Uvod v orodja za varnostno testiranje

V teh dneh je varnost postala pomembna skrb. S povečanjem IT sektorja se dnevno začenja obilno število novih spletnih mest, zato se povečujejo nove metode vdora. Zelo pomembno je zaščititi spletno mesto in njegove podatke z zasebnimi podatki uporabnikov in organizacij, da pridejo do uhajanja ali dostopa za nepooblaščene uporabnike. Večina organizacij najame ljudi za varnostno testiranje svojega spletnega mesta, saj pomaga najti pomanjkljivosti in vrzeli na svojem spletnem mestu, preden jih sprosti v proizvodnem okolju. Na trgu za varnostno testiranje spletnih aplikacij so zdaj na voljo številna orodja, bodisi plačana, brezplačna, odprta koda.

Orodja za preizkušanje varnosti

Razumejmo si nekatera orodja za varnostno testiranje.

1. Netsparker

Netsparker je eno najboljših in natančnih orodij, ki se uporabljajo na trgu spleta
varnost aplikacij. Uporabil je neprebojno skeniranje za samodejno preverjanje lažnih pozitivnih rezultatov. Uporablja se za iskanje ranljivosti, kot sta vbrizgavanje SQL in skrivnostno skripta v spletnih aplikacijah. Zajema več kot 1000 ranljivosti in se enostavno integrira s katero koli aplikacijo CI / CD, v kateri je postopek iskanja ranljivosti popolnoma avtomatiziran in objavljen v sistemu za sledenje hroščev. Orodje je zelo enostavno nastaviti in uporabljati, na armaturni plošči pa prikazuje ranljivosti, ki jih je zelo enostavno brati in razumeti.

2. SonarQube

  • SonarQube je odprtokodno orodje za testiranje programske opreme, ki se uporablja za merjenje kakovosti kode in iskanje ranljivosti. Prav tako izpostavlja resne težave s pomnilnikom v kodi. SonarQube je napisan v Javi, vendar lahko dela analize z več kot 20 jeziki.
  • SonarQube je sposoben poiskati ranljivosti, kot so križanje med spletnimi stranmi, vbrizgavanje SQL, težave s pomnilnikom, delitev odziva HTTP itd. Znal je najti zapletene napake, kot so izjema ničelnega kazalca, logične napake itd. SonarQube se lahko enostavno integrira s katerim koli CI / CD prijava. Zagotavlja posebna vrata kakovosti, ki povejo kakovost celotne aplikacije, ali se lahko sprosti v proizvodnji ali ne.

3. W3af

W3af je eno izmed priljubljenih in odprtokodnih orodij za spletno varnost, ki je na voljo na trgu. Napisana je v Pythonu in zajema več kot 200 varnostnih vprašanj. Zajema vprašanja, kot so Blind SQL injekcija, Buffer Overflow, Cross-Site Scripting, CSRF itd.

W3af ponuja GUI za nove ljudi, medtem ko ima za strokovnjake tudi konzolni vmesnik. Uporabnikom ponuja fantastično podporo za preverjanje pristnosti in ponuja možnost beleženja izhoda v datoteko, e-pošto ali konzolo v skladu s posebnimi zahtevami.

4. ZED Attack Proxy (ZAP)

ZAP je odprtokodno orodje za varnostno testiranje, ki lahko deluje na več platformah. Napisana je v Javi in ​​zajema toliko ranljivosti varnosti. Zagotavlja GUI in ukazno vrstico, da olajša delo tako novim ljudem kot strokovnjakom. ZAP izpostavlja injekcije XSS, vbrizgavanje SQL, razkritje napak v aplikacijah, razkritje zasebnih IP itd. Ponuja aplikacijski skener, podporo za preverjanje pristnosti, podporo za spletno vtičnico, pajke AJAX itd. Uporablja se lahko tudi kot optični bralnik / filter za aplikacijo.

5. Burp Suite

Burp Suite je okvir za testiranje spletnega penetracije, ki je napisan na Javi. Ima različne izdaje, kot so izdaja Community, Professional in Enterprise Edition. Čeprav je skupnostna izdaja brezplačna, se različice Professional and Enterprise zaračunajo po preskusnem obdobju. Plačljiva različica ima veliko naprednih orodij, kot so pajek, repetitor, dekoder itd., Medtem ko brezplačna različica ponuja samo osnovne storitve.

Burp Suite pokriva več kot 100 ranljivosti in rezultate zagotavlja na zelo analiziran in interaktiven način. Rezultati v zbirki Burp Suite so prikazani na drevesni način, tj. V podrobnostih o ranljivosti je mogoče natančno določiti vejo. Prav tako zagotavlja Javascript analizo z uporabo statičnih in dinamičnih tehnik.

6. Wapiti

Wapiti je učinkovito, odprtokodno orodje, ki je na voljo za preizkušanje varnosti
prijava. Ponuja samo vmesnik ukazne vrstice in brez GUI, kar začetnikom nekoliko otežuje delo. Pred delom na Wapitiju bi morali imeti popolno znanje ukazov. Razlikuje se od drugih orodij na trgu, saj pomaga pri preizkušanju aplikacije v črni škatli.

Wapiti vbrizga koristno obremenitev na različnih lokacijah, da preveri varnost aplikacije. Omogoča tudi metode GET in POST za preizkušanje varnosti. Wapiti identificira vstavljanje zbirke podatkov, razkritje datotek, vbrizg XSS, vbrizg XXE, potencialno nevarne datoteke itd. Lahko ustvari poročilo o ranljivosti v različnih oblikah (kot so HTML, XML, .txt itd.).

7. SQLMap

SQLMap je odprtokodna programska oprema, ki se uporablja za iskanje ranljivosti vbrizgavanja SQL. To je
avtomatizira celoten postopek odkrivanja in izkoriščanja injekcije SQL v bazi podatkov
vsaka vloga. Podpira široko paleto baz podatkov, kot so Microsoft SQL Server, Microsoft Access, SQLite, MySQL, Oracle itd. Podpira prenos in nalaganje katere koli datoteke s strežnika baz podatkov.

SQLMap se lahko neposredno poveže z bazo podatkov, tako da zaobide injekcije SQL. Podpira različne tehnike vbrizgavanja SQL, kot so časovno zasnovane slepe, napake, zložene poizvedbe, logično osnovane slepe in izven pasov. Ima močan mehanizem iskanja in lahko išče določena imena baz podatkov in njene stolpce po tabelah baze podatkov.

8. Vega

Vega je odprtokodno spletno varnostno orodje za preverjanje varnosti aplikacije. Napisana je v Javi in ​​podpira GUI, kar olajša uporabo tako za nove ljudi kot za izkušene. Pomaga vam lahko pri iskanju skripta na več mestih, iskanju in potrjevanju vbrizgavanja SQL, vbrizganju lupine, vključevanju oddaljenih datotek itd. Vsebuje avtomatiziran optični bralnik, ki pomaga pri hitrih testiranjih. Vega lahko deluje na več platformah, kot so Windows, Unix, Linux in Mac OS. Vega je napisana v Javascriptu in je razširljiva, tj. Uporabnik lahko ustvari več modulov napada v skladu s posebnimi zahtevami z uporabo bogatega API-ja. Izvaja tudi prestrezanje SSL za spletna mesta Http.

Zaključek:

Na trgu je na voljo veliko orodij za varnostno testiranje, ki so preveč odprte kode. Upam, da vam zgoraj omenjena orodja predstavijo, kako različna orodja za testiranje zagotavljajo svoje posebne storitve testiranja. Pred uporabo katerega koli orodja za varnostno testiranje vaše aplikacije je zelo pomembno, da orodje natančno razumete in veste, ali to ustreza določenemu namenu ali ne. Na internetu so na voljo zelo lepo in čisto, bogato dokumentirano spletno mesto za vsako orodje, ki uporabnikom dokaže popoln vodnik. Zdaj so izdana skoraj vsa orodja s čudovitim GUI-jem, ki olajša nove ljudi, ki delajo na njih.

Priporočeni članki

To je vodnik za orodja za preskušanje varnosti. Tukaj razpravljamo o uvodu orodij za preskušanje varnosti in različnih vrstah orodij za varnostno testiranje. Če želite izvedeti več, lahko preberete tudi druge naše predlagane članke -

  1. Varnost spletnih aplikacij
  2. Selenijsko avtomatizacijsko testiranje
  3. Vprašanja za razgovor o varnosti IT
  4. Preizkušanje sistema
  5. Tehnike testiranja črne škatle