top 4 open source security testing tools test web application
Најпопуларнији алати за тестирање безбедности отвореног кода:
У овом дигиталном свету потреба за безбедносним тестирањем се повећава из дана у дан.
Захваљујући брзом повећању броја мрежних трансакција и активности које су корисници извршили, безбедносно тестирање је постало обавезно. Постоји неколико алата за испитивање безбедности који су доступни на тржишту, а неколико нових алата се свакодневно појављује.
Овај водич ће вам објаснити значење, потребу и сврху спровођења безбедносног тестирања у данашњем механизованом свету, заједно са најбољим алаткама отвореног кода доступним на тржишту за ваше лако разумевање.
Шта ћете научити:
- Шта је испитивање сигурности?
- Сврха испитивања сигурности
- Потреба за сигурносним испитивањем
- Најбољи алати отвореног кода за безбедносно тестирање
- Закључак
- Препоручено читање
Шта је испитивање сигурности?
Испитивање сигурности се врши како би се осигурало да су подаци у информационом систему заштићени и да им неовлашћени корисници не могу приступити. Штити апликације од озбиљног малвера и других непредвиђених претњи које могу да га сруше.
Испитивање сигурности помаже у откривању свих рупа и слабости система у самој почетној фази. То се ради како би се тестирало да ли апликација кодира сигурносни код или не и да ли јој неовлашћени корисници могу приступити.
Испитивање сигурности углавном покрива доња критична подручја:
- Аутентикација
- Овлашћење
- Доступност
- Повјерљивост
- Интегритет
- Нерегирање
Сврха испитивања сигурности
Следеће су главне сврхе извођења испитивања безбедности:
- Примарна сврха безбедносног тестирања је да се идентификује цурење сигурности и поправи у самој почетној фази.
- Испитивање сигурности помаже у оцењивању стабилности тренутног система и такође помаже да се дуже стоји на тржишту.
Следећа сигурносна разматрања треба обавити током сваке фазе развој софтвера Животни циклус:
Потреба за сигурносним испитивањем
Сигурносно тестирање помаже да се избегну:
- Губитак поверења купаца.
- Губитак важних информација.
- Крађа информација од стране неовлашћеног корисника.
- Неконзистентне перформансе веб странице.
- Неочекивани слом.
- Додатни трошкови потребни за поправак веб локација након напада.
Најбољи алати отвореног кода за безбедносно тестирање
# 1) Ацунетик
Ацунетик онлине је врхунски алат за тестирање безбедности који вреди испробати. Пробну верзију за Ацунетик можете добити овде.
Ацунетик Онлине укључује потпуно аутоматизовани мрежни скенер рањивости који открива и извештава о преко 50 000 познатих мрежних рањивости и погрешних конфигурација.
Открива отворене портове и покренуте услуге; процењује сигурност рутера, заштитног зида, прекидача и уравнотеживача оптерећења; тестови за слабе лозинке, пренос ДНС зоне, лоше конфигурисане проки сервере, слабе низове СНМП заједнице и ТЛС / ССЛ шифре, између осталог.
Интегрише се са Ацунетик Онлине да би пружио свеобухватну ревизију безбедности периметра мреже поврх ревизије Ацунетик веб апликација.
=> Посетите званичну веб страницу Ацунетик-а овде# 2) Мрежни паркер
Нетспаркер је потпуно прецизан аутоматизовани скенер који ће идентификовати рањивости као што су СКЛ Ињецтион и Цросс-сите Сцриптинг у веб апликацијама и веб АПИ-има, укључујући оне развијене помоћу ЦМС-а отвореног кода.
Нетспаркер јединствено верификује идентификоване рањивости доказујући да су стварне, а не лажно позитивне, тако да не морате трошити сате ручно верификујући идентификоване рањивости када се скенирање заврши. Доступан је као Виндовс софтвер и услуга на мрежи.
=> Посетите званичну веб страницу Нетспаркер-а# 3) ЗЕД нападачки прокси (ЗАП)
То је алат отвореног кода који је посебно дизајниран да помогне стручњацима за безбедност да открију сигурносне пропусте присутне у веб апликацијама. Развијен је за покретање на Виндовс, Уник / Линук и Мацинтосх платформама. Може се користити као скенер / филтер веб странице.
Кључне карактеристике:
- Интерцептинг Проки
- Пасивно скенирање
- Аутоматски скенер
- АПИ заснован на РЕСТ-у
Отворени пројекат заштите веб апликација (ОВАСП)
Апликација је посвећена пружању информација о сигурности апликације.
ОВАСП-ових 10 највећих безбедносних ризика за веб апликације, који се често налазе у веб апликацијама, су Фунцт Аццесс Цонтрол, СКЛ Ињецтион, Брокен Аутх / Сессион, Дирецт Објецт Реф, Сецурити Мисцонфиг, Цросс-Сите Рекуест Фалсифф, Рањиве компоненте, Цросс-Сите Сцриптинг, Невалидисана преусмеравања и излагање података.
Ових десет највећих ризика учиниће апликацију штетном јер могу дозволити крађу података или у потпуности преузети ваше веб сервере.
ОВАСП можемо извршити користећи ГУИ као и командну линију:
- Наредба за покретање ОВАСП-а кроз ЦЛИ - зап-цли –зап-патх “+ ЕВЦонфиг.ЗАП_ПАТХ +” брзо скенирање-самостални –спидер -р -с ксс хттп: // ”+ ЕВЦонфиг.ЕВ_1_ИП +” -л Информативни.
- Кораци за покретање ОВАСП-а из ГУИ-а:
- Подесите локални прокси у прегледачу и снимите странице.
- Када се снимање заврши, кликните десним тастером миша на везу у алату ОВАСП, а затим кликните на „активно скенирање“.
- По завршетку скенирања преузмите извештај у .хтмл формату.
Остале опције за извршавање ОВАСП-а:
- Подесите локални прокси у прегледачу.
- Унесите УРЛ у оквир за текст „УРЛ то напада“, а затим кликните на дугме „Аттацк“.
- На левој страни екрана погледајте скенирани садржај мапе сајта.
- На дну ћете видети захтев за преглед, одговор и тежину грешке.
Снимак екрана ГУИ:
Преузимање ЗЕД нападачки прокси (ЗАП)
# 4) Бурп суите
То је алат који се користи за тестирање безбедности веб апликација. Има професионална издања као и издања у заједници. Са преко 100 унапред дефинисаних услова рањивости који осигуравају сигурност примене, Бурп суите примењује ове предефинисане услове да би открио рањивости.
Покривеност:
Више од 100 генеричких рањивости као што су СКЛ убризгавање, скриптирање на више локација (КССС), убризгавање Кспатх ... итд. су наступали у апликацији. Скенирање се може изводити на различитом нивоу брзине, брзо или нормално. Помоћу ове алатке можемо скенирати целу апликацију или одређену грану веб локације или појединачни УРЛ.
Јасна презентација рањивости:
Бурп суите представља резултат у приказу стабла. Одабиром гране или чвора можемо се детаљно анализирати до појединих ставки. Скенирани резултат има црвену индикацију ако се пронађе било која рањивост.
Рањивости су означене самопоуздањем и озбиљношћу за лако доношење одлука. Доступна су детаљна прилагођена упутства за све пријављене рањивости са потпуним описом проблема, типом поузданости, тежином проблема и путањом датотеке. Могу се преузети ХТМЛ извештаји са откривеним рањивостима.
Преузимање линк
# 5) СонарКубе
То је алат отвореног кода који се користи за мерење квалитета изворног кода.
Иако написан на Јави, може анализирати преко двадесет различитих програмских језика. Може се лако интегрисати са алаткама за континуирану интеграцију попут Јенкинс сервера итд. Резултати ће се на сервер СонарКубе попунити са „зеленим“ и „црвеним лампама“.
Можете погледати лепе карте и листе издатака на нивоу пројекта. Можемо га позвати из ГУИ-ја, као и из командне линије.
Упутства:
- Да бисте извршили скенирање кода, преузмите СонарКубе Руннер на мрежи и отпакујте га.
- Сачувајте ову преузету датотеку у основном директоријуму вашег пројекта.
- Поставите конфигурацију у датотеку .проперти.
- Извршите скрипту `сонар-руннер` /` сонар-руннтер.бат` у терминалу / конзоли.
Након успешног извршавања, СонарКубе директно отпрема резултат на ХТТП: Ип: 9000 веб сервер, Коришћењем ове УРЛ адресе можемо видети детаљан резултат са многим класификацијама.
Пројектна почетна страница:
Овај алат класификује грешке према различитим условима попут грешака, рањивости, мириса кода и дуплицирања кода.
Листа издања:
Бићемо преусмерени на страницу листе проблема ако кликнемо на број грешака на контролној табли пројекта. Грешке ће бити присутне са факторима као што су озбиљност, статус, прималац, пријављено време и време потребно за решавање проблема.
Откривање шкакљивих проблема:
Код издања ће бити означен црвеном линијом иу близини ћемо наћи предлоге за решавање проблема. Ти предлози ће заиста помоћи да проблем брзо решите.
(Белешка:Кликните на доњу слику за увећани приказ)
Интеграција са Јенкинс-ом:
Јенкинс има засебну додатну компоненту за рад сонарног скенера, што ће отпремити резултат на сервер сонаркубе након завршетка тестирања.
Преузимање линк
# 6) Клоцворк
То је анализа кода алат који се користи за идентификовање проблема са сигурношћу, сигурношћу и поузданошћу програмских језика као што су Ц, Ц ++, Јава и Ц #. Можемо га лако интегрисати са алатима за континуирану интеграцију попут Јенкинса, а такође можемо покретати грешке у Јири приликом сусрета са новим проблемима.
Резултат скенираног пројекта:
Испис резултата може се извршити помоћу алата. На почетној страници можемо прегледати све скениране пројекте са бројем издања „нови“ и „постојећи“. Опсег и однос броја издања можете погледати кликом на икону „Пријави“.
(Белешка:Кликните на доњу слику за увећани приказ)
Детаљан број:
Резултат можемо филтрирати уносом различитих услова за претрагу у поље за претрагу „претрага“. Питања су представљена у областима озбиљности, стања, статуса и таксономије. Кликом на издање можемо пронаћи линију издања.
(Белешка:Кликните на доњу слику за увећани приказ)
Означи код издања:
За брзу идентификацију, Клоцворк истиче проблем покренут „линијом кода“, наводи узрок проблема и предлаже неколико мера за превазилажење истог.
Извоз у Јира:
Јира можемо директно подићи кликом на дугме „Извези у Јира“ са клоцворк сервера.
Интеграција са Јенкинс-ом:
Јенкинс има додатак за интеграцију са клоцворк-ом. Прво, морамо да конфигуришемо детаље о клоцворк-у на страници за подешавање Јенкинс-а, а након тога Јенкинс ће се побринути за отпремање извештаја на клоцворк сервер када се изврши извршење.
који је најбољи бесплатни иоутубе довнлоадер
Јенкинс-ова конфигурација за Клоцворк:
Преузимање линк .
Закључак
Надам се да бисте имали јасну представу о значењу Безбедносног тестирања заједно са најбољим сигурносним алатима отвореног кода.
Стога, ако се упуштате у безбедносно тестирање, обавезно пропустите ове критичне алате отвореног кода како би ваше апликације биле сигурне.
=> Контактирајте нас да предложим списак овде.Препоручено читање
- Тестирање мрежне сигурности и најбољи алати мрежне сигурности
- Водич за тестирање безбедности веб апликација
- 10 најбољих алата за тестирање безбедности мобилних апликација у 2021. години
- 19 Моћни алати за испитивање пенетрације које су професионалци користили 2021. године
- Ацунетик Веб Вулнерабилити Сцаннер (ВВС) Алат за тестирање безбедности (Практични преглед)
- Како извршити тестирање сигурности веб апликација помоћу АппТрана
- Смернице за тестирање безбедности мобилне апликације
- Испитивање сигурности (Комплетан водич)
- 30 водећих питања и одговора за испитивање безбедности
- Врх 4 алата за тестирање безбедности отвореног кода за тестирање веб апликација