30+ besplatnih alata za poboljšanje sigurnosti vaše web stranice i posjetitelja

Besplatni alati za sigurnost web stranica

Napadi na elektronsku mrežu svakodnevna su pojava, a popratni troškovi za organizacije eskaliraju. No, možete ublažiti cyber katastrofu besplatnim alatima za sigurnost web mjesta koji će vam pomoći u prepoznavanju ranjivosti web mjesta i zaštititi posjetitelje, točnije… sigurnije

Moglo bi se pomisliti da velika poduzeća imaju sredstva i priliku da prate svoje aplikacije za ranjivost web stranica. Ali, naizgled nije. Samo nekoliko primjera:

  • Povreda Yahooa koja se razbila ego 2013. dogodila se kao rezultat napada falsifikovanja kolačića koji je hakerima omogućio autentifikaciju kao i svaki drugi korisnik bez zaporke. Analitičari tvrde da je Yahoo mogao spriječiti štetu da je poduzeo brže akcije protiv uljeza.
  • Naslov napada na Panama Papers bio je rezultat najmanje dva propusta za ažuriranje softvera:
    • Zastarjela verzija za dodatak za njihov slider na WordPressu
    • Trogodišnja verzija Drupala koja je sadržavala nekoliko poznatih ranjivosti
  • Trebalo je 17-godišnjem programeru da istakne krivotvorenje internetskih stranica na Flickr-u. Jednom kad je obaviješten, trebalo mu je samo 12 sati da popravi kvar.

Vidi također: Najveća kršenja podataka u povijesti

Iako nijedan sigurnosni sustav - pa čak ni kućni sigurnosni - nije siguran, redovita skeniranja web stranica mogu otići dug put prema zaštiti od oportunističkih napada na vašu virtualnu imovinu. Uzmi American Fuzzy Lop (AFL), fuzzer otvorenog koda koji je razvio Michał Zalewski iz Googlea. To je pomoglo u pronalaženju ranjivosti u raznim popularnim web aplikacijama, uključujući Firefox, Flash, LibreOffice, Internet Explorer i Apple Safari. 

Savjeti za upotrebu besplatnih alata za sigurnost web stranica 

Mnogi ovdje pregledani besplatni sigurnosni alati imaju slične značajke i funkcionalnosti. Često se radi o usporedbi jabuka s kruškama. Bez uvrede do vrhunskog proizvođača sigurnosti Sucuri, ali čak i oni imaju poteškoće u razlikovanju proizvoda od ostalih:

„Nekoliko drugih sigurnosnih dodataka pružaju značajke praćenja aktivnosti, ali neke ih dobro rade […] Smanjili smo ključne značajke za koje smatramo da se najviše odnose na vlasnika bilo koje web lokacije.“

Iz tog razloga kategorizirali smo ove alate i zabilježili ključne prednosti i nedostatke svakog od njih. Neke se kategorije preklapaju; ponajviše alati za ispitivanje ranjivosti i penetracijsko testiranje.

Primijetit ćete da popis besplatnih alata sadrži neke koji se koriste posebno za skeniranje web aplikacija. Kakva je razlika između web stranice i aplikacije? Opširni dugi odgovor daje Ben Shapiro iz tvrtke Segue Technologies. Ako želite kratki odgovor, stackoverflow ga sažeto iznosi:

„[Web stranica] je zbirka dokumenata kojima se pristupa putem interneta putem web preglednika. Web stranice također mogu sadržavati web aplikacije koje omogućuju posjetiteljima ispunjavanje mrežnih zadataka poput: pretraživanja, pregledavanja, kupnje, odjave i plaćanja. "

Važno je da biste trebali testirati holistički pristup prilikom testiranja vaše web stranice. Ako ste u nedoumici, samo sve ispitajte. Besplatni sigurnosni alati za web stranicu čine vas jednostavnim i ne koštaju ništa osim vašeg vremena.

  • Razviti strategiju testa: Većina sigurnosnih alata na web mjestu najbolje funkcionira s drugim vrstama sigurnosnih alata. Dobar primjer je područje prodora ispitivanja. Administratori obično upotrebljavaju skenere ranjivosti prije upotrebe alata za testiranje prodora za određene ciljeve, npr. mrežni portovi ili aplikacije. Na primjer, Wireshark je mrežni analizator i alat za ispitivanje penetracije.

    Višenamjenski skener ranjivosti vjerojatno je najbolje mjesto za početak. Ali ako vas primarno zanima skeniranje koda programera, prijeđite na odjeljak za statički analizator izvornog koda u nastavku. Želite provjeriti koliko su sigurne zaporke? Pronašli smo nekoliko besplatnih alata za probijanje zaporki i za vas.

  • Jedna veličina ne odgovara svima: Svi besplatni sigurnosni alati za web stranice imaju prednosti i mane, a rijetko postoji rješenje za sve veličine. Na primjer, kao alat za analizu, najbolje ocijenjeni mrežni alat za skeniranje Wireshark radi isti posao kao i Fiddlerov alat, i to učinkovitije. No Wireshark ne može njušiti promet unutar istog stroja (localhost) na Windows-u. Ako trebate njuškati lokalni promet u sustavu Windows, morate koristiti Fiddler.
  • Analiza rezultata: Ne vjerujte rezultatima jednog skeniranja! Testirali smo brojne skenere na sigurnim i nesigurnim mjestima i rezultati su bili izrazito različiti. To nas dovodi do lažnih pozitivnih rezultata. To može biti neugodno, ali imajte na umu da su bolji od lažnih negativa. Nešto tako jednostavno kao što je promjena konfiguracije ili ažuriranje softvera moglo pokrenuti upozorenje koje treba provjeriti.
  • Besplatna podrška:  Ako želite koristiti besplatne alate, idealno biste trebali imati neka sigurnosna znanja jer većina besplatnih alata nema korisničku podršku; sami morate obaviti sav prljavi posao. Alternativno, posjetite The Joomla! Forum, Ubuntu Forums, ASP.NET, MBSA ili Bleeping Computer za postavljanje pitanja i traženje rješenja.
  • Neka bude svjež: Nedostatak besplatnih alata je taj što se oni možda neće redovito ažurirati najnovijim poznatim ranjivostima. Uvijek provjerite datum najnovije verzije koja je objavljena.

Što trebate znati o besplatnim alatima za sigurnost web mjesta

Metode ispitivanja

Postoje tri glavne vrste alata povezane s otkrivanjem ranjivosti aplikacija:

  • Ispitivanje crne kutije - Način testiranja softvera koji ispituje funkcionalnost aplikacije bez ispitivanja unutarnjih struktura. Ispitivanje je usredotočeno na ono što softver treba raditi, a ne kako. U ovu kategoriju su uključeni skeneri ranjivosti, sigurnosni skeneri web aplikacija i alati za ispitivanje prodora.
  • Ispitivanje bijele kutije - Način testiranja softvera koji se usredotočuje na unutarnje strukture aplikacije na razini izvornog koda, za razliku od njegove funkcionalnosti. Statički analizatori izvornog koda i alati za ispitivanje penetracije spadaju u ovu kategoriju. Uz penetracijsko testiranje, White Box testiranje, prema Wikipediji, odnosi se na metodologiju u kojoj haker White Hat ima puno znanje o napadnutom sustavu. Cilj proboja u Bijeloj kutiji je simulacija zlonamjernog insajdera koji ima znanje i možda osnovne vjerodajnice za ciljni sustav.
  • Ispitivanje sive kutije - U cyberspaceu je linija koja označava kategorije zamagljena, što je rodilo novi model testiranja koji kombinira elemente i crne i bijele kutije metoda.   

Uobičajene ranjivosti web stranica

Dobro uvaženi projekt sigurnosti web aplikacija (OWASP) otvorena je zajednica posvećena omogućavanju organizacijama da razvijaju, kupuju i održavaju aplikacije kojima se može vjerovati. Tijelo za standarde u nastajanju za sigurnost web aplikacija i godišnje objavljuje popis najboljih 10 ranjivosti web stranica za određenu godinu.

Za svaku ranjivost uključili smo vezu do web stranice koja će vam dati više tehničkih detalja ako vas zanima.

  1. SQL injekcija - tehnika ubrizgavanja koda u kojoj se zlonamjerni SQL izrazi ubacuju u unosno polje za izvršenje. Tehnika se koristi za manipuliranje (npr. Preuzimanje) ili oštećenje podataka. Cilja ciljeve korisnika koji nisu valjano provjereni i izbjegli. Napadač može iskoristiti ovu ranjivost zamjenom korisničkog unosa vlastitim naredbama koje se šalju izravno u bazu podataka. Primjer: Komisija za kršenje izbora na Filipinima.
  2. Prekinuta provjera autentifikacije i upravljanje sesijama - Funkcije aplikacije koje se odnose na provjeru autentičnosti i upravljanje sesijama često se pogrešno implementiraju, omogućujući napadačima kompromitiranje lozinki, ključevima ili žetonima sesija ili iskorištavanje drugih nedostataka implementacije kako bi preuzeli identitet drugih korisnika (privremeno ili trajno.) Primjer: Kršenje 17 medija.  
  3. Cross site scripting (XSS) - Ovaj napad dolazi u više okusa. U svojoj osnovnoj bazi, omogućuje napadačima da ubrizgavaju skripte na strani klijenta u web stranice koje pregledavaju drugi korisnici. Oslanja se na temeljni koncept povjerenja poznat kao politika istog podrijetla, koji kaže da ako se sadržaju s jedne web lokacije odobri pristup resursima na sustavu, tada će bilo koji sadržaj s te web stranice dijeliti ta dopuštenja. Nakon kršenja pouzdane web stranice, napadači mogu uključiti svoj zlonamjerni sadržaj u sadržaj koji se isporučuje na web mjestu klijenta i dobiti pristup njegovom informacijskom blagu. Primjer: EBay je pohranio XSS.
  4. Prekinuta kontrola pristupa - Napadači mogu koristiti propuštanja ili nedostatke u funkcijama upravljanja autentifikacijom ili sesijom upravljanja (npr. Izloženi računi, lozinke, ID-ove sesije) za lažno predstavljanje korisnika. Primjer: Kršenje pronalaska prijatelja za odrasle.
  5. Nedostaci sigurnosne konfiguracije - Rezultat je "pogrešnog sastavljanja zaštitnih mjera web aplikacije" ostavljajući probojnu sigurnosnu rupu na poslužitelju, bazi podataka, okviru ili kodu. Primjer: Kršenje meksičkih birača.
  6. Osjetljiva izloženost podataka - Mnogo web aplikacija i API-ja ne štiti ispravno osjetljive podatke, poput financijskih ili zdravstvenih podataka. Napadači mogu ukrasti ili izmijeniti slabo zaštićene podatke da bi izvršili prijevaru s kreditnim karticama, krađu identiteta ili druge zločine. Osjetljivi podaci zaslužuju dodatnu zaštitu poput šifriranja u mirovanju ili u tranzitu, kao i posebne mjere opreza pri razmjeni s preglednikom.. Primjer: Kršenje indijskog instituta za upravljanje.
  7. Nedovoljna zaštita od napada - Većini aplikacija i API-ja nedostaje osnovna sposobnost otkrivanja, sprečavanja i reagiranja na ručne i automatizirane napade. Zaštita od napada nadilazi osnovnu provjeru ulaza i uključuje automatsko otkrivanje, evidentiranje, reagiranje, pa čak i blokiranje pokušaja iskorištavanja. Vlasnici aplikacija također trebaju biti u mogućnosti brzo implementirati zakrpe kako bi se zaštitili od napada. Primjer: Tri kršenja.
  8. Krivotvorenje zahtjeva na različitim lokacijama (CSRF) - prisiljava krajnjeg korisnika na izvršavanje neželjenih radnji na web aplikaciji u kojoj su trenutno ovjereni bez njihovog znanja. Namicanjem korisnika na web mjesto pod kontrolom napadača haker može promijeniti zahtjeve korisnika na poslužitelju. Primjer: Facebook napad.
  9. Korištenje komponenti s poznatim ranjivostima - komponente, kao što su biblioteke, okviri i drugi softverski moduli rade s istim povlasticama kao i aplikacija. Ako se iskoristi ranjiva komponenta, takav napad može olakšati ozbiljan gubitak podataka ili preuzimanje poslužitelja. Aplikacije i API-ji koji koriste komponente s poznatim ranjivostima mogu oslabiti obranu aplikacija i omogućiti različite napade i utjecaje. Primjer: Kršenje Mossack Fonesca (Panama Papers).
  10. Premalo zaštićeni API-ji - moderne aplikacije često uključuju bogate klijentske aplikacije i API-je, poput JavaScripta u pregledniku i mobilnih aplikacija koje se povezuju na neki API (SOAP / XML, REST / JSON, RPC, GWT itd.). Ti su API-ji često nezaštićeni i mogu sadržavati brojne ranjivosti. Primjer: McDonalds curi.

Skeneri ranjivosti

Skener ranjivosti je specijalizirani softver koji skenira vašu mrežu, sustav ili poslužitelje kako bi utvrdio greške, sigurnosne rupe i nedostatke. To automatski testira sustav za znan ranjivosti. Prvo identificira otvorene portove; aktivne adrese i logotipi internetskog protokola (IP adrese); operativni sustavi, softver i aktivne usluge. Zatim uspoređuje podatke koje pronalazi s poznatim ranjivostima u svojoj bazi podataka ili bazi podataka trećih strana. Za čovjeka na ulici to djeluje mnogo na način na koji djeluje antivirusni softver u vrtu, ali je mnogo sofisticiraniji. Na primjer, najbolji skeneri ranjivosti dovoljno su pametni da uključuju komponente zakrpa i komponente za ispitivanje prodora. Postoji neko preklapanje između skenera ranjivosti i alata za ispitivanje penetracije. Potonji koriste ranjivosti koje su skeneri otkrili da bi izvršili kršenja zakona i dokazali sposobnost ugrožavanja ranjivosti. Slijede svi potpuno besplatni alati.   

Otvoreni sustav procjene ranjivosti (OpenVAS)

OpenVAS je sigurnosni komplet za skeniranje koji se sastoji od različitih usluga i alata. Skener ne radi na Windows strojevima, ali postoji klijent za Windows. Svakodnevno se ažurira sa 30000+ testova ranjivosti mreže (NVT). Alat je forsiran iz posljednje besplatne verzije Nessusa, drugog skenera ranjivosti, nakon što je postao vlasnički 2005. godine. Njemački savezni ured za sigurnost informacija (BSI) koristi OpenVAS kao dio svog sigurnosnog okvira informatičke sigurnosti.

Pro:

  • Velika baza podataka o ranjivim podacima
  • Mogućnost istodobnog pretraživanja
  • Planirana ispitivanja
  • Lažno pozitivno upravljanje
  • Besplatno za neograničene IP-ove
  • Dobar svestrani

Con:

  • Nije najlakši alat za instaliranje za novorođenčad
  • Glavna komponenta - motor za skeniranje - zahtijeva Linux

Microsoftov osnovni sigurnosni analizator (MBSA)

MBSA skenira Microsoftove radne površine i poslužitelje zbog nedostatka sigurnosnih ažuriranja, sigurnosnih zakrpa i uobičajenih pogrešnih konfiguracija sigurnosti.

Pro:

  • Korisničko sučelje omogućuje vam skeniranje lokalnih ili udaljenih strojeva; odaberite jedan stroj za skeniranje ili odaberite cijelu domenu ili odredite raspon IP adresa; i odaberite točno ono što želite skenirati, npr. slabe lozinke ili ažuriranja za Windows
  • Daje specifične sanacijske prijedloge kada se pronađu ranjivosti
  • Aktivni forum pruža kvalitetnu podršku

Con:

  • Ne skenira softver koji nije Microsoftov
  • Ne skenira zbog mrežnih ranjivosti

Nexpose Community Edition

Namijenjeno malim tvrtkama, kao i pojedincima koji koriste više računala spojenih na lokalnu mrežu, Nexpose može skenirati mreže, operacijske sustave, web aplikacije, baze podataka i virtualno okruženje. Integrira se s popularnim Metasploit Framework-om, alatom za razvoj i izvršavanje eksploatacijskog koda na udaljenom ciljnom stroju. Uključena je vrlo aktivna zajednica ispitivača prodora i sigurnosnih istraživača koji pokreću razvoj ovih eksploatacija koje se zatim pretvaraju u definicije ranjivosti..

Pro:

  • Sadrži lijepu opciju za postavljanje pravila za definiranje i praćenje potrebnih standarda usklađenosti
  • Omogućuje detaljne vizualizacije skeniranih podataka
  • Može se instalirati na Windows, Linux ili virtualne strojeve

Con:

  • Besplatna verzija ograničena je na 32 IP-a odjednom

SecureCheq

TripWire naziva svoj SecureCheq uslužni program za procjenu konfiguracije. Testira oko dvije desete kritične, ali uobičajene pogreške u konfiguraciji koje se odnose na otvrdnjavanje OS-a, zaštitu podataka, sigurnost komunikacije, aktivnost korisničkih računa i evidentiranje revizije. Ovaj će besplatni alat najbolje funkcionirati u kombinaciji s robusnijim skenerom, poput Microsoftovog sigurnosnog analizatora Baseline (MBSA).

Pro:  

  • Jednostavan za upotrebu za početnike
  • Pruža detaljne savjete o sanaciji i popravcima

Con:

  • Samo lokalno skeniranje na Microsoftovim strojevima
  • Besplatna inačica ovog alata pruža samo oko četvrtine postavki plaćene verzije  

Qualys FreeScan

Lagan skener koji se koristi za procjenu stanja ranjivosti vaše web stranice i pomaže vam da donesete odluku o tome koja će vam zaštita trebati naprijed. Pouzdano ime, Qualys je prva tvrtka koja je dostavljala rješenja za upravljanje ranjivošću kao aplikacije putem weba koristeći model "softvera kao usluge" (SaaS).

Pro:

  • Perimetrično skeniranje Skeniranje web aplikacija
  • Otkrivanje zlonamjernog softvera

Con:

  • Ograničena na deset jedinstvenih sigurnosnih skeniranja internetskih sredstava

Gramžljivac

Jednostavan i lagan alat koji skenira osnovne ranjivosti web aplikacija. Namijenjen je programerima koji žele prilagoditi male skeniranja tijekom postupka kodiranja.

Pro:

  • Korisno za male web stranice

Con:

  • Nema GUI-ja
  • Izvješća samo u XML-u
  • Ima tendenciju da se malo uspori

Sjevernoamerički jelen

Provodi Black Box testiranje web aplikacija. Ne pregledava izvorni kôd aplikacije, ali će skenirati web stranice implementirane aplikacije, tražeći skripte i obrasce u koje može unijeti podatke. Oružani ovim podacima djeluje poput rasplinjača, ubrizgava korisni teret da vidi je li skriptu ranjiva.

Pro:

  • Stvara izvješća o ranjivosti u različitim formatima (npr. HTML, XML, JSON, TXT)
  • Može zaustaviti i nastaviti skeniranje ili napad
  • Može istaknuti ranjivosti s bojom u terminalu

Con:

  • Sučelje naredbenog retka
  • Može dati više lažnih pozitivnih rezultata

w3af

Ovo je okvir napada i revizije web aplikacija koji se može koristiti u kombinaciji s alatima za prodiranje penetracije. Sponzori uključuju Openware (sada Globant), Cybsec, Bonsai i Rapid7. Tvrtka je entuzijastični suradnik na T2 Infosec konferencijama, posvećen onima koji su zainteresirani za tehničke aspekte informacijske sigurnosti..

Pro:

  • Popularna, dobro podržana aplikacija otvorenog koda
  • GUI koji se jednostavno koristi
  • Lako se izvlači
  • Identificira preko 200 ranjivosti
  • Koristi w3af dodatke, koji su dijelovi Python koda koji proširuju funkcionalnost okvira pružajući nove načine za izdvajanje URL-ova ili pronalaženje ranjivosti
  • Kompatibilan je sa svim platformama koje podržava Python

Con:

  • Podržava Windows, ali ne i službeno

Softver za ispitivanje prodora

Prodoran test (olovka test) je ovlašteni simulirani napad na računalni sustav koji traži nepoznate sigurnosne slabosti. Alat za olovku za testiranje u biti oponaša hakera, a krajnji je cilj testiranje obrambenih sposobnosti organizacije protiv simuliranog napada. Tijekom ispitivanja olovkom koristi se mješavina automatiziranih skeniranja i tehnika ručne eksploatacije. Na primjer, automatizirani alat poput Nmap, koji pruža osnovno otkrivanje mreže, može se koristiti u okviru eksploatacije (npr. Metasploit).

Testiranje olovkom zahtijeva visoko specijalizirane vještine. Za početak, PentesterLabs nudi besplatne vježbe treninga, a ispod ćete pronaći popis otvorenog koda i besplatnih alata za početak rada.

Zed Attack proxy (ZAP)

Integrirani alat za testiranje olovke za pronalaženje ranjivosti u web aplikacijama. On funkcionira kao proxy između korisničkog web preglednika i aplikacije kako bi omogućio automatsko i ručno testiranje sigurnosti web aplikacija. Može pomoći programerima da automatski pronađu sigurnosne ranjivosti u web aplikacijama dok ih razvijaju. Također se koriste pomoću testera za olovke za ručno sigurnosno testiranje unosom URL-a za obavljanje skeniranja ili korištenjem alata kao proxy presretanja. Između 2013. i 2016., Zap je svake godine proglašen bilo prvim ili drugim u godišnjoj anketi o najboljim besplatnim / otvorenim izvorima ToolsWatch godišnje.

Pro:

  • Potpuno besplatno
  • Jednostavan za instalaciju
  • Uobičajeno se izvodi kao interaktivno korisničko sučelje i djeluje kao proxy presretanja, tako da zahtjeve možete dinamički mijenjati

Con:

  • Primarno je dizajniran kako bi vam pomogao da ručno pronađete sigurnosne ranjivosti
  • Nije baš namijenjeno pokretanju kao čisto automatizirani skener

Violinista

Ovaj je alat kategoriziran kao aplikacija proxy poslužitelja. Prvenstveno se koristi za presretanje i dešifriranje HTTPS prometa. Korisnici se mogu kretati i pregledavati taj promet radi prepoznavanja ranjivosti u aplikaciji. Watcher je Fiddlerov dodatak, osmišljen da pomogne ispitivačima prodora pri pasivnom pronalaženju ranjivosti web aplikacija.

profesionalac:

  • Otklanjanje pogrešaka u prometu s PC, Mac ili Linux sustava i mobilnih uređaja (iOS i Android)
  • Može zarobiti lokalni promet koristeći ime stroja kao ime domaćina, a ne 'localhost'

Con:

  • Podržava se samo u sustavu Windows

Metasploit

Okvir koji omogućava ispitivačima olovaka pristup i izvršavanje dokazanih podviga, koji su pohranjeni u Metasploitovoj bazi podataka. Okvir ima najveću svjetsku bazu podataka s javnim provjerenim iskorištavanjima. Od osnutka se dosljedno svrstava među deset najboljih alata za sigurnost aplikacija. Meterpreter prikazuje rezultate nakon što je došlo do eksploatacije.

Pro:

  • Velika baza podataka za eksploatacije
  • Opsežna kolekcija alata za izvođenje testova

Con:

  • Sučelje naredbenog retka

Kali Linux

Kali Linux je vrhunski alat za uvredljivo testiranje olovke i jedan od najpopularnijih sigurnosnih okvira u industriji. Međutim, prema razvojnim programerima, "NE preporučuje se distribucija ako niste upoznati s Linuxom ili tražite opću namjenu distribucije radne površine za Linux, razvoj, web dizajn, igre itd."

Pro:

  • Uključuje više od 300 programa prodora i revizije sigurnosti

Con:

  • Neće raditi u VM-u ako ne koristite vanjski USB bežični ključ

Mrežni skeneri

Mrežni skeneri mapiraju cijelu vašu mrežu i određuju što je s njom povezano. Oni mogu tražiti host i otvorene portove i identificirati sve verzije softvera i hardvera koji se koriste. Pogledajte sljedeće besplatne alate.

Mrežni Mapper (NMap)

Koristi se za otkrivanje mreže i reviziju sigurnosti. Koristi sirove IP pakete na nove načine da utvrdi koji su domaćini dostupni na mreži, koje usluge nude, koji operativni sustavi pokreću i koju vrstu filtera / vatrozida paketa koriste. Može se koristiti za pružanje informacija za planiranje napada testiranja olovke. Zabavna činjenica: Nmap je (izgleda) prikazan u dvanaest filmova, uključujući The Matrix Reloaded, Die Hard 4, Girl With the Dragon Tattoo i The Bourne Ultimatum.

Pro:

  • Sadrži inačicu naredbenog retka i GUI
  • Radi na svim glavnim operativnim sustavima kao što su Windows, Linux i Mac OS X
  • Zenmap je službeni Nmap GUI koji početnicima olakšava početak rada

Con:

  • Nema skeniranja proxyja
  • Kao skener priključaka, može biti "glasan". Skeneri porta zahtijevaju veliko mrežnog prometa. Postoji inverzna veza između prikrivene brzine i brzine, tako da skeneri porta mogu usporiti mrežu i / ili se isticati na mreži poput poslovog slona u sobi, tj. Biti "glasni".

Wireshark

Mrežni protokol i analizator paketa podataka i alat za testiranje olovke sa snažnim sustavom filtriranja. Wireshark ima ogromnu vojsku stručnjaka za umrežavanje volontera širom svijeta.

Pro:

  • Omogućuje korisnicima da odrede koju vrstu prometa žele vidjeti, npr. samo TCP paketi
  • Može snimiti pakete s VLAN-a, Bluetooth-a, USB-a i drugih vrsta mrežnog prometa Dostupno za gotovo sve platforme, uključujući Linux, Windows, Mac, Solaris i OpenBSD
  • Snažne opcije filtra u GUI-ju koji se jednostavno koristi

Con:

  • Krivulja strmog učenja osim ako nemate razumijevanja za TCP / IP mreže

Statički analizatori izvornog koda

Analizatori statičkog koda automatski automatiziraju provjeru koda bez stvarnog izvršavanja koda. Budući da gledaju samo izvorni kôd aplikacije, ne morate postavljati cijeli svoj niz aplikacija da biste ih koristili. Ti su alati obično specifični za jezik i mogu pomoći programerima u prepoznavanju sigurnosnih problema. Ispitivanje jedinice i pregledi kodova nadopunjuju statičku analizu koda. Najveća mana ovih besplatnih alata je ta što često stvaraju mnoge lažne pozitivne rezultate.

VisualCodeGrepper

Radi s C++, C #, VB, PHP, PL / SQL, i Java.

Pro:

  • Traži specifična kršenja preporuka OWASP-a
  • Omogućuje prilagođene konfiguracije upita tako da možete dodati dodatne funkcije

Con:

  • Sadrži skup ranjivosti koje se ne mogu mijenjati

Lagana analiza za sigurnost programa u pomračenju (LAPSE +)

Dodatak Eclipse koji otkriva ranjivosti nepouzdanog ubrizgavanja podataka u sustavu Java EE aplikacije. Djeluje tražeći "sudoper ranjivosti" od izvora ranjivosti. Izvor ranjivosti odnosi se na injektiranje nepouzdanih podataka, npr. u parametrima HTTP zahtjeva ili kolačića. Izraz "sudoper" odnosi se na postupak izmjene podataka radi manipuliranja ponašanjem aplikacije, npr. HTML stranicu.

Pro:

  • Ispituje logiku provjere valjanosti bez sastavljanja koda

Con:

  • Ne prepoznaje pogreške u sastavljanju
  • Ograničeno na IDE Eclipse

Brakeman

ispituje Ruby na šine kodirati. Koriste ga Twitter, GitHub i Groupon.

Pro:

  • Jednostavno podešavanje i konfiguracija
  • Brza skeniranja

Con:

  • Može pokazati visoku stopu lažnih pozitivnih rezultata

RIP

Prema RIPS-u, "tokeniziranjem i raščlanjivanjem svih datoteka izvornog koda RIPS se može transformirati PHP izvornog koda u programski model i za otkrivanje osjetljivih ponora (potencijalno ranjivih funkcija) koji mogu biti oštećeni unosom korisnika (pod utjecajem zlonamjernog korisnika) tijekom protoka programa. Osim strukturiranog učinka pronađenih ranjivosti, RIPS nudi integrirani okvir za provjeru koda. "Godine 2016, prepisana verzija RIPS-a izašla je kao komercijalni proizvod RIPS Technologies, visokotehnološka tvrtka sa sjedištem u Njemačkoj.

Pro:

  • Jednostavno podešavanje i konfiguracija
  • Brza skeniranja

Con:

  • Besplatna verzija je ograničena i podržava samo 15 vrsta ranjivosti

FxCOP

Analizira upravljane sklopove koda (kôd koji cilja .NETO Okvirno uobičajeno vrijeme rada jezika.) Ovo je dobar primjer kako se koriste komplementarni alati u vašem okviru s alatima. Prema Excelu, FxCOP najbolje funkcionira u kombinaciji s alatom za analizu statičkog koda poput StyleCop-a jer oba alata imaju različite pristupe analizi koda. „StyleCop radi protiv izvornog koda C #, ali ne može analizirati VB.NET ili neki drugi izvorni kod .NET jezika. FxCop se pokreće protiv .NET sastavljenih binarnih datoteka, ali ne može analizirati izvorni kôd i aspekte poput pravilnog korištenja zagrade, bjeline ili komentara. "

Pro:

  • Metapodaci montaže rade s kodom stvorenim na bilo kojem .NET jeziku
  • Opsežan skup pravila koja su dostupna izvan okvira

Con:

  • Ograničeno na skupljanje metapodataka
  • Izrađuje samo jednu vrstu izvještaja

Bandit

Bandit je sigurnosni veznik (program koji skenira izvorni kôd i označava bilo koje konstrukcije koje su vjerojatno greške) za Python izvorni kôd, koristeći ast modul iz Python-ove standardne biblioteke. Modul ast koristi se za pretvaranje izvornog koda u raščlanjeno stablo Python sintaksnih čvorova. Bandit omogućava korisnicima definiranje prilagođenih testova koji se izvode na tim čvorovima.

Pro:

  • Izuzetno prilagodljiv, na pr. mogu se isključiti različiti dodaci ili se određeni direktoriji mogu isključiti iz skeniranja
  • Korisnici također mogu pisati vlastite prilagođene dodatke

Con:

  • Nema GUI-ja

Alati za lemljenje

Fuzz testiranje (fuzzing) koristi se za prepoznavanje pogrešaka kodiranja i sigurnosnih ranjivosti. To uključuje unošenje velike količine slučajnih podataka u pokušaju rušenja aplikacije ili mreže.

Američki neizraziti lop (AFL)

Alat za fuzz testiranje uz otvoreni izvor i pokrovitelj koji je razvio Michał Zalewski iz Googlea. Svoj alat opisuje kao "grubi zamah u kombinaciji s izuzetno jednostavnim, ali čvrstim genetičkim algoritmom vođenim instrumentima." AFL je pronašao ranjivosti u raznim popularnim web aplikacijama, uključujući Firefox, Flash, LibreOffice, Internet Explorer i Apple Safari.

Pro:  

  • Ono što Zalewski naziva "korisničkim sučeljem u retro stilu"
  • Dokazana učinkovitost

Con:  

  • Morate biti malo retro sami da biste istinski cijenili (staromodni) GUI

Sulley Fuzzing Framework

Popularni motor za raspaljivanje i okvir za ispitivanje nejasnoće koji se sastoji od više komponenata. Ono što ga razlikuje od ostalih fuzera je to što nije isključivo alat za generiranje podataka. Otkriva, prati i kategorizira otkrivene pogreške; može paralelno puknuti, znatno povećavajući brzinu ispitivanja; i može automatski odrediti koji jedinstveni slijed testnih slučajeva pokreće pogreške. Boofuzz ​​je vilica Sulley fuzzing okvira.  

Pro:  

  • Potpuno automatizirano - nakon što prouzrokuje kvar, može automatski vratiti sustav na normalno stanje, a zatim nastaviti s iskrivljavanjem novog testnog slučaja

Con:

  • Nema nedavnih ažuriranja verzija

Alati za probijanje lozinke

Ovi besplatni alati koriste sigurnosni administratori za pronalaženje slabih i ranjivih lozinki koje bi haker mogao lako ugroziti. Tri najčešća napada lozinkom su:

  • Rječnik: Koristi isporučenu datoteku koja sadrži popis riječi iz rječnika.  
  • Sirova snaga: Koristeći popis rječnika, sustavno pokušava sve moguće kombinacije zaporke. Ako napadač nema sreće, ovaj postupak bi mogao potrajati neko vrijeme, posebno za duge lozinke koje koriste kombinaciju slova, brojeva i simbola.
  • Rainbow stol: Većina baza podataka u bazu podataka pohranjuje kriptografske zbirke lozinki korisnika. Nitko ne može odrediti korisničku lozinku jednostavnim gledanjem vrijednosti pohranjene u bazi podataka. Kad korisnik unese svoju lozinku, hešira se i taj se izlaz uspoređuje sa spremljenim unosom za tog korisnika. Ako se dva heševa podudaraju, odobren je pristup. Hash tablica je vrsta referentne tablice koju koriste hakeri. Ove unaprijed izračunate hash-ove lozinke pohranjuju se u tablici kako bi se smanjilo trajanje vremena potrebno za proboj lozinke. Rainbow tablice idu korak dalje smanjujući veličinu hash tablice, čineći ih efikasnijima. "  

THC Hydra

THC Hydra mrežni je alat za hakiranje mreže koji koristi rječnik ili brutalne napade za isprobavanje različitih kombinacija lozinki i prijava na stranici za prijavu.  

Pro:

  • Podržava širok skup protokola, uključujući poštu (POP3, IMAP, itd.), LDAP, SMB, VNC i SSH
  • Podržava većinu glavnih platformi

Željezna poluga

Bruta-force napad alat koji se može koristiti tijekom ispitivanja penetracije.

Pro:

  • Crowbar može koristiti SSH tipke umjesto tipične kombinacije korisničkog imena i lozinke

Con:

  • Samo naredbeni redak

John the Ripper

Koristi se tehnika napada rječnika. Dobar je svestrani paket koji sadrži komplet raznih kombinacija probijanja lozinki.

Pro:

  • Sposobnost automatskog otkrivanja vrsta hash-a zaporki
  • Podržava većinu glavnih platformi

Ophcrack

Prozor za lozinku za Windows na temelju tablica od mavrica.

Pro:

  • Sadrži modul brute-force za jednostavne lozinke
  • Podržava većinu glavnih platformi

WordPress alati za sigurnost

Specijalizirani sigurnosni alati za WordPress web stranice mogu se naći na wordpress.org. WordPress je toliko popularan da ima mnoštvo pregleda dodataka, a pruža prilično objektivan pregled karakteristika alata. Pogledajmo nekoliko najpopularnijih ponuda.

WordFence

Uključuje sigurnost prijave; IP mogućnosti blokiranja; sigurnosno skeniranje zlonamjernog softvera i „na otvorenom“; zaštita vatrozida; i opsežne mogućnosti praćenja.

iThemes Sigurnost

Programeri su opisali sigurnosni dodatak # 1 WordPress. Međutim, pročitajte negativne kritike prije nego što preuzmete ovaj dodatak. Jedan recenzent s orlovskim očima istaknuo je da su se, kada su se iThemes 2016. kompromitirali i kasnije napali, ugradili novi vatrozid web stranice suparnika Sucuri. Je li to važno? Ti ćeš biti sudac.

Sigurnost Sucuri

Najbolja stvar Sucuri sigurnosti je da su sve značajke besplatne. Premijski dodatak je zastario još 2014. godine i sve glavne značajke spojene su u besplatni dodatak.

Internetski alati za skeniranje web stranica

Besplatni internetski alati su brzi i jednostavni za upotrebu. Iako nije zajamčeno da će u potpunosti utvrditi ranjivosti vaše web stranice, oni vam mogu pomoći u određivanju područja koja trebaju daljnju istragu.

Sucuri

Unesite adresu svoje web lokacije za besplatan sažetak potencijalnih ranjivosti web mjesta. Provjerava poznate zlonamjerne programe, status na crnim popisima, pogreške na web-lokaciji i zastarjeli softver.

Pro:

  • Nema potrebe za unosom adrese e-pošte za dobivanje rezultata

Pregled WP-a

Sadrži opsežan popis problema s web stranicama, uključujući performanse, SEO i sigurnost.

Pro:

  • Pruža više informacija od ostalih alata. Potrebno je malo više vremena za skeniranje (ali to je dobro, zar ne?)
  • Ne morate unositi svoju adresu e-pošte, ali možete tražiti da vam se rezultati pošalju e-poštom

Con:

  • Morate se prijaviti za 30-dnevno besplatno probno razdoblje kako biste naučili riješiti ozbiljne probleme
  • Ograničeno na jedno skeniranje dnevno

Qualys test SSL servera

Obavlja dubinsku analizu konfiguracije SSL web poslužitelja.

Pro:

  • Nema potrebe za registracijom
  • Pruža opsežan popis problema sa zastarjelošću i kompatibilnošću s SSL-om

Web inspektor

Pregledava web stranicu da biste vidjeli je li zlonamjerna ili ne.

Con:

  • Odjednom će skenirati samo jednu stranicu

ASafaWeb

Ne pokušava izvršiti nikakve napadačke sekvence ili druge zloćudne aktivnosti; jednostavno postavlja neke benigne zahtjeve da vidi kako stranica reagira.

Pro:

  • ASafaWeb ima posvećenu, ne baš sigurnu web stranicu, isključivo za demo potrebe, na notasafaweb.apphb.com koju možete skenirati i pregledati rezultate

SecurityHeaders.io

Ovaj besplatni alat testira zaglavlja web stranica. Prema razvojnom programeru, zaglavlja HTTP odgovora koja ovo web mjesto analizira pružaju ogromne razine zaštite. Na primjer, politika sigurnosti sadržaja (CSP) učinkovita je mjera zaštite vaše web lokacije od XSS napada. Popisom dopuštenih izvora odobrenog sadržaja možete spriječiti preglednik da učita zloćudnu imovinu.

Pro:

  • Brzo i pruža potpuni opis zaglavlja koji nedostaju te kako riješiti sve probleme

Kamo dalje?

Posjetite web stranicu projekta procjene skenera ranjivosti web aplikacije (wavsep). Wavsep je platforma za procjenu koja sadrži zbirku jedinstvenih ranjivih web stranica koje se mogu koristiti za testiranje različitih svojstava skenera web aplikacija. Ovdje možete pogledati analize kako su različiti skeneri, besplatni i komercijalni, testirani na wavsep-u. Rezultati pokazuju koliko su ti skeneri precizni u prepoznavanju uobičajenih ranjivosti web mjesta i koliko su se lažnih pozitivnih rezultata pokazalo referentnim testovima. Na web stranici Wavsep naći ćete mnoge besplatne alate spomenute u ovom postu.

Sretno testiranje!

"Krekeri" tvrtke elhombredenegro licencirani pod CC BY 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

4 + 5 =

Adblock
detector