top 4 open source security testing tools test web application
Najpopularniji alati za sigurnosno testiranje otvorenog koda:
U ovom digitalnom svijetu potreba za sigurnosnim testiranjem povećava se iz dana u dan.
Zahvaljujući brzom povećanju broja mrežnih transakcija i aktivnosti koje korisnici provode, sigurnosno testiranje postalo je obavezno. Na tržištu je dostupno nekoliko alata za ispitivanje sigurnosti, a svakodnevno se pojavljuje malo novih alata.
Ovaj će vam vodič objasniti značenje, potrebu i svrhu provođenja sigurnosnog testiranja u današnjem mehaniziranom svijetu, zajedno sa svojim najboljim alatima otvorenog koda koji su dostupni na tržištu za vaše lako razumijevanje.
Što ćete naučiti:
- Što je sigurnosno testiranje?
- Svrha sigurnosnog ispitivanja
- Potreba za sigurnosnim ispitivanjem
- Najbolji alati otvorenog koda za sigurnosno testiranje
- Zaključak
- Preporučena literatura
Što je sigurnosno testiranje?
Ispitivanje sigurnosti provodi se kako bi se osiguralo da su podaci unutar informacijskog sustava zaštićeni i da im neovlašteni korisnici ne mogu pristupiti. Štiti aplikacije od ozbiljnog zlonamjernog softvera i drugih nepredviđenih prijetnji koje bi ga mogle srušiti.
Ispitivanje sigurnosti pomaže otkriti sve rupe i slabosti sustava u samoj početnoj fazi. To se radi kako bi se ispitalo ima li aplikacija kodirani sigurnosni kod ili ne, te neovlaštenim korisnicima ne mogu pristupiti.
Ispitivanje sigurnosti uglavnom pokriva sljedeća kritična područja:
- Ovjera
- Odobrenje
- Dostupnost
- Povjerljivost
- Integritet
- Neodbacivanje
Svrha sigurnosnog ispitivanja
Dolje su navedene glavne svrhe provođenja sigurnosnog ispitivanja:
- Primarna svrha sigurnosnog testiranja je identificirati curenje sigurnosti i popraviti ga u samoj početnoj fazi.
- Sigurnosno testiranje pomaže u ocjenjivanju stabilnosti trenutnog sustava, a pomaže i dulje stajanje na tržištu.
Sljedeća sigurnosna razmatranja potrebno je provesti tijekom svake faze razvoj softvera životni ciklus:
Potreba za sigurnosnim ispitivanjem
Sigurnosno testiranje pomaže u izbjegavanju:
- Gubitak povjerenja kupaca.
- Gubitak važnih informacija.
- Krađa podataka od strane neovlaštenog korisnika.
- Nedosljedna izvedba web stranice.
- Neočekivani slom.
- Dodatni troškovi potrebni za popravak web stranica nakon napada.
Najbolji alati otvorenog koda za sigurnosno testiranje
# 1) Acunetix
Acunetix online vrhunski je alat za testiranje sigurnosti koji vrijedi isprobati. Probnu verziju za Acunetix možete dobiti ovdje.
Acunetix Online uključuje potpuno automatizirani mrežni skener ranjivosti koji otkriva i izvještava o preko 50 000 poznatih mrežnih ranjivosti i pogrešnih konfiguracija.
Otkriva otvorene luke i pokrenute usluge; procjenjuje sigurnost usmjerivača, vatrozida, prekidača i uravnoteživača opterećenja; testovi za slabe lozinke, prijenos DNS zone, loše konfigurirane proxy poslužitelje, slabe nizove SNMP zajednice i TLS / SSL šifre, između ostalog.
Integrira se s Acunetix Online kako bi pružio sveobuhvatnu reviziju sigurnosti perimetralne mreže povrh revizije web aplikacija Acunetix.
=> Posjetite službenu web stranicu Acunetix ovdje# 2) Mrežni parker
Netsparker mrtvo je precizan automatizirani skener koji će prepoznati ranjivosti kao što su SQL Injection i Cross-site Scripting u web aplikacijama i web API-ima, uključujući one razvijene pomoću CMS-a otvorenog koda.
Netsparker jedinstveno provjerava identificirane ranjivosti dokazujući da su stvarne, a ne lažno pozitivne, tako da ne trebate trošiti sate ručno provjeravajući identificirane ranjivosti nakon završetka skeniranja. Dostupan je kao Windows softver i mrežna usluga.
=> Posjetite službenu web stranicu Netsparker# 3) ZED napadački proxy (ZAP)
To je alat otvorenog koda koji je posebno dizajniran da pomogne sigurnosnim profesionalcima da otkriju sigurnosne ranjivosti prisutne u web aplikacijama. Razvijen je za rad na platformama Windows, Unix / Linux i Macintosh. Može se koristiti kao skener / filtar web stranice.
Ključne značajke:
- Presretanje proxyja
- Pasivno skeniranje
- Automatski skener
- API zasnovan na REST-u
Otvoreni projekt sigurnosti web aplikacija (OWASP)
Aplikacija je namijenjena pružanju informacija o sigurnosti aplikacije.
OWASP-ovih 10 najvećih sigurnosnih rizika web aplikacija koji se često nalaze u web aplikacijama su Funkcionalna kontrola pristupa, Ubrizgavanje SQL-a, Prekinuta autorizacija / sesija, Izravno referiranje predmeta, Sigurnosna pogrešna konfiguracija, Krivotvorenje zahtjeva za više web lokacija, Ranjive komponente, Cross-Site skriptiranje, Nevaljana preusmjeravanja i izlaganje podataka.
Ovih deset prvih rizika učinit će aplikaciju štetnom jer mogu dopustiti krađu podataka ili u potpunosti preuzeti vaše web poslužitelje.
Možemo izvršiti OWASP koristeći GUI, kao i naredbeni redak:
- Naredba za pokretanje OWASP-a kroz CLI - zap-cli –zap-path “+ EVConfig.ZAP_PATH +” brzo skeniranje-samostalni –spider -r -s xss http: // ”+ EVConfig.EV_1_IP +” -l Informativni.
- Koraci za pokretanje OWASP-a iz GUI-a:
- Postavite lokalni proxy u preglednik i snimite stranice.
- Kad se snimanje dovrši, kliknite desnu tipku miša na vezu u alatu OWASP, a zatim kliknite na 'aktivno skeniranje'.
- Nakon završetka skeniranja preuzmite izvješće u .html formatu.
Ostale opcije za izvršavanje OWASP-a:
- Postavite lokalni proxy u pregledniku.
- Unesite URL u tekstni okvir 'URL za napad', a zatim kliknite gumb 'Napad'.
- Na lijevoj strani zaslona pogledajte skenirani sadržaj karte web mjesta.
- Na dnu ćete vidjeti zahtjev za pregled, odgovor i ozbiljnost programske pogreške.
Snimka zaslona GUI:
preuzimanje datoteka ZED napadački proxy (ZAP)
# 4) Suite podrigivanja
To je alat koji se koristi za provođenje sigurnosnih ispitivanja web aplikacija. Ima profesionalna izdanja kao i izdanja u zajednici. S preko 100 unaprijed definiranih uvjeta ranjivosti osigurava sigurnost primjene, Burp suite primjenjuje ove unaprijed definirane uvjete kako bi otkrio ranjivosti.
Pokrivenost:
Više od 100+ generičkih ranjivosti kao što su SQL ubrizgavanje, skriptiranje na više lokacija (XSS), ubrizgavanje Xpath ... itd. su nastupali u aplikaciji. Skeniranje se može izvoditi na različitoj brzini, brzo ili normalno. Pomoću ovog alata možemo skenirati cijelu aplikaciju ili određenu granu web mjesta ili pojedinačni URL.
Prezentacija jasne ranjivosti:
Paket Burp prikazuje rezultat u prikazu stabla. Odabirom grane ili čvora možemo detaljno analizirati pojedine stavke. Skenirani rezultat dobiva crvenu naznaku ako se pronađe bilo koja ranjivost.
Ranjivosti su označene samopouzdanjem i ozbiljnošću za lako donošenje odluka. Dostupna su detaljna prilagođena savjeta za sve prijavljene ranjivosti s potpunim opisom problema, tipom pouzdanosti, ozbiljnošću problema i putem datoteke. Mogu se preuzeti HTML izvješća s otkrivenim ranjivostima.
preuzimanje datoteka veza
# 5) SonarQube
To je alat otvorenog koda koji se koristi za mjerenje kvalitete izvornog koda.
Iako napisan na Javi, može analizirati preko dvadeset različitih programskih jezika. Lako se može integrirati s alatima za kontinuiranu integraciju poput Jenkins poslužitelja itd. Rezultati će se na poslužitelj SonarQube popuniti s 'zelenim' i 'crvenim svjetlima'.
Mogu se pregledati lijepe karte i popisi izdavanja na razini projekta. Možemo ga pozvati iz GUI-ja, kao i iz naredbenog retka.
Upute:
- Da biste izvršili skeniranje koda, preuzmite SonarQube Runner putem interneta i otpakirajte ga.
- Ovu preuzetu datoteku sačuvajte u korijenskom direktoriju vašeg projekta.
- Postavite konfiguraciju u datoteku .property.
- Izvršite skriptu `sonar-runner` /` sonar-runnter.bat` u terminalu / konzoli.
Nakon uspješnog izvršavanja, SonarQube izravno prenosi rezultat na HTTP: Ip: 9000 web poslužitelj. Korištenjem ovog URL-a možemo vidjeti detaljan rezultat s mnogim klasifikacijama.
Početna stranica projekta:
Ovaj alat klasificira bugove prema različitim uvjetima poput grešaka, ranjivosti, mirisa koda i dupliciranja koda.
Popis izdanja:
Bit ćemo odvedeni na stranicu popisa izdanja ako kliknemo na broj pogrešaka na nadzornoj ploči projekta. Bug će biti prisutan s čimbenicima kao što su ozbiljnost, status, primatelj, prijavljeno vrijeme i vrijeme potrebno za rješavanje problema.
Otkrivanje škakljivih problema:
Kôd izdanja označit će se crvenom linijom iu blizini ćemo pronaći prijedloge za rješavanje problema. Ti će prijedlozi doista pomoći da problem brzo riješite.
(Bilješka:Kliknite na donju sliku za uvećani prikaz)
Integracija s Jenkinsom:
Jenkins ima zasebni dodatak za izradu sonarnog skenera, što će prenijeti rezultat na poslužitelj sonarqube nakon završetka testiranja.
preuzimanje datoteka veza
# 6) Klocwork
To je analiza koda alat koji se koristi za prepoznavanje problema sigurnosti, sigurnosti i pouzdanosti programskih jezika kao što su C, C ++, Java i C #. Lako ga možemo integrirati s alatima za kontinuiranu integraciju poput Jenkinsa, a također možemo pokretati bugove u Jiri prilikom susreta s novim problemima.
Rezultat skeniranog projekta:
Ispis rezultata može se izvršiti pomoću alata. Na početnoj stranici možemo pregledati sve skenirane projekte s brojem izdanja ‘novi’ i ‘postojeći’. Opseg i omjer izdanja možete pogledati klikom na ikonu ‘Prijavi’.
(Bilješka:Kliknite na donju sliku za uvećani prikaz)
Detaljan broj:
Rezultat možemo filtrirati unosom različitih uvjeta pretraživanja u tekstni okvir ‘search’. Problemi su predstavljeni s poljima ozbiljnosti, stanja, statusa i taksonomije. Klikom na izdanje možemo pronaći redak izdanja.
(Bilješka:Kliknite na donju sliku za uvećani prikaz)
Označi kôd izdanja:
Za brzu identifikaciju, Klocwork ističe problem pokrenut 'linijom koda', navodi uzrok problema i predlaže nekoliko mjera za njegovo prevladavanje.
Izvoz u Jira:
Jira možemo izravno podići klikom na gumb 'Izvezi u Jira' s poslužitelja klocwork.
Integracija s Jenkinsom:
Jenkins ima dodatak za integraciju s klocwork. Prvo, moramo konfigurirati detalje klocwork na stranici za konfiguriranje Jenkins, a nakon toga Jenkins će se pobrinuti za prijenos izvješća na klocwork server nakon završetka izvršenja.
koji je najbolji poslužitelj e-pošte
Jenkinsova konfiguracija za Klocwork:
preuzimanje datoteka veza .
Zaključak
Nadam se da biste imali jasnu ideju o značenju sigurnosnog testiranja zajedno s najboljim sigurnosnim alatima otvorenog koda.
Stoga, ako krenete u sigurnosno testiranje, pobrinite se da ne propustite ove kritične alate otvorenog koda kako bi vaše aplikacije bile sigurne.
=> Kontaktirajte nas da ovdje predložim popis.Preporučena literatura
- Testiranje mrežne sigurnosti i najbolji alati mrežne sigurnosti
- Vodič za ispitivanje sigurnosti web aplikacija
- 10 najboljih alata za testiranje sigurnosti mobilnih aplikacija u 2021. godini
- 19 Moćni alati za ispitivanje prodora koje su profesionalci koristili 2021. godine
- Acunetixov web skener ranjivosti (WVS) Alat za ispitivanje sigurnosti (Praktični pregled)
- Kako izvršiti ispitivanje sigurnosti web aplikacija pomoću AppTrana
- Smjernice za testiranje sigurnosti mobilne aplikacije
- Ispitivanje sigurnosti (cjelovit vodič)
- Top 30 pitanja i odgovora za ispitivanje sigurnosnih testova
- Vrh 4 Alata za testiranje sigurnosti otvorenog koda za testiranje web aplikacija