top 4 open source security testing tools test web application
Τα πιο δημοφιλή εργαλεία δοκιμής ασφαλείας ανοιχτού κώδικα:
Σε αυτόν τον ψηφιακό κόσμο, η ανάγκη για έλεγχο ασφαλείας αυξάνεται μέρα με τη μέρα.
Λόγω της ταχείας αύξησης του αριθμού των διαδικτυακών συναλλαγών και των δραστηριοτήτων που πραγματοποιούν οι χρήστες, ο έλεγχος ασφαλείας έχει καταστεί υποχρεωτικός. Και υπάρχουν πολλά εργαλεία δοκιμών ασφαλείας που διατίθενται στην αγορά και λίγα νέα εργαλεία συνεχίζουν να εμφανίζονται καθημερινά.
Αυτό το σεμινάριο θα σας εξηγήσει τη σημασία, την ανάγκη και τον σκοπό της εκτέλεσης δοκιμών ασφαλείας στον σημερινό μηχανοποιημένο κόσμο, μαζί με τα καλύτερα εργαλεία ανοιχτού κώδικα που είναι διαθέσιμα στην αγορά για την εύκολη κατανόησή σας.
Τι θα μάθετε:
- Τι είναι ο έλεγχος ασφαλείας;
- Σκοπός του ελέγχου ασφαλείας
- Ανάγκη για έλεγχο ασφαλείας
- Τα καλύτερα εργαλεία ανοιχτού κώδικα για έλεγχο ασφαλείας
- συμπέρασμα
- Συνιστώμενη ανάγνωση
Τι είναι ο έλεγχος ασφαλείας;
Ο έλεγχος ασφαλείας πραγματοποιείται για να διασφαλιστεί ότι τα δεδομένα σε ένα σύστημα πληροφοριών προστατεύονται και δεν είναι προσβάσιμα από μη εξουσιοδοτημένους χρήστες. Προστατεύει τις εφαρμογές από σοβαρό κακόβουλο λογισμικό και άλλες απρόβλεπτες απειλές που μπορεί να το καταστρέψουν.
Ο έλεγχος ασφαλείας βοηθά στον εντοπισμό όλων των κενών και αδυναμιών του συστήματος στο ίδιο το αρχικό στάδιο. Γίνεται για να ελέγξετε εάν η εφαρμογή έχει κωδικοποιημένο κωδικό ασφαλείας ή όχι και δεν είναι προσβάσιμη από μη εξουσιοδοτημένους χρήστες.
Ο έλεγχος ασφαλείας καλύπτει κυρίως τους παρακάτω κρίσιμους τομείς:
- Αυθεντικοποίηση
- Εξουσιοδότηση
- Διαθεσιμότητα
- Εμπιστευτικότητα
- Ακεραιότητα
- Μη αποκήρυξη
Σκοπός του ελέγχου ασφαλείας
Παρακάτω δίνονται οι πρωταρχικοί σκοποί της εκτέλεσης δοκιμών ασφαλείας:
- Ο πρωταρχικός σκοπός της δοκιμής ασφαλείας είναι να εντοπιστεί η διαρροή ασφαλείας και να διορθωθεί στο ίδιο το αρχικό στάδιο.
- Ο έλεγχος ασφαλείας συμβάλλει στη βαθμολόγηση της σταθερότητας του τρέχοντος συστήματος και επίσης βοηθά να σταθεί στην αγορά για μεγαλύτερο χρονικό διάστημα.
Οι ακόλουθες εκτιμήσεις ασφαλείας πρέπει να εκτελούνται σε κάθε φάση του την ανάπτυξη λογισμικού κύκλος ζωής:
Ανάγκη για έλεγχο ασφαλείας
Ο έλεγχος ασφαλείας βοηθά στην αποφυγή:
- Απώλεια της εμπιστοσύνης του πελάτη.
- Απώλεια σημαντικών πληροφοριών.
- Κλοπή πληροφοριών από μη εξουσιοδοτημένο χρήστη.
- Ασυνεπής απόδοση ιστότοπου.
- Μη αναμενόμενη ανάλυση.
- Απαιτούνται επιπλέον κόστη για την επισκευή ιστότοπων μετά από επίθεση.
Τα καλύτερα εργαλεία ανοιχτού κώδικα για έλεγχο ασφαλείας
# 1) Acunetix
Acunetix online είναι ένα εξαιρετικό εργαλείο δοκιμών ασφαλείας που αξίζει να δοκιμάσετε. Μπορείτε να λάβετε τη δοκιμαστική έκδοση για το Acunetix εδώ.
Το Acunetix Online περιλαμβάνει έναν πλήρως αυτοματοποιημένο σαρωτή ευπάθειας δικτύου που εντοπίζει και αναφέρει πάνω από 50.000 γνωστές ευπάθειες δικτύου και εσφαλμένες διαμορφώσεις.
Ανακαλύπτει ανοιχτές θύρες και τρέχουσες υπηρεσίες. αξιολογεί την ασφάλεια των δρομολογητών, των τείχους προστασίας, των διακοπτών και των εξισορροπητών φορτίου · δοκιμές για αδύναμους κωδικούς πρόσβασης, μεταφορά ζώνης DNS, διακομιστές μεσολάβησης με κακή ρύθμιση παραμέτρων, αδύναμες συμβολοσειρές κοινών SNMP και κρυπτογράφησης TLS / SSL, μεταξύ άλλων.
Ενσωματώνεται με το Acunetix Online για να παρέχει έναν ολοκληρωμένο έλεγχο ασφάλειας περιμετρικού δικτύου πάνω από τον έλεγχο εφαρμογών ιστού Acunetix.
=> Επισκεφτείτε την επίσημη ιστοσελίδα Acunetix εδώ# 2) Καθαρό parker
Netsparker είναι ένας νεκρός, ακριβής αυτοματοποιημένος σαρωτής που θα εντοπίζει ευπάθειες όπως SQL Injection και Cross-site Scripting σε εφαρμογές ιστού και API Ιστού, συμπεριλαμβανομένων εκείνων που έχουν αναπτυχθεί με χρήση ανοιχτού κώδικα CMS.
Το Netsparker επαληθεύει μοναδικά τις αναγνωρισμένες ευπάθειες αποδεικνύοντας ότι είναι πραγματικές και όχι ψευδείς θετικές, οπότε δεν χρειάζεται να χάνετε ώρες χειροκίνητα επαληθεύοντας τις αναγνωρισμένες ευπάθειες μόλις ολοκληρωθεί η σάρωση. Διατίθεται ως λογισμικό Windows και σε απευθείας σύνδεση υπηρεσία.
=> Επισκεφτείτε την επίσημη ιστοσελίδα της Netsparker# 3) ZED Attack Proxy (ZAP)
Είναι ένα εργαλείο ανοιχτού κώδικα που έχει σχεδιαστεί ειδικά για να βοηθά τους επαγγελματίες της ασφάλειας να εντοπίζουν τις ευπάθειες ασφαλείας που υπάρχουν σε εφαρμογές ιστού. Έχει αναπτυχθεί για να λειτουργεί σε πλατφόρμες Windows, Unix / Linux και Macintosh. Μπορεί να χρησιμοποιηθεί ως σαρωτής / φίλτρο μιας ιστοσελίδας.
Βασικά χαρακτηριστικά:
- Υποκλοπή διακομιστή μεσολάβησης
- Παθητική σάρωση
- Αυτοματοποιημένος σαρωτής
- API βασισμένο σε REST
Άνοιγμα έργου ασφαλείας εφαρμογών ιστού (OWASP)
Η εφαρμογή είναι αφιερωμένη στην παροχή πληροφοριών σχετικά με την ασφάλεια των εφαρμογών.
Οι κορυφαίοι 10 κίνδυνοι ασφάλειας εφαρμογών ιστού OWASP, οι οποίοι απαντώνται συνήθως σε εφαρμογές ιστού είναι Funct Access Control, SQL Injection, Broken Auth / Session, Direct Object Ref, Security Misconfig, Cross-Site Request Forgery, Vulnerable Components, Cross-Site Scripting, Μη επικυρωμένες ανακατευθύνσεις και έκθεση δεδομένων.
Αυτοί οι δέκα κορυφαίοι κίνδυνοι θα κάνουν την εφαρμογή επιβλαβής επειδή ενδέχεται να επιτρέψουν την κλοπή δεδομένων ή να αναλάβουν πλήρως τους διακομιστές ιστού σας.
Μπορούμε να εκτελέσουμε το OWASP χρησιμοποιώντας το GUI καθώς και τη γραμμή εντολών:
- Εντολή για ενεργοποίηση του OWASP μέσω του CLI - zap-cli –zap-path '+ EVConfig.ZAP_PATH +' γρήγορη σάρωση - αυτόνομη - spider -r -s xss http: // '+ EVConfig.EV_1_IP +' -l Πληροφοριακό.
- Βήματα για την εκτέλεση του OWASP από το GUI:
- Ορίστε τον τοπικό διακομιστή μεσολάβησης στο πρόγραμμα περιήγησης και καταγράψτε τις σελίδες.
- Μόλις ολοκληρωθεί η εγγραφή, κάντε δεξί κλικ στον σύνδεσμο του εργαλείου OWASP και, στη συνέχεια, κάντε κλικ στην «ενεργή σάρωση».
- Μετά την ολοκλήρωση της σάρωσης, πραγματοποιήστε λήψη της αναφοράς σε μορφή .html.
Άλλες επιλογές για την εκτέλεση του OWASP:
- Ορίστε τον τοπικό διακομιστή μεσολάβησης στο πρόγραμμα περιήγησης.
- Εισαγάγετε τη διεύθυνση URL στο πλαίσιο κειμένου 'URL to attack' και, στη συνέχεια, κάντε κλικ στο κουμπί 'Attack'.
- Στην αριστερή πλευρά της οθόνης, δείτε το περιεχόμενο του χάρτη ιστότοπου που σαρώθηκε.
- Στο κάτω μέρος, θα δείτε το αίτημα προβολής, την απόκριση και τη σοβαρότητα του σφάλματος.
Στιγμιότυπο οθόνης GUI:
Κατεβάστε Proxy Proxy ZED (ZAP)
# 4) Σουίτα Burp
Είναι ένα εργαλείο που χρησιμοποιείται για τη διενέργεια δοκιμών ασφαλείας εφαρμογών ιστού. Έχει επαγγελματικές και κοινοτικές εκδόσεις. Με πάνω από 100 προκαθορισμένες συνθήκες ευπάθειας διασφαλίζει την ασφάλεια της εφαρμογής, η σουίτα Burp εφαρμόζει αυτές τις προκαθορισμένες συνθήκες για να ανακαλύψει τις ευπάθειες.
Κάλυψη:
Περισσότερες από 100+ γενικές ευπάθειες, όπως SQL injection, cross-site scripting (XSS), Xpath injection ... κλπ. αποδίδουν σε μια εφαρμογή. Η σάρωση μπορεί να πραγματοποιηθεί σε διαφορετικό επίπεδο ταχύτητας τόσο γρήγορα ή κανονικά. Χρησιμοποιώντας αυτό το εργαλείο, μπορούμε να σαρώσουμε ολόκληρη την εφαρμογή ή έναν συγκεκριμένο κλάδο ενός ιστότοπου ή μια μεμονωμένη διεύθυνση URL.
Παρουσίαση για ευπάθεια:
Η σουίτα Burp παρουσιάζει το αποτέλεσμα σε προβολή δέντρου. Μπορούμε να αναλύσουμε τις λεπτομέρειες των μεμονωμένων αντικειμένων επιλέγοντας έναν κλάδο ή έναν κόμβο. Το σαρωμένο αποτέλεσμα εμφανίζεται με μια κόκκινη ένδειξη εάν εντοπιστεί κάποια ευπάθεια.
Οι ευπάθειες χαρακτηρίζονται με αυτοπεποίθηση και σοβαρότητα για εύκολη λήψη αποφάσεων. Λεπτομερείς προσαρμοσμένες συμβουλές είναι διαθέσιμες για όλες τις αναφερόμενες ευπάθειες με πλήρη περιγραφή του ζητήματος, του τύπου εμπιστοσύνης, της σοβαρότητας του ζητήματος και της διαδρομής του αρχείου. Μπορείτε να κατεβάσετε αναφορές HTML με τις ευπάθειες που ανακαλύφθηκαν.
Κατεβάστε Σύνδεσμος
# 5) SonarQube
Είναι ένα εργαλείο ανοιχτού κώδικα που χρησιμοποιείται για τη μέτρηση της ποιότητας του πηγαίου κώδικα.
Αν και είναι γραμμένο σε Java, μπορεί να αναλύσει πάνω από είκοσι διαφορετικές γλώσσες προγραμματισμού. Μπορεί εύκολα να ενσωματωθεί με εργαλεία συνεχούς ενοποίησης όπως ο διακομιστής Jenkins κ.λπ. Τα αποτελέσματα θα συμπληρωθούν στον διακομιστή SonarQube με «πράσινα» και «κόκκινα φώτα».
Μπορείτε να δείτε ωραία γραφήματα και λίστες ζητημάτων σε επίπεδο έργου. Μπορούμε να το καλέσουμε από το GUI καθώς και από τη γραμμή εντολών.
Οδηγίες:
- Για να πραγματοποιήσετε τη σάρωση κώδικα, πραγματοποιήστε λήψη του SonarQube Runner online και αποσυμπιέστε τον.
- Διατηρήστε αυτό το ληφθέν αρχείο στον ριζικό κατάλογο του έργου σας.
- Ορίστε τη διαμόρφωση στο αρχείο .property.
- Εκτελέστε το σενάριο `sonar-runner` /` sonar-runnter.bat` στο τερματικό / κονσόλα.
Μετά την επιτυχή εκτέλεση, το SonarQube ανεβάζει απευθείας το αποτέλεσμα σε διακομιστή ιστού HTTP: Ip: 9000, Χρησιμοποιώντας αυτήν τη διεύθυνση URL μπορούμε να δούμε ένα λεπτομερές αποτέλεσμα με πολλές ταξινομήσεις.
Αρχική σελίδα έργου:
Αυτό το εργαλείο ταξινομεί τα σφάλματα με διάφορες συνθήκες όπως σφάλματα, ευπάθεια, μυρωδιές κώδικα και αναπαραγωγή κώδικα.
Λίστα ζητημάτων:
Θα μεταφερθούμε στη σελίδα λίστας ζητημάτων εάν κάνουμε κλικ στον αριθμό σφαλμάτων στον πίνακα ελέγχου του έργου. Θα παρουσιαστούν σφάλματα με παράγοντες όπως σοβαρότητα, κατάσταση, εκχωρητής, αναφερόμενος χρόνος και χρόνος που απαιτείται για την επίλυση του προβλήματος.
Εντοπισμός προβληματικών προβλημάτων:
Ο κωδικός ζητήματος θα επισημανθεί με κόκκινη γραμμή και κοντά, ώστε να βρούμε προτάσεις για την επίλυση του προβλήματος. Αυτές οι προτάσεις θα βοηθήσουν πραγματικά στην επίλυση του προβλήματος γρήγορα.
(Σημείωση:Κάντε κλικ στην παρακάτω εικόνα για μεγέθυνση)
Ενσωμάτωση με τη Jenkins:
Η Jenkins έχει ένα ξεχωριστό plugin για να κάνει σαρωτή sonar, αυτό θα ανεβάσει το αποτέλεσμα στον διακομιστή sonarqube μόλις ολοκληρωθεί ο έλεγχος.
Κατεβάστε Σύνδεσμος
# 6) Klocwork
Είναι ένα ανάλυση κώδικα εργαλείο που χρησιμοποιείται για τον εντοπισμό ζητημάτων ασφάλειας, ασφάλειας και αξιοπιστίας των γλωσσών προγραμματισμού όπως C, C ++, Java και C #. Μπορούμε εύκολα να το ενσωματώσουμε με εργαλεία συνεχούς ενοποίησης όπως η Jenkins και επίσης να δημιουργήσουμε σφάλματα στην Jira όταν συναντήσουμε νέα ζητήματα.
Αποτέλεσμα σαρωμένου έργου:
Η εκτύπωση του αποτελέσματος μπορεί να ληφθεί χρησιμοποιώντας το εργαλείο. Στην αρχική σελίδα, μπορούμε να δούμε όλα τα σαρωμένα έργα με το πλήθος των «νέων» και «υπαρχόντων». Μπορείτε να δείτε το εύρος και την αναλογία του ζητήματος κάνοντας κλικ στο εικονίδιο 'Αναφορά'.
(Σημείωση:Κάντε κλικ στην παρακάτω εικόνα για μεγέθυνση)
Λεπτομερές ζήτημα:
Μπορούμε να φιλτράρουμε το αποτέλεσμα εισάγοντας διάφορες συνθήκες αναζήτησης στο πλαίσιο κειμένου «αναζήτηση». Τα ζητήματα παρουσιάζονται με πεδία σοβαρότητας, κατάστασης, κατάστασης και ταξινόμησης. Κάνοντας κλικ στο θέμα, μπορούμε να βρούμε τη γραμμή ενός ζητήματος.
(Σημείωση:Κάντε κλικ στην παρακάτω εικόνα για μεγέθυνση)
Σημειώστε τον Κωδικό Έκδοσης:
Για γρήγορη αναγνώριση, η Klocwork επισημαίνει το ζήτημα που τέθηκε «γραμμή κώδικα», αναφέρει την αιτία του προβλήματος και προτείνει λίγα μέτρα για να ξεπεραστεί το ίδιο.
Εξαγωγή στην Jira:
Μπορούμε να αυξήσουμε άμεσα ένα Jira κάνοντας κλικ στο κουμπί 'Εξαγωγή σε Jira' από τον διακομιστή klocwork.
Ενσωμάτωση με τη Jenkins:
Η Jenkins διαθέτει ένα πρόσθετο για ενσωμάτωση με το klocwork. Πρώτον, πρέπει να διαμορφώσουμε τις λεπτομέρειες klocwork στη σελίδα διαμόρφωσης Jenkins και μετά από αυτό η Jenkins θα φροντίσει να ανεβάσει την αναφορά στον διακομιστή klocwork μόλις ολοκληρωθεί η εκτέλεση.
πώς να ανοίξετε αρχεία swf στον υπολογιστή
Διαμόρφωση Jenkins για Klocwork:
Κατεβάστε Σύνδεσμος .
συμπέρασμα
Ελπίζω να έχετε μια σαφή ιδέα για το νόημα της δοκιμής ασφάλειας μαζί με τα καλύτερα εργαλεία ασφαλείας ανοιχτού κώδικα.
Ως εκ τούτου, εάν ξεκινάτε δοκιμές ασφαλείας, βεβαιωθείτε ότι δεν χάσετε αυτά τα κρίσιμα εργαλεία ανοιχτού κώδικα για να κάνετε τις εφαρμογές σας ανόητες.
=> Επικοινωνήστε μαζί μας να προτείνω μια καταχώριση εδώ.Συνιστώμενη ανάγνωση
- Δοκιμή ασφάλειας δικτύου και καλύτερα εργαλεία ασφάλειας δικτύου
- Οδηγός δοκιμών ασφάλειας εφαρμογών Ιστού
- 10 καλύτερα εργαλεία δοκιμής ασφαλείας για φορητές εφαρμογές το 2021
- 19 Ισχυρά εργαλεία δοκιμής διείσδυσης που χρησιμοποιήθηκαν από τους επαγγελματίες το 2021
- Εργαλείο δοκιμής ασφάλειας Acunetix Web Vulnerability Scanner (WVS) (Hands on Review)
- Τρόπος εκτέλεσης δοκιμών ασφαλείας εφαρμογών ιστού χρησιμοποιώντας το AppTrana
- Οδηγίες δοκιμής ασφάλειας εφαρμογών για κινητά
- Δοκιμή ασφαλείας (Ένας πλήρης οδηγός)
- Κορυφαίες ερωτήσεις και απαντήσεις στη συνέντευξη δοκιμής ασφαλείας
- Top 4 Εργαλεία δοκιμής ασφαλείας ανοιχτού κώδικα για να δοκιμάσετε την εφαρμογή Ιστού