30+ безплатни инструмента за подобряване на сигурността на вашия уебсайт и посетителите ви

Кибератаките са ежедневна поява и съпътстващите разходи за организациите ескалират. Можете обаче да смекчите кибер катастрофата с безплатни инструменти за сигурност на уебсайта, които ще ви помогнат да идентифицирате уязвимостите на уебсайта и да запазите посетителите си в безопасност или по-скоро … по-сигурно. 

Човек би си помислил, че големите предприятия имат средства и възможност да наблюдават своите приложения за уязвимости на уебсайтове. Но явно не. Само няколко примера:

• Нарушаването на егото от Yahoo 2013 г. се случи в резултат на атака с подправяне на бисквитки, която позволи на хакерите да се идентифицират като всеки друг потребител без паролата си. Анализаторите твърдят, че Yahoo би могъл да предотврати щетите, ако предприеме по-бързи действия срещу натрапниците.
• Заглавката, която грабва атаката на Panama Papers, е резултат от поне две неуспехи за поддържане на актуализиран софтуер:
  • Остаряла версия на плъгира за плъзгача на изображението им в WordPress
  • Тригодишна версия на Drupal, която съдържа няколко известни уязвимости
• На 17-годишен програмист му беше необходимо да посочи фалшификат за искане на различни сайтове на Flickr. След като бъде уведомен, на Flikr бяха необходими само 12 часа, за да отстрани недостатъка.

Вижте също: Най-големите нарушения на данните в историята

Въпреки че никоя система за сигурност – дори и сигурността на дома ви – не е надеждна, редовното сканиране на уебсайтове може да извърви дълъг път към предпазване от опортюнистични атаки срещу вашите виртуални активи. Вземете American Fuzzy Lop (AFL), пулверизатор с отворен код, разработен от Michał Zalewski от Google. Помогна за намирането на уязвимости в различни популярни уеб приложения, включително Firefox, Flash, LibreOffice, Internet Explorer и Apple Safari. 

Съвети за използване на безплатни инструменти за сигурност на уебсайта 

Много от безплатните инструменти за сигурност на уебсайта, разгледани тук, имат подобни функции и функционалност. Често това е случай на сравняване на ябълки с круши. Без обида към най-добрия доставчик на сигурност Sucuri, но дори те имат трудности да разграничат продукта си от другите:

„Няколко други приставки за сигурност предоставят функции за мониторинг на активността, но малко от тях се справят добре […] Ние стеснихме основните функции, които смятаме, че са най-подходящи за всеки собственик на уебсайт.“

Поради тази причина сме категоризирали тези инструменти и отбелязахме основните предимства и недостатъци на всеки. Някои категории се припокриват; най-вече инструментите за сканиране и проникване на уязвимостта.

Ще забележите, че списъкът с безплатни инструменти включва някои, които се използват специално за сканиране на уеб приложения. Каква е разликата между уебсайт и приложение? Бен Шапиро от Segue Technologies дава изчерпателния дълъг отговор. Ако искате краткия отговор, stackoverflow го поставя кратко:

„[Уебсайт] е съвкупност от документи, до които се осъществява достъп чрез интернет чрез уеб браузър. Уебсайтовете могат също да съдържат уеб приложения, които позволяват на посетителите да изпълняват онлайн задачи като: Търсене, Преглед, Купуване, Изплащане и Плащане. “

Важното е, че трябва да предприемете цялостен подход при тестване на уебсайта си. Ако се съмнявате, просто тествайте всичко. Безплатните инструменти за сигурност на уебсайта го правят лесно и не ви струват нищо освен вашето време.

• Разработете тестова стратегия: Повечето инструменти за сигурност на уебсайта работят най-добре с други видове инструменти за сигурност. Добър пример е зоната на тестовете за проникване. Обикновено администраторите използват скенери за уязвимост, преди да използват инструмент за тестване на проникване за конкретни цели, напр. мрежови портове или приложения. Например, Wireshark е както мрежов анализатор, така и инструмент за тестване на проникване.

  Универсалният скенер за уязвимост е може би най-доброто място за стартиране. Но ако се интересувате преди всичко от сканиране на кода на разработчиците си, преминете към секцията за статичен анализатор на изходния код по-долу. Искате ли да проверите колко сигурни са вашите пароли? Събрахме някои безплатни инструменти за пробиване на парола и за вас.

• Един размер не отговаря на всички: Всички безплатни инструменти за сигурност на уебсайта имат предимства и недостатъци и рядко има решение с един размер за всички. Например, като инструмент за анализатор, най-високо оцененият инструмент за мрежово сканиране Wireshark върши същата работа като инструмента Fiddler и по-ефективно. Wireshark обаче не може да подуши трафика в рамките на една и съща машина (localhost) в Windows. Ако трябва да подушите локален трафик на Windows, трябва да използвате Fiddler.
• Анализ на резултатите: Не се доверявайте на резултатите от едно сканиране! Тествахме редица скенери както на безопасни, така и на безопасни сайтове и резултатите бяха значително различни. Това ни довежда до фалшиви позитиви. Те могат да бъдат досадни, но имайте предвид, че са по-добри от фалшивите негативи. Нещо толкова просто като промяна на конфигурацията или актуализация на софтуера може да предизвика предупреждение, което трябва да бъде проверено.
• Получете безплатна поддръжка:  Ако искате да използвате безплатни инструменти, в идеалния случай трябва да имате някои знания за сигурност, тъй като повечето безплатни инструменти нямат поддръжка на клиенти; трябва да свършите цялата мръсна работа сами. Друга възможност е да посетите The Joomla! Форум, Ubuntu Forums, ASP.NET, MBSA или Bleeping Computer, за да публикувате вашите въпроси и да търсите решения.
• Дръжте го свеж: Недостатъкът на безплатните инструменти е, че те може да не се актуализират редовно с най-новите известни уязвимости. Винаги проверявайте датата на излизането на последната версия.

Какво трябва да знаете за безплатните инструменти за сигурност на уебсайта

Методи за изпитване

Има три основни типа инструменти, свързани с откриване на уязвимост на приложението:

• Тестване на черна кутия – Метод за тестване на софтуер, който изследва функционалността на дадено приложение, без да изследва вътрешните му структури. Тестването се фокусира върху това, което софтуерът трябва да прави, а не как. В тази категория са включени скенери за уязвимост, скенери за сигурност на уеб приложения и инструменти за тестване на проникване.
• Тестване на бяла кутия – Метод за тестване на софтуер, който се фокусира върху вътрешните структури на приложение на ниво изходен код, за разлика от неговата функционалност. Статичните анализатори на изходния код и инструментите за проникване на проникване попадат в тази категория. С тестовете за проникване White Test, според Wikipedia, се позовава на методология, при която хакерът на White Hat има пълни познания за атакуваната система. Целта на теста за проникване в Бяла кутия е да симулира злонамерен вътрешен човек, който има познания и евентуални основни данни за целевата система.
• Тестване на сива кутия – В киберпространството линията, обозначаваща категориите, се е размила, раждайки този нов модел на тестване, който комбинира елементи от методите на Черно и Бяло поле.   

Чести уязвимости на уебсайта

Добре уважаваният проект за сигурност на отворени уеб приложения (OWASP) е отворена общност, посветена на това да даде възможност на организациите да разработват, купуват и поддържат приложения, на които може да се вярва. Това е нововъзникващ орган за стандарти за сигурност на уеб приложенията и ежегодно публикува списък с топ 10 уязвимости на уебсайтове за дадена година.

За всяка уязвимост сме включили линк към сайт, който ще ви даде повече технически подробности, ако се интересувате.

1. SQL инжектиране – техника на инжектиране на код, при която злонамерени SQL изрази се вмъкват в поле за въвеждане за изпълнение. Техниката се използва за манипулиране (например изтегляне) или повредени данни. Той е насочен към потребителския вход, който не е правилно валидиран и избягал. Атакистът може да използва тази уязвимост, като замени потребителското въвеждане със собствени команди, които се изпращат директно в базата данни. Пример: Комисията на Филипините относно изборите нарушава.
2. Broken Authentication and Session Management – Функциите на приложенията, свързани с удостоверяването и управлението на сесиите, често се прилагат неправилно, което позволява на атакуващите да компрометират пароли, ключове или сесийни маркери или да използват други недостатъци на внедряването, за да приемат самоличността на други потребители (временно или постоянно). Пример: 17-те нарушения на медиите.  
3. Cross site scripting (XSS) – Тази атака идва в множество вкусове. В най-основния си случай той позволява на нападателите да инжектират скриптове от страна на клиента в уеб страници, гледани от други потребители. Тя разчита на основата на концепцията за доверие, известна като политика с един и същи произход, която казва, че ако на съдържанието от един сайт е дадено разрешение за достъп до ресурси в системата, тогава всяко съдържание от този сайт ще споделя тези разрешения. След като нарушат надежден сайт, нападателите могат да включат своето злонамерено съдържание в съдържанието, което се доставя на сайта на клиента и да получат достъп до неговите информационни съкровища. Пример: EBay се съхранява XSS.
4. Прекъснат контрол на достъпа – Нападателите могат да използват течове или недостатъци във функциите за удостоверяване или управление на сесията (например, открити акаунти, пароли, идентификационни номера на сесията), за да се представят за потребители. Пример: Нарушение на търсенето на приятели за възрастни.
5. Пропуски в конфигурацията на сигурността – Това е резултат от „неправилно сглобяване на защитните мерки на уеб приложението“, което оставя пробивен отвор за сигурност в сървър, база данни, рамка или код. Пример: Нарушаването на мексиканските избиратели.
6. Чувствително излагане на данни – Много уеб приложения и API не защитават правилно чувствителната информация, като финансови или здравни данни. Нападателите могат да откраднат или променят слабо защитени данни, за да извършат измама с кредитни карти, кражба на самоличност или други престъпления. Чувствителните данни заслужават допълнителна защита като криптиране в покой или транзит, както и специални предпазни мерки при обмен с браузъра. Пример: Индийският институт за управление наруши.
7. Недостатъчна защита срещу атака – Повечето приложения и API нямат основна способност да откриват, предотвратяват и реагират както на ръчни, така и на автоматизирани атаки. Защитата срещу атака надхвърля основното валидиране на входа и включва автоматично откриване, регистриране, реагиране и дори блокиране на опитите за експлоатация. Собствениците на приложения също трябва да могат бързо да разгръщат патчите, за да се предпазят от атаки. Пример: Трите нарушения.
8. Фалшифициране на заявки за кръстосан сайт (CSRF) – Принуждава крайния потребител да изпълнява нежелани действия върху уеб приложение, в което понастоящем се удостоверява без тяхното знание. Чрез примамване на потребител към контролиран от нападател уебсайт, хакер може да променя заявките на потребителя към сървъра. Пример: Facebook атака.
9. Използване на компоненти с известни уязвимости – Компоненти като библиотеки, рамки и други софтуерни модули работят със същите привилегии като приложението. Ако се използва уязвим компонент, такава атака може да улесни сериозна загуба на данни или превземане на сървъра. Приложения и API, използващи компоненти с известни уязвимости, могат да подкопаят защитните приложения и да позволят различни атаки и въздействия. Пример: Mossack Fonesca (Panama Papers) нарушение.
10. Подзащитен API – съвременните приложения често включват богати клиентски приложения и API, като JavaScript в браузъра и мобилни приложения, които се свързват с някакъв API (SOAP / XML, REST / JSON, RPC, GWT и др.). Тези API често са незащитени и могат да съдържат многобройни уязвимости. Пример: Макдоналдс тече.

Скенери за уязвимост

Скенерът за уязвимост е специализиран софтуер, който сканира вашата мрежа, система или сървъри, за да идентифицира грешки, дупки в защитата и недостатъци. Той автоматично тества система за известно уязвимости. Първо идентифицира отворени портове; активни адреси на интернет протокол (IP) и вход; и операционни системи, софтуер и активни услуги. След това сравнява намерената информация с известни уязвимости в своята база данни или база данни на трети страни. За човека на улицата той работи много по начина, по който прави антивирусния софтуер за градински разнообразие, но е много по-сложен. Например, най-добрите скенери за уязвимост са достатъчно интелигентни, за да включват компоненти за управление на кръпките и тестове за проникване. Има някои припокривания между скенери за уязвимост и инструменти за тестване на проникване. Последните използват уязвимости, открити от скенерите, за извършване на нарушения и доказване на способността за компрометиране на уязвимостта. По-долу са всички напълно безплатни инструменти.   

Отворена система за оценка на уязвимостта (OpenVAS)

OpenVAS е сканиращ комплект за сигурност, състоящ се от различни услуги и инструменти. Самият скенер не работи на Windows машини, но има клиент за Windows. Той получава емисия, актуализирана ежедневно, от 30000+ тестове за уязвимост на мрежата (NVT). Инструментът беше разкачен от последната безплатна версия на Nessus, друг скенер за уязвимост, след като той беше патентован през 2005 г. Германската федерална служба за сигурност на информацията (BSI) използва OpenVAS като част от своята IT рамка за сигурност.

Pro:

• База данни за масивни уязвимости
• Възможност за едновременни сканиращи задачи
• Планирани сканирания
• Грешно положително управление
• Безплатно за неограничен брой IP адреси
• Добър всеобхват

Con:

• Не е най-лесният инструмент за инсталиране за начинаещи
• Основният компонент – сканиращият двигател – изисква Linux

Майкрософт анализатор за сигурност на базата (MBSA)

MBSA сканира настолни компютри и сървъри на Microsoft за липсващи актуализации на защитата, пачове за сигурност и общи неправилни конфигурации за сигурност.

Pro:

• Лесен за използване интерфейс ви позволява да сканирате локални или отдалечени машини; изберете една машина, която да сканира, или изберете цял домейн или посочете диапазон на IP адреси; и изберете точно за какво искате да сканирате, напр. слаби пароли или актуализации на Windows
• Предоставя конкретни коригиращи предложения при откриване на уязвимости
• Активният форум осигурява качествена поддръжка

Con:

• Не сканира софтуер извън Microsoft
• Не сканира за специфични за мрежата уязвимости

Nexpose Community Edition

Насочена към малки фирми, както и към лица, които използват множество компютри, свързани към локална мрежа, Nexpose може да сканира мрежи, операционни системи, уеб приложения, бази данни и виртуална среда. Той се интегрира с популярната Metasploit Framework – инструмент за разработване и изпълнение на код за експлоатация срещу отдалечена машина за прицелване. Включено е много активна общност от тестери за проникване и изследователи по сигурността, които движат развитието на тези експлоатации, които след това се превръщат в дефиниции за уязвимост.

Pro:

• Включва приятна опция за задаване на правила за определяне и проследяване на вашите изисквания за съответствие
• Активира подробни визуализации на сканирани данни
• Може да се инсталира на Windows, Linux или виртуални машини

Con:

• Безплатната версия е ограничена до 32 IP наведнъж

SecureCheq

TripWire нарича своя SecureCheq програма за оценка на конфигурация. Той тества за около две дузини критични, но често срещани грешки в конфигурацията, свързани с втвърдяване на ОС, защита на данните, сигурност на комуникацията, активност на потребителските акаунти и регистриране на одит. Този безплатен инструмент ще работи най-добре във връзка с по-здрав скенер, като Microsoft Baseline Security Analyzer (MBSA).

Pro:  

• Лесен за използване за начинаещи
• Предоставя подробни съвети за отстраняване и ремонт

Con:

• Само локални сканира на машини на Microsoft
• Безплатната версия на този инструмент осигурява само около една четвърт от настройките на платената версия  

Qualys FreeScan

Лек скенер, който може да се използва за оценка на състоянието на уязвимостта на вашия уебсайт и да ви помогне да вземете решение за това какво ниво на защита трябва да продължите напред. Надеждно име, Qualys беше първата компания, която достави решения за управление на уязвимостта като приложения чрез мрежата, използвайки модел „софтуер като услуга“ (SaaS).

Pro:

• Сканиране по периметър сканиране на уеб приложения
• Откриване на зловреден софтуер

Con:

• Ограничени до десет уникални сканирания за сигурност на активи, достъпни за интернет

хищник

Лесен, лек инструмент, който сканира основните уязвимости на уеб приложенията. Тя е насочена към разработчиците, които искат да персонализират малки сканирания по време на процеса на кодиране.

Pro:

• Полезно за малки уебсайтове

Con:

• Няма GUI
• Отчети само в XML
• Обикновено е малко бавен

канадски елен

Извършва тестване на Black Box на уеб приложения. Той не преглежда изходния код на приложението, но ще сканира уеб страниците на разгърнато приложение, търсейки скриптове и формуляри, където може да инжектира данни. Въоръжен с тези данни, той действа като замайване, инжектира полезни товари, за да види дали скриптът е уязвим.

Pro:

• Генерира отчети за уязвимост в различни формати (например HTML, XML, JSON, TXT)
• Може да спре и възобнови сканиране или атака
• Може да подчертае уязвимостите с цвят в терминала

Con:

• Интерфейс на командния ред
• Може да създаде множество фалшиви положителни резултати

w3af

Това е рамка за атака и одит на уеб приложение, която може да се използва заедно с инструменти за проникване. Спонсорите включват Openware (сега Globant), Cybsec, Bonsai и Rapid7. Компанията е ентусиазиран сътрудник на T2 Infosec конференции, посветени на тези, които се интересуват от техническите аспекти на информационната сигурност.

Pro:

• Популярно, добре поддържано приложение с отворен код
• Лесен за използване графичен интерфейс
• Лесно разтегаем
• Идентифицира над 200 уязвимости
• Използва w3af приставки, които са парчета от Python код, които разширяват функционалността на рамката, като предоставят нови начини за извличане на URL адреси или намиране на уязвимости
• Съвместим с всички поддържани от Python платформи

Con:

• Поддържа Windows, но не и официално

Софтуер за тестване на проникване

Тестът за проникване (тест с писалка) е оторизирана симулирана атака върху компютърна система, която търси неизвестни слабости в сигурността. Инструментът за тестване на химикалки по същество подражава на хакер, като крайната цел е да се тестват способностите на организацията за защита срещу симулираната атака. По време на тест с писалка се използва смес от автоматични сканирания и техники за ръчна експлоатация. Например, автоматизиран инструмент като Nmap, който осигурява основно мрежово откриване, може да се използва в рамките на експлоатационната рамка (например Metasploit).

Тестването с химикалки изисква високо специализирани умения. За да започнете, PentesterLabs предлага безплатни тренировъчни упражнения и по-долу ще намерите списък с отворен код и безплатни инструменти, за да започнете.

Zed Attack Proxy (ZAP)

Интегриран инструмент за тестване на химикалки за намиране на уязвимости в уеб приложения. Той функционира като прокси сървър между уеб браузъра на потребителя и приложение, за да позволи както автоматизирано, така и ръчно тестване за сигурност на уеб приложенията. Може да помогне на разработчиците автоматично да намерят уязвимости в сигурността в уеб приложенията, докато те ги разработват. Също така се използва от тестери за писалки за ръчно тестване на сигурността чрез въвеждане на URL адрес за извършване на сканиране или използване на инструмента като прокси прихващащ прокси. Между 2013 и 2016 г. Zap беше гласуван първо или второ всяка година в годишното най-добро безплатен / отворен код за сигурност на ToolWatch.

Pro:

• Напълно безплатно
• Лесен за инсталиране
• Обикновено се изпълнява като интерактивен потребителски интерфейс и действа като прихващащ прокси, така че можете да променяте заявките динамично

Con:

• Основно проектиран да ви помогне ръчно да намерите уязвимости в сигурността
• Всъщност не е предназначен да работи като чисто автоматизиран скенер

цигулар

Този инструмент е категоризиран като приложение за прокси сървър. Използва се предимно за прихващане и декриптиране на HTTPS трафик. Потребителите могат да се намерят и проверяват този трафик, за да идентифицират уязвимостите в приложението. Watcher е добавка на Fiddler, създадена да помага на тестерите за проникване при пасивно намиране на уязвимости в уеб приложенията.

професионалист:

• Отстраняване на грешки в трафика от PC, Mac или Linux системи и мобилни устройства (iOS и Android)
• Може да улавя локален трафик, като използва името на машината като име на хост, а не „localhost“

Con:

• Поддържа се само в Windows

Metasploit

Рамка, която дава възможност на тестерите за писалки да имат достъп и да изпълняват доказани подвизи, които се съхраняват в базата данни на Metasploit. Рамката разполага с най-голямата в света база данни за публични, тествани подвизи. Постоянно се класира сред първите десет инструмента за приложения за сигурност от самото си създаване. Преобразувателят показва резултатите след експлоатация.

Pro:

• Голяма база данни за експлоатации
• Обширна колекция от инструменти за извършване на тестове

Con:

• Интерфейс на командния ред

Kali Linux

Kali Linux е най-добрият инструмент за обидно тестване на химикалки и една от най-популярните рамки за сигурност в бранша. Според разработчиците обаче, „НЕ е препоръчителна дистрибуция, ако не сте запознати с Linux или търсите дистрибуция за настолни компютри с общо предназначение за разработка, уеб дизайн, игри и т.н.“

Pro:

• Включва повече от 300 програми за проникване и одит на сигурността

Con:

• Няма да работи във VM, освен ако не използвате външен USB безжичен ключ

Мрежови скенери

Мрежовите скенери картографират цялата ви мрежа и определят какво е свързано с нея. Те могат да търсят хостове и отворени портове и да идентифицират всички софтуерни и хардуерни версии, които се използват. Вижте следните безплатни инструменти.

Мрежов Mapper (NMap)

Използва се за откриване на мрежа и одит на сигурността. Използва сурови IP пакети по нови начини, за да определи кои хостове са достъпни в мрежата, какви услуги предлагат, какви операционни системи работят и какъв тип пакетни филтри / защитни стени се използват. Може да се използва за предоставяне на информация за планиране на атаки за тестване на химикалки. Забавен факт: Nmap (очевидно) беше представен в дванадесет филма, включително The Matrix Reloaded, Die Hard 4, Girl With the Dragon Tattoo и The Bourne Ultimatum.

Pro:

• Включва команден ред и GUI версии
• Работи във всички основни операционни системи като Windows, Linux и Mac OS X
• Zenmap е официалният графичен интерфейс на Nmap, който улеснява начинаещите

Con:

• Няма прокси сканиране
• Като скенер за порт, той може да бъде “силен”. Порт скенерите изискват генериране на много мрежов трафик. Съществува обратна връзка между стелт и скорост, така че скенерите на пристанищата могат да забавят мрежата и / или да се откроят в мрежата като пословичния слон в стаята, т.е. да бъдат „силни“.

Wireshark

Мрежов протокол и анализатор на пакети данни и инструмент за тестване на писалки с мощна филтрираща система. Wireshark разполага с огромна армия от експерти по мрежи за доброволци по целия свят.

Pro:

• Позволява на потребителите да определят какъв трафик искат да видят, напр. само TCP пакети
• Може да улавя пакети от VLAN, Bluetooth, USB и други видове мрежов трафик Достъпно за почти всяка платформа, включително Linux, Windows, Mac, Solaris и OpenBSD
• Мощни опции за филтриране в лесен за използване графичен интерфейс

Con:

• Стръмна крива на обучение, освен ако не разбирате TCP / IP мрежи

Статични анализатори на изходния код

Статичните анализатори на код автоматизират бързо проверката на кода, без всъщност да го изпълняват. Тъй като те гледат само изходния код на приложение, не е нужно да настройвате целия си стек от приложения, за да ги използвате. Тези инструменти обикновено са специфични за езика и могат да помогнат на разработчиците да идентифицират проблеми със сигурността. Тестване на единици и прегледи на кодове допълват статичния анализ на кода. Най-големият недостатък на тези безплатни инструменти е, че те често генерират много фалшиви позитиви.

VisualCodeGrepper

Работи със ° С++, ° С#, VB, PHP, PL / SQL, и Ява.

Pro:

• Търси конкретни нарушения на препоръките на OWASP
• Позволява персонализирани конфигурации на заявки, така че можете да добавяте допълнителни функции

Con:

• Има списък с уязвими места, които не могат да бъдат променени

Лек анализ за програмна сигурност в Eclipse (LAPSE +)

Плъгин за затъмнение, който открива уязвимостите от неинспектирано инжектиране на данни в Ява EE приложения. Той работи, като търси „потъване на уязвимостта“ от източник на уязвимост. Източникът на уязвимост се отнася до инжектирането на неповерителни данни, напр. в параметрите на HTTP заявка или бисквитка. Терминът “мивка” се отнася до процеса на промяна на данни за манипулиране на поведението на приложение, напр. HTML страница.

Pro:

• Тества логиката на валидиране без компилиране на кода

Con:

• Не идентифицира грешки при компилация
• Ограничени до IDE за затъмнение

спирача

разпитва Ruby on Rails код. Използва се от Twitter, GitHub и Groupon.

Pro:

• Лесна настройка и конфигуриране
• Бързи сканирания

Con:

• Може да показва висок процент на лъжливи положителни резултати

разкъсва

Според RIPS, „Чрез токенизиране и анализиране на всички файлове с изходен код, RIPS е в състояние да трансформира PHP изходния код в модела на програмата и за откриване на чувствителни мивки (потенциално уязвими функции), които могат да бъдат засегнати от въвеждането на потребителя (повлияни от злонамерен потребител) по време на програмния поток. Освен структурирана продукция от намерени уязвимости, RIPS предлага интегрирана рамка за одит на кода. ”През 2016 г. преработена версия на RIPS беше пусната като търговски продукт от RIPS Technologies, високотехнологична компания със седалище в Германия.

Pro:

• Лесна настройка и конфигуриране
• Бързи сканирания

Con:

• Безплатната версия е ограничена и поддържа само 15 типа уязвимост

FxCOP

Анализира управляваните кодови сглобки (код, насочен към .NET Рамка на общия език на рамката.) Това е добър пример за това как да използвате допълнителни инструменти във вашата кутия с инструменти. Според excella FxCOP работи най-добре във връзка със инструмент за анализиране на статичен код като StyleCop, тъй като и двата инструмента имат различни подходи за анализ на кодове. „StyleCop работи срещу изходния код на C #, но не може да анализира VB.NET или друг изходен код на .NET език. FxCop работи срещу .NET компилирани двоични файлове, но не може да анализира изходния код и аспекти като правилното използване на скоби, бяло пространство или коментари. “

Pro:

• Метаданните за сглобяване работят с код, създаден на всеки .NET език
• Обширен набор от правила, налични извън кутията

Con:

• Ограничено до метаданни за сглобяване
• Изготвя само един тип отчети

бандит

Bandit е защитна линия (програма, която сканира изходния код и маркира всички конструкции, които е вероятно да бъдат грешки) за изходния код на Python, използвайки модула ast от стандартната библиотека на Python. Модулът ast се използва за преобразуване на изходния код в анализирано дърво на синтаксисните възли на Python. Bandit позволява на потребителите да определят потребителски тестове, които се извършват спрямо тези възли.

Pro:

• Изключително адаптивни, напр. различни приставки могат да бъдат изключени или определени директории могат да бъдат изключени от сканирането
• Потребителите могат също така да напишат собствени персонализирани приставки

Con:

• Няма GUI

Предпазителни инструменти

Fuzz тестване (fuzzing) се използва за идентифициране на кодиращи грешки и уязвимости в сигурността. Тя включва въвеждане на големи количества произволни данни в опит да се направи срив на приложение или мрежа.

American Fuzzy Lop (AFL)

Инструмент за тестване на неясен тест с отворен код, разработен от Михал Залевски от Google. Той описва инструмента си като “брутален фюзер, съчетан с изключително прост, но солиден генетичен алгоритъм, управляван от инструментална екипировка.” AFL открива уязвимости в различни популярни уеб приложения, включително Firefox, Flash, LibreOffice, Internet Explorer и Apple Safari.

Pro:  

• Това, което Залевски нарича „потребителски интерфейс в ретро стил“
• Доказана ефикасност

Con:  

• Трябва сами да сте малко ретро, ​​за да оцените истински (старомодния) GUI

Sulley Fuzzing Framework

Популярен размиващ се двигател и неясна тестова рамка, състоящ се от множество разтегателни компоненти. Това, което го прави различен от другите фюзери, е, че не е чисто средство за генериране на данни. Той открива, проследява и категоризира откритите неизправности; може да се спука паралелно, значително увеличавайки скоростта на теста; и може автоматично да определи каква уникална последователност от тестови случаи предизвиква неизправности. Boofuzz ​​е вилица на размитата рамка на Sulley.  

Pro:  

• Напълно автоматизиран – след причиняване на повреда, той може автоматично да възстанови системата обратно до нормално състояние и след това да продължи да размива нов тестов случай

Con:

• Няма последните актуализации на версиите

Инструменти за разбиване на парола

Тези безплатни инструменти се използват от администраторите за сигурност, за да намерят слаби и уязвими пароли, които лесно могат да бъдат компрометирани от хакер. Трите най-често срещани атаки с парола са:

• Речник: Използва предоставен файл, който съдържа списък с думи от речника.  
• Груба сила: Използвайки списък с речници, систематично опитва всички възможни комбинации за парола. Ако нападателят няма късмет, този процес може да отнеме известно време, особено за дълги пароли, които използват комбинация от букви, цифри и символи.
• Маса за дъга: Повечето бази данни съхраняват криптографски хеши на паролите на потребителите в база данни. Никой не може да определи паролата на потребителя, просто като погледне стойността, съхранявана в базата данни. Когато потребителят въведе своята парола, той се хешира и този изход се сравнява със запаметения запис за този потребител. Ако двата хеша съвпадат, се предоставя достъп. Хеш таблицата е вид референтна таблица, използвана от хакери. Тези предварително изчислени хешове за пароли се съхраняват в таблицата, за да се намали времето, необходимо за напукване на парола. Масите с дъгата отиват крачка напред, като намаляват размера на хеш таблицата, което ги прави по-ефективни. ”  

THC Hydra

THC Hydra е хакерски инструмент за мрежово влизане, който използва речник или груби атаки, за да опита различни комбинации от пароли и вход срещу страница за вход.  

Pro:

• Поддържа широк набор от протоколи, включително поща (POP3, IMAP и т.н.), LDAP, SMB, VNC и SSH
• Поддържа повечето основни платформи

железен лост

Брутален инструмент за атака, който може да се използва по време на тест за проникване.

Pro:

• Crowbar може да използва SSH ключове вместо типичната комбинация от потребителско име и парола

Con:

• Само команден ред

Джон Изкормвача

Използва техниката за атака на речника. Това е добър всеобхват, включващ набор от различни комбинации за пропукване на пароли.

Pro:

• Възможност за автоматично откриване на типове хеширане на пароли
• Поддържа повечето основни платформи

Ophcrack

Windows паролата за разбиване на пароли въз основа на дъгови маси.

Pro:

• Включва брутален модул за прости пароли
• Поддържа повечето основни платформи

WordPress инструменти за сигурност

Специализирани инструменти за сигурност за уебсайтове на WordPress могат да бъдат намерени на wordpress.org. WordPress е толкова популярен, че има много отзиви за плъгини, като предоставя доста обективен преглед на функциите на инструмента. Нека разгледаме няколко от най-популярните предложения.

WordFence

Включва сигурност за вход; Функции за блокиране на IP; сканиране за сигурност за злонамерен софтуер и „заден план“; защита на защитната стена; и широки възможности за мониторинг.

iThemes Security

Описан от разработчиците като приставка за сигурност # 1 WordPress. Прочетете обаче отрицателните отзиви, преди да изтеглите тази приставка. Един рецензент с орели посочи, че когато iThemes се оказаха компрометирани и впоследствие атакувани през 2016 г., те разположиха нова защитна стена на уебсайт от конкурентната Sucuri. Това има ли значение? Вие сте съдията.

Sucuri Security

Най-доброто нещо, което Sucuri Security е, че всички функции са безплатни. Премиумният плъгин е остарял през 2014 г. и всички основни функции бяха обединени в безплатния плъгин.

Онлайн инструменти за сканиране на уебсайтове

Онлайн безплатните инструменти са бързи и лесни за използване. Въпреки че не е гарантирано категоричното идентифициране на уязвимостите на уебсайта ви, те могат да ви помогнат да определите области, които се нуждаят от допълнително проучване.

Sucuri

Въведете адреса на вашия уебсайт за безплатно обобщение на потенциалните уязвимости на уебсайта. Проверки за известен злонамерен софтуер, статус в черни списъци, грешки в уебсайта и остарял софтуер.

Pro:

• Не е необходимо да въвеждате имейл адреса си, за да получавате резултати

WP проверка

Включва изчерпателен списък с проблеми с уебсайта, включително производителност, SEO и сигурност.

Pro:

• Предоставя повече информация от други инструменти. Отнема малко повече време за сканиране (но това е добре, нали?)
• Няма нужда да въвеждате своя имейл адрес, но можете да поискате резултатите да ви бъдат изпращани по имейл

Con:

• Трябва да се регистрирате за 30-дневен безплатен пробен период, за да научите как да коригирате сериозни проблеми
• Ограничено до едно сканиране на ден

Тест на SSL сървъра на Qualys

Извършва задълбочен анализ на конфигурацията на SSL уеб сървърите.

Pro:

• Няма нужда да се регистрирате
• Предоставя изчерпателен списък на проблемите със SSL за остаряване и съвместимост

Уеб инспектор

Сканира уеб страница, за да види дали е злонамерена или не.

Con:

• Ще сканира само една страница наведнъж

ASafaWeb

Не се опитва да атакува последователности или друга злонамерена дейност; той просто отправя някои доброкачествени искания, за да види как реагира сайтът.

Pro:

• ASafaWeb разполага със специализиран не толкова безопасен сайт, предназначен само за демонстрационни цели в notasafaweb.apphb.com, който можете да сканирате и преглеждате резултатите

SecurityHeaders.io

Този безплатен инструмент тества заглавките на уебсайтове. Според разработчика заглавките на отговорите на HTTP, които този сайт анализира, осигуряват огромни нива на защита. Например Политиката за сигурност на съдържанието (CSP) е ефективна мярка за защита на вашия сайт от XSS атаки. Чрез бели източници на одобрено съдържание можете да попречите на браузъра да зарежда злонамерени активи.

Pro:

• Бързо и предоставя пълно описание на липсващите заглавки и как да отстраните всички проблеми

Къде до следващия?

Посетете уебсайта за оценка на уязвимостта на уеб приложението (wavsep). Wavsep е платформа за оценка, която съдържа колекция от уникални уязвими уеб страници, които могат да бъдат използвани за тестване на различните свойства на скенерите за уеб приложения. Можете да разгледате анализите на това как различни скенери, безплатни и търговски, тествани срещу wavsep тук. Резултатите показват колко точни са тези скенери при идентифицирането на често срещаните уязвимости на уебсайта и колко лъжливи положителни резултати са изброени в тестовете за сравнение. На сайта на Wavsep ще намерите много от безплатните инструменти, споменати в тази публикация.

Щастливо тестване!

„Крекери“ от elhombredenegro, лицензирани по CC BY 2.0