштиту попут шифрирања у мировању или у транзиту, као и посебне мере предострожности приликом размене са прегледачем.. Пример: Кршење индијског института за управљање.
  7. Недовољна заштита од напада - Већини апликација и АПИ-ја недостаје основна способност откривања, спречавања и реаговања и на ручне и на аутоматизоване нападе. Заштита од напада превазилази основну валидацију улаза и укључује аутоматско откривање, евидентирање, реаговање и чак блокирање покушаја експлоатације. Власници апликација такође морају бити у могућности да брзо размештају закрпе да би се заштитили од напада. Пример: Три кршења.
  8. Кривотворење захтева путем веб локација (ЦСРФ) - приморава крајњег корисника да изврши нежељене радње на веб апликацији у којој су тренутно проверени аутентичност без њиховог знања. Наметањем корисника на веб локацији под контролом нападача, хакер може да модификује захтеве корисника на серверу. Пример: Фацебоок аттацк.
  9. Кориштење компоненти с познатим рањивостима - компоненте, као што су библиотеке, оквири и други софтверски модули раде с истим привилегијама као и апликација. Ако се искористи рањива компонента, такав напад може олакшати озбиљан губитак података или преузимање сервера. Апликације и АПИ-ји који користе компоненте с познатим рањивостима могу поткопати одбрану апликација и омогућити различите нападе и утицаје. Пример: Повреда Моссацк Фонесца (Панама Паперс).
  10. Подзаштићени АПИ-ји - савремене апликације често укључују богате клијентске апликације и АПИ-је, као што су ЈаваСцрипт у прегледачу и мобилне апликације које се повезују на неку врсту АПИ-ја (СОАП / КСМЛ, РЕСТ / ЈСОН, РПЦ, ГВТ итд.). Ови АПИ-ји су често незаштићени и могу садржавати бројне рањивости. Пример: МцДоналдс цури.

Скенери рањивости

Скенер рањивости је специјализовани софтвер који скенира вашу мрежу, систем или сервере да би утврдио грешке, сигурносне рупе и недостатке. То аутоматски тестира систем за познат рањивости. Прво идентификује отворене портове; активне адресе ИП адресе и логони; и оперативних система, софтвера и активних сервиса. Затим упоређује информације које проналази са познатим рањивостима у својој бази података или бази података трећих страна. За мушкарца на улици делује много као што је антивирусни софтвер у врту, али је много софистициранији. На пример, најбољи скенери рањивости су довољно паметни да укључују компоненте за управљање закрпама и тестове пенетрације. Постоји нешто преклапање између скенера рањивости и алата за тестирање продора. Потоњи користе рањивости које су скенери открили да би извршили кршења закона и доказали способност да се угрози рањивост. Следе сви потпуно бесплатни алати.   

Отворени систем процене рањивости (ОпенВАС)

ОпенВАС је сигурносни комплет за скенирање који се састоји од различитих сервиса и алата. Скенер не ради на Виндовс машинама, али постоји клијент за Виндовс. Свакодневно се ажурира са 30000+ тестова рањивости мреже (НВТ). Алат је форсиран из последње бесплатне верзије Нессуса, другог скенера рањивости, након што је постао власнички 2005. године. Немачки савезни уред за сигурност информација (БСИ) користи ОпенВАС као део свог оквира ИТ безбедности.

Про:

  • Масовна база података о рањивости
  • Могућност истодобног скенирања
  • Заказане претраге
  • Лажно позитивно управљање
  • Бесплатно за неограничене ИП адресе
  • Добар свекруг

Цон:

  • Није најлакши алат за инсталирање за новорођенче
  • Главна компонента - мотор за скенирање - захтева Линук

Мицрософтов основни безбедносни анализатор (МБСА)

МБСА скенира Мицрософтове радне површине и сервере због недостатка безбедносних исправки, безбедносних закрпа и уобичајених погрешних конфигурација безбедности.

Про:

  • Корисничко сучеље омогућава скенирање локалних или удаљених машина; одаберите једну машину за скенирање, или одаберите цео домен или одредите распон ИП адреса; и изаберите тачно оно што желите скенирати, нпр. слабе лозинке или Виндовс исправке
  • Даје одређене сугестивне поправке када се пронађу рањивости
  • Активни форум пружа квалитетну подршку

Цон:

  • Не скенира софтвер који није Мицрософт
  • Не скенира за мрежне рањивости

Некпосе Цоммунити Едитион

Намењен малим предузећима, као и појединцима који користе више рачунара повезаних на локалну мрежу, Некпосе може скенирати мреже, оперативне системе, веб апликације, базе података и виртуелно окружење. Интегрише се с популарним Метасплоит Фрамеворк-ом, алатом за развој и извршавање код експлоатације на удаљеној циљној машини. Укључена је веома активна заједница испитивача продора и истраживача безбедности који покрећу развој ових подвига који се затим претварају у дефиниције рањивости..

Про:

  • Садржи лепу опцију за подешавање смерница за дефинисање и праћење потребних стандарда усаглашености
  • Омогућава детаљне визуализације скенираних података
  • Може се инсталирати на Виндовс, Линук или виртуелне машине

Цон:

  • Бесплатна верзија је ограничена на 32 ИП-а одједном

СецуреЦхек

ТрипВире свој СецуреЦхек назива услужни програм за оцењивање конфигурације. Тестира око две десетине критичних, али уобичајених грешака у конфигурацији које се односе на очвршћавање ОС-а, заштиту података, сигурност комуникације, активност корисничких налога и евидентирање ревизије. Овај бесплатни алат најбоље би функционисао у комбинацији са робуснијим скенером, попут Мицрософтовог базног сигурносног анализатора (МБСА).

Про:  

  • Једноставан за употребу за почетнике
  • Пружа детаљне савете о санацији и поправци

Цон:

  • Само локално скенирање на Мицрософт машинама
  • Бесплатна верзија овог алата пружа само око четвртине подешавања верзије која се плаћа  

Куалис ФрееСцан

Лаган скенер који се користи за процену стања рањивости ваше веб странице и помаже вам да донесете одлуку о томе који ниво заштите требате напред. Поуздано име, Куалис је прва компанија која је испоручила решења за управљање рањивошћу као апликације путем веба користећи модел „софтвера као услуге“ (СааС).

Про:

  • Периметрично скенирање скенирање веб апликација
  • Откривање злонамјерног софтвера

Цон:

  • Ограничено на десет јединствених безбедносних скенирања доступних средстава на Интернету

Граббер

Једноставан, лаган алат који скенира основне рањивости веб апликација. Намијењен је програмерима који желе прилагодити мале скенирања током процеса кодирања.

Про:

  • Корисно за мале веб странице

Цон:

  • Нема ГУИ
  • Извештава само у КСМЛ-у
  • Обично је мало спор

Вапити

Врши Блацк Бок тестирање веб апликација. Не прегледа изворни код апликације, али ће скенирати веб странице размештене апликације, тражећи скрипте и обрасце у које може да убацује податке. Наоружани овим подацима делује попут фузера, убризгава корисни терет да види да ли је скрипта рањива.

Про:

  • Генерише извештаје о рањивости у различитим форматима (нпр. ХТМЛ, КСМЛ, ЈСОН, ТКСТ)
  • Може да обустави и настави скенирање или напад
  • Може да истакне рањивости са бојом у терминалу

Цон:

  • Интерфејс командне линије
  • Може да произведе више лажних позитивних резултата

в3аф

Ово је оквир напада и ревизије веб апликација који се може користити у комбинацији са алатима за продирање пенетрације. Спонзори укључују Опенваре (сада Глобант), Цибсец, Бонсаи и Рапид7. Компанија је ентузијастични сарадник на Т2 Инфосец конференцијама, посвећен онима који су заинтересовани за техничке аспекте информационе сигурности..

Про:

  • Популарна, добро подржана апликација отвореног кода
  • Једноставан за употребу ГУИ
  • Лако се извлачи
  • Идентифицира преко 200 рањивости
  • Користи в3аф додатке, који су дијелови Питхон кода који проширују функционалност оквира пружајући нове начине за вађење УРЛ-ова или проналажење рањивости
  • Компатибилан је са свим платформама које подржава Питхон

Цон:

  • Подржава Виндовс, али не и званично

Софтвер за пробијање продора

Продоран тест (оловка тест) је овлашћени симулирани напад на рачунарски систем који тражи непознате сигурносне слабости. Алат за тестирање оловке у основи опонаша хакера, при чему је крајњи циљ тестирање одбрамбених способности организације против симулираног напада. Током теста оловке користи се мешавина аутоматизованих скенирања и техника ручне експлоатације. На пример, аутоматизовани алат попут Нмап-а, који пружа основно откривање мреже, може се користити у оквиру експлоатације (нпр. Метасплоит).

Тестирање оловком захтева високо специјализоване вештине. За почетак, ПентестерЛабс нуди бесплатне вежбе за обуку, а испод ћете пронаћи списак отвореног кода и бесплатних алата за почетак рада.

Зед Аттацк Проки (ЗАП)

Интегрисани алат за тестирање оловке за проналажење рањивости у веб апликацијама. Функционише као проки између корисничког веб прегледача и апликације како би омогућио и аутоматизовано и ручно тестирање безбедности веб апликација. Може помоћи програмерима да аутоматски пронађу сигурносне рањивости у веб апликацијама током развоја. Такође користи и тестере за оловке за ручно испитивање безбедности уносом УРЛ адресе за извршавање скенирања или коришћењем алата као проки пресретања. Између 2013. и 2016. године, Зап је сваке године изгласан за прво или друго место у годишњој анкети о најбољим бесплатним / отвореним изворима алата ТоолВатцх.

Про:

  • Потпуно бесплатно
  • Једноставан за инсталацију
  • Обично се покреће као интерактивни интерфејс и делује као проки пресретања, тако да можете динамички мењати захтеве

Цон:

  • Првенствено дизајниран како би вам помогао да пронађете ручне безбедносне рањивости
  • Није баш намијењен да ради као чисто аутоматизовани скенер

Фиддлер

Овај алат је категорисан као апликација за проки сервер. Првенствено се користи за пресретање и дешифровање ХТТПС саобраћаја. Корисници се могу окретати и прегледати тај саобраћај ради препознавања рањивости у апликацији. Ватцхер је Фиддлеров додатак, осмишљен да помогне испитивачима продора при пасивном проналажењу рањивости веб апликација.

Про:

  • Отклањање грешака у саобраћају са ПЦ, Мац или Линук система и мобилних (иОС и Андроид) уређаја
  • Може да ухвати локални саобраћај користећи име машине као име домаћина, а не 'лоцалхост'

Цон:

  • Подржава се само у Виндовс-у

Метасплоит

Оквир који омогућава тестерима за приступ и извршавање доказаних подвига, који се чувају у бази података Метасплоита. Оквир има највећу светску базу података јавних, тестираних експлоатација. Од почетка је константно сврстана међу десет најбољих алата за безбедносне апликације. Метерпретер приказује резултате након што се догодио експлозив.

Про:

  • Велика искориштавајућа база података
  • Опсежна колекција алата за извођење тестова

Цон:

  • Интерфејс командне линије

Кали Линук

Кали Линук је врхунско средство за увредљиво тестирање оловке и један од најпопуларнијих сигурносних оквира у индустрији. Међутим, према програмерима, „НЕ препоручује се дистрибуција ако нисте упознати са Линуком или тражите општу наменску дистрибуцију Линук рачунара за развој, веб дизајн, игре итд.“

Про:

  • Укључује више од 300 програма продора и ревизије сигурности

Цон:

  • Неће радити у ВМ-у ако не користите спољни УСБ бежични кључ

Мрежни скенери

Мрежни скенери мапирају целокупну вашу мрежу и одређују шта је са њом повезано. Они могу тражити хостове и отварати портове и идентификовати све верзије софтвера и хардвера који се користе. Погледајте следеће бесплатне алате.

Мрежни Маппер (НМап)

Користи се за откривање мреже и ревизију сигурности. Користи сирове ИП пакете на нове начине да утврди који су домаћини доступни на мрежи, које услуге нуде, који оперативни системи се покрећу и који тип филтера / заштитног зида се користи. Може се користити за пружање информација за планирање напада тестирања оловке. Забавна чињеница: Нмап је (изгледа) приказан у дванаест филмова, укључујући Тхе Матрик Релоадед, Дие Хард 4, Гирл Витх тхе Драгон Таттоо и Тхе Боурне Ултиматум.

Про:

  • Садржи командну линију и верзије ГУИ-ја
  • Ради на свим главним оперативним системима као што су Виндовс, Линук и Мац ОС Кс
  • Зенмап је званични Нмап ГУИ који почетницима олакшава почетак рада

Цон:

  • Нема проки скенирања
  • Као скенер портова може бити „гласан“. Порт скенери захтевају велико мрежног саобраћаја. Постоји инверзна веза између прикривене брзине и брзине, тако да скенери портова могу успорити мрежу и / или се истицати на мрежи попут пословичног слона у соби, тј. Бити „гласни“.

Виресхарк

Мрежни протокол и анализатор пакета података и алат за тестирање оловке са моћним системом филтрирања. Виресхарк има огромну армију стручњака за волонтерско умрежавање широм света.

Про:

  • Омогућује корисницима да одреде коју врсту промета желе видјети, нпр. само ТЦП пакети
  • Може да снима пакете са ВЛАН-а, Блуетоотх-а, УСБ-а и других врста мрежног саобраћаја Доступно за готово све платформе, укључујући Линук, Виндовс, Мац, Соларис и ОпенБСД
  • Снажне опције филтрирања у ГУИ-у који се једноставно користи

Цон:

  • Стрма крива учења уколико немате неко разумевање ТЦП / ИП мрежа

Статички анализатори изворног кода

Анализатори статичког кода аутоматски аутоматизирају провјеру кода без стварног извршавања кода. С обзиром да гледају само изворни код апликације, не морате постављати цео свој пакет апликација да бисте их користили. Ови алати су обично специфични за језик и могу помоћи програмерима у препознавању сигурносних проблема. Тестирање јединице и прегледи кодова надопуњују статичку анализу кода. Највећа мана ових бесплатних алата је та што често стварају многе лажне позитивне резултате.

ВисуалЦодеГреппер

Ради са Ц++, Ц #, ВБ, ПХП, ПЛ / СКЛ, и Јава.

Про:

  • Претражује специфична кршења препорука ОВАСП
  • Омогућује прилагођене конфигурације упита тако да можете додати додатне функције

Цон:

  • Садржи скуп рањивости које се не могу изменити

Лагана анализа за безбедност програма у помрачењу (ЛАПСЕ +)

Додатак Ецлипсе који открива рањивости непоузданог убризгавања података у Јава ЕЕ апликације. Дјелује тако што тражите извор рањивости од извора рањивости. Извор рањивости односи се на убризгавање непоузданих података, нпр. у параметрима ХТТП захтева или колачића. Израз "судопер" односи се на процес модификације података како би се манипулирало понашањем апликације, нпр. ХТМЛ страницу.

Про:

  • Испитује логику валидације без компилирања кода

Цон:

  • Не идентификује грешке у компилацији
  • Ограничено на ИДЕ Ецлипсе

Бракеман

Испитивачи Руби на шине код. Користе га Твиттер, ГитХуб и Гроупон.

Про:

  • Једноставно подешавање и конфигурација
  • Брзо скенирање

Цон:

  • Може да покаже високу стопу лажних позитивних резултата

РИПС

Према РИПС-у, „Токенизирањем и рашчлањивањем свих датотека изворног кода РИПС је у стању да се трансформише ПХП изворног кода у програмски модел и за откривање осјетљивих понора (потенцијално рањивих функција) који могу бити заражени уносом корисника (под утјецајем злонамерног корисника) током протока програма. Поред структурираног износа пронађених рањивости, РИПС нуди интегрисани оквир за проверу кода. “Године 2016, преписана верзија РИПС-а је као комерцијални производ издата од стране РИПС Тецхнологиес, ​​високотехнолошке компаније са седиштем у Немачкој.

Про:

  • Једноставно подешавање и конфигурација
  • Брзо скенирање

Цон:

  • Бесплатна верзија је ограничена и подржава само 15 врста рањивости

ФкЦОП

Анализира управљане склопове кода (код који циља .НЕТО Оквирно време заједничког језика рада.) Ово је добар пример како се користе комплементарни алати у вашем пољу алата. Према Екцелу, ФкЦОП најбоље функционише у комбинацији са алатком за анализу статичког кода попут СтилеЦоп-а, јер оба алата имају различите приступе за анализу кода. „СтилеЦоп ради против изворног кода Ц #, али не може да анализира ВБ.НЕТ или неки други изворни код .НЕТ језика. ФкЦоп ради против .НЕТ компилираних бинарних датотека, али не може анализирати изворни код и аспекте попут правилног коришћења заграда, белог простора или коментара. "

Про:

  • Метаподаци монтаже раде са кодом створеним на било којем .НЕТ језику
  • Опсежан сет правила која су на располагању ван кутије

Цон:

  • Ограничено на скупљање метаподатака
  • Израђује само једну врсту извештаја

Бандит

Бандит је сигурносни вез (програм који скенира изворни код и обележава све конструкције за које је вероватно да су грешке) за Питхон изворни код, користећи аст модул из Питхон стандардне библиотеке. Модул аст користи се за претварање изворног кода у рашчлањено стабло Питхон синтаксних чворова. Бандит омогућава корисницима да дефинишу прилагођене тестове који се изводе на тим чворовима.

Про:

  • Изузетно прилагодљив, нпр. могу се искључити различити додаци или се одређени директоријуми могу искључити из скенирања
  • Корисници такође могу писати властите прилагођене додатке

Цон:

  • Нема ГУИ

Алати који се паре

Фузз тестирање (фуззинг) користи се за идентификацију грешака кодирања и сигурносних рањивости. То укључује уношење велике количине случајних података у покушају да се апликација или мрежни руши.

Америцан Фуззи Лоп (АФЛ)

Алат за фузз тестирање са отвореним кодом, покровитељством који је развио Мицхаł Залевски из Гоогле-а. Описао је свој алат као "груби замах у комбинацији са изузетно једноставним, али чврстим генетичким алгоритмом вођеним инструментима." АФЛ је пронашао рањивости у различитим популарним веб апликацијама, укључујући Фирефок, Фласх, ЛибреОффице, Интернет Екплорер и Аппле Сафари.

Про:  

  • Оно што Залевски назива "корисничким сучељем у ретро стилу"
  • Доказана ефикасност

Цон:  

  • Морате бити мало ретро сами да бисте заиста цијенили (старомодни) ГУИ

Суллеи Фуззинг Фрамеворк

Популарни паралелни мотор и оквир за тестирање који се састоји од више компонената. Оно што га разликује од осталих фузера је то што није искључиво алат за генерисање података. Открива, прати и категоризира откривене грешке; може паралелно да пукне, значајно повећавајући брзину испитивања; и аутоматски може одредити који јединствени низ тестних случајева покреће грешке. Боофузз је вилица Суллеи-јевог пара.  

Про:  

  • Потпуно аутоматизовано - након што проузрокује квар, може аутоматски да врати систем на нормално стање, а затим настави да фузује нови тест случај

Цон:

  • Нема недавних ажурирања верзија

Алати за креирање лозинки

Ови бесплатни алати користе сигурносни администратори да пронађу слабе и рањиве лозинке које би хакер могао лако да угрози. Три најчешћа напада лозинком су:

  • Речник: Користи испоручену датотеку која садржи списак речи из речника.  
  • Насилно: Користећи листу речника, систематски покушава све могуће комбинације за лозинку. Ако нападач не буде имао среће, овај процес би могао потрајати неко време, посебно за дуге лозинке које користе комбинацију слова, бројева и симбола.
  • Раинбов сто: Већина база података у бази података чува криптографске хешеве корисничких лозинки. Нитко не може одредити корисничку лозинку једноставним увидом у вриједност похрањену у бази података. Када корисник унесе своју лозинку, она се хешира и тај се излаз упоређује са сачуваним уносом за тог корисника. Ако се два хешева подударају, одобрен је приступ. Табела хасх-а је врста референтне таблице коју користе хакери. Ове унапред израчунате шифре запорки се чувају у табели да би се смањило време потребно за креирање лозинке. Раинбов таблице иду корак даље смањујући величину хасх табеле, чинећи их ефикаснијим. "  

ТХЦ Хидра

ТХЦ Хидра је мрежни алат за хакирање који користи рјечник или бруталне нападе да би испробао разне комбинације лозинки и пријава на страници за пријаву..  

Про:

  • Подржава широк сет протокола укључујући пошту (ПОП3, ИМАП, итд.), ЛДАП, СМБ, ВНЦ и ССХ
  • Подржава већину главних платформи

Цровбар

Алат за бруталан напад који се може користити током испитивања пенетрације.

Про:

  • Цровбар може да користи ССХ кључеве уместо типичне комбинације корисничког имена и лозинке

Цон:

  • Само командна линија

Јохн тхе Риппер

Користи технику напада речника. Добар је свестрани пакет који садржи низ различитих комбинација пробијања лозинке.

Про:

  • Могућност аутоматског откривања типова хасх-а за лозинку
  • Подржава већину главних платформи

ОпхЦрацк

Виндовс крекер за лозинку заснован на дугим табелама.

Про:

  • Садржи модул грубе силе за једноставне лозинке
  • Подржава већину главних платформи

ВордПресс алати за безбедност

Специјализовани сигурносни алати за веб локације ВордПресс могу се наћи на вордпресс.орг. ВордПресс је толико популаран да има мноштво прегледа додатака, а пружа прилично објективан преглед функција алата. Погледајмо неколико најпопуларнијих понуда.

ВордФенце

Укључује сигурност пријављивања; ИП функције блокирања; сигурносно скенирање злонамјерног софтвера и „бацкдоорс“; заштита заштитног зида; и опсежне могућности праћења.

иТхемес Сецурити

Програмери су је описали као безбедносни додатак # 1 за ВордПресс. Међутим, пре него што преузмете овај додатак, прочитајте негативне критике. Један рецензент са орловским очима је истакао да су се, када су се иТхемес 2016. компромитовали и касније напали, поставили нови заштитни зид веб страница од супарничког Суцурија. Да ли је то битно? Ви сте судија.

Суцури Сецурити

Најбоља ствар Суцури сигурности је да су све функције бесплатне. Премиум додатак је застарио још 2014. године и све главне карактеристике спојене су у бесплатан додатак.

Онлине алати за скенирање веб локација

Бесплатни онлине алати су брзи и једноставни за употребу. Иако није загарантовано да коначно идентификују рањивости ваше веб локације, они вам могу помоћи да утврдите подручја за која је потребно даље истраживање.

Суцури

Унесите адресу своје веб локације за бесплатан резиме потенцијалних рањивости веб локације. Провера познатих злонамјерног софтвера, статуса црних листа, грешака на веб локацији и застарелог софтвера.

Про:

  • Нема потребе да уносите своју адресу е-поште да бисте добили резултате

Преглед ВП-а

Садржи опсежну листу проблема са веб локацијама, укључујући перформансе, СЕО и безбедност.

Про:

  • Пружа више информација од осталих алата. Потребно је мало више времена за скенирање (али то је добро, зар не?)
  • Нема потребе да уносите своју адресу е-поште, али можете тражити да вам се резултати пошаљу поштом

Цон:

  • Морате се пријавити за 30-дневно бесплатно пробно време како бисте научили како да решите озбиљне проблеме
  • Ограничено на једно скенирање дневно

Тест квалитета ССЛ сервера

Врши дубинску анализу конфигурације ССЛ веб сервера.

Про:

  • Нема потребе да се региструјете
  • Пружа свеобухватну листу проблема са застарјелошћу и компатибилношћу ССЛ-а

Веб Инспецтор

Прегледа веб страницу да ли је злонамерна или не.

Цон:

  • Скенираће само једну страницу одједном

АСафаВеб

Не покушава да нападне секвенце или другу злонамерну активност; једноставно поставља неке бенигне захтеве да се види како локација реагује.

Про:

  • АСафаВеб има наменску не баш сигурну веб локацију искључиво за демо потребе на нотасафавеб.аппхб.цом коју можете скенирати и прегледати резултате

СецуритиХеадерс.ио

Овај бесплатни алат тестира заглавља веб локација. Према програмеру, ХТТП заглавља одговора која ова страница анализира пружају огромне нивое заштите. На пример, политика безбедности садржаја (ЦСП) је ефикасна мера за заштиту ваше веб локације од КССС напада. Ако на списку додате изворе одобреног садржаја, можете спречити прегледач да учита злонамерну имовину.

Про:

  • Брзо и пружа потпуни опис заглавља који недостају и како ријешити све проблеме

Где до следећег?

Посетите веб локацију веб апликације за скенирање рањивости веб апликација (вавсеп). Вавсеп је платформа за процену која садржи збирку јединствених рањивих веб страница које се могу користити за тестирање различитих својстава скенера веб апликација. Овде можете погледати анализе како су различити скенери, и бесплатни и комерцијални, тестирани на вавсеп-у. Резултати показују колико су тачни скенери тачни у препознавању уобичајених рањивости веб локација и колико су лажних позитивних резултата исказали у тестовима реперисцента. Наћи ћете многе бесплатне алате поменуте у овом посту на веб локацији Вавсеп.

Срећно тестирање!

"Крекери" компаније елхомбреденегро лиценцирани под ЦЦ БИ 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

2 + 6 =

Adblock
detector