Busca
Tecnologia da InformaçãoSegurança

12 Código Aberto Web Scanner de segurança para encontrar vulnerabilidades

find vulnerability opensource

Um interessante relatório de Symantec revela, 1 em cada 10 sites tinha um ou mais códigos maliciosos.

E, se você estiver usando o WordPress, em outro relatório de SUCURI shows, 49% de sites digitalizados estavam desatualizados.

Como proprietário de um aplicativo da web, como você garante que seu site esteja protegido contra ameaças online? Não vaza informações confidenciais?

Se você estiver usando um solução de segurança baseada em nuvem , provavelmente a verificação regular de vulnerabilidades faz parte do plano. No entanto, se não, você deve realizar uma verificação de rotina e tomar as medidas necessárias para mitigar os riscos.

Existem dois tipos de scanner.

Comercial – dar-lhe uma opção para automatize a verificação para segurança contínua relatórios, alertas, instruções detalhadas de mitigação, etc. Alguns dos nomes conhecidos no setor são:

  • Acunetix
  • detectar
  • Qualys

Código aberto/gratuito – você pode baixar e executar uma varredura de segurança sob demanda. Nem todos eles serão capazes de cobrir uma ampla gama de vulnerabilidades como uma comercial.

Vamos verificar o seguinte scanner de vulnerabilidade da web de código aberto.

Arachni

Arachni, um scanner de segurança de alto desempenho construído na estrutura Ruby para aplicativos da web modernos. Está disponível em um binário portátil para Mac, Windows & Linux.

arachni

Não apenas site básico estático ou CMS, mas Arachni é capaz de fazer seguintes impressões digitais da plataforma. Ele executa verificações ativas e passivas, ambas.

  • WindowsSolaris, Linux, BSD, Unix
  • Nginx, Apache, Tomcat, IIS, Jetty
  • Java, Rubi, Phyton ASP, PHP
  • Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony

Alguns dos detecção de vulnerabilidades são:

  • NoSQL/Blind/SQL/Código/LDAP/Comando/Injeção de XPath
  • Falsificação de solicitação entre sites
  • Travessia do caminho
  • Inclusões de arquivos locais/remotos
  • Divisão de resposta
  • Script entre sites
  • Redirecionamentos DOM não validados
  • Divulgação do código-fonte

Você tem a opção de fazer uma relatório de auditoria em HTML, XML, Texto, JSON, YAML, etc.

O Arachni permite que você estenda a varredura para o próximo nível, aproveitando os plug-ins. confira o completo Características Arachni e baixe para experimentá-lo.

XssPyName

Um scanner de vulnerabilidade XSS (cross-site scripting) baseado em python é usado por muitas organizações, incluindo Microsoft, Stanford, Motorola, Informatica, etc.

XssPyName por Faizan Ahmad é uma ferramenta inteligente. Ele faz uma coisa muito bem. Em vez de apenas verificar a página inicial ou determinada página, ele verifica todo o link nos sites.

O XssPy também verifica o subdomínio, então nada fica de fora.

w3af

w3af um projeto de código aberto iniciado no final de 2006, desenvolvido em Python e disponível em Linux e Windows OS. O w3af é capaz de detectar mais de 200 vulnerabilidades, incluindo as 10 principais do OWASP.

w3af

w3af deixar você injetar cargas úteis para cabeçalhos, URL, cookies, string de consulta, pós-dados, etc. para explorar o aplicativo da web para auditoria. Ele suporta vários métodos de registro para geração de relatórios. Ex:

Ex:

  • CSV
  • HTML
  • Console
  • Texto
  • XML
  • E-mail

Ele é construído em uma arquitetura de plug-in e você pode conferir todos os plug-ins disponíveis aqui .

Nikto

Um projeto de código aberto patrocinado pela Netsparker visa encontrar configurações incorretas, plug-ins e vulnerabilidades da web no servidor da web. Nikto realizar um teste abrangente contra mais de 6500 itens de risco.

Ele suporta proxy HTTP, SSL, com ou autenticação NTLM, etc. e pode definir o tempo máximo de execução por varredura de destino.

Nikto também está disponível no Kali Linux.

kali-linux-nitko

Parece promissor para a solução de intranet encontrar riscos de segurança de servidores web.

Wfuzz

Wfuzz (O Web Fuzzer) é uma ferramenta de avaliação de aplicativos para testes de penetração. Você pode difundir os dados na solicitação HTTP para qualquer campo para explorar o aplicativo da web e auditar os aplicativos da web.

O Wfuzz exigia a instalação do Python no computador em que você deseja executar a verificação. ficou excelente documentação para você começar.

OWASP ZAP

ZAP (Zet Attack Proxy) é uma das famosas ferramentas de teste de penetração que é ativamente atualizada por centenas de voluntários em todo o mundo.

É uma ferramenta baseada em Java multiplataforma que pode ser executada até mesmo no Raspberry Pi. O ZIP fica entre um navegador e um aplicativo da Web para interceptar e inspecionar mensagens

zap

Alguns dos itens a seguir merecem destaque sobre a funcionalidade do ZAP.

  • Fuzzer
  • Scanner automatizado e passivo
  • Suporta várias linguagens de script
  • navegação forçada

Eu recomendo dar uma olhada Vídeos tutoriais do OWASP ZAP para começar.

wapiti

wapiti verifica as páginas da web de um determinado alvo e procura scripts e formulários para injetar os dados para ver se isso é vulnerável. Não é uma verificação de segurança do código-fonte; em vez disso, ele executa varreduras de caixa preta.

wapiti

Suporta método HTTP GET e POST, proxies HTTP e HTTPS, várias autenticações, etc.

Vega

Vega é desenvolvido pela Subgraph, uma ferramenta compatível com várias plataformas escrita em Java para encontrar XSS, SQLi, RFI e muitas outras vulnerabilidades.

O Vega tem uma interface gráfica agradável e é capaz de realizar uma varredura automatizada fazendo login em um aplicativo com uma determinada credencial.

vega

Se você é um desenvolvedor, pode aproveitar a API vega para criar novos módulos de ataque.

mapa SQL

Como você pode adivinhar pelo nome, com a ajuda do sqlmap você pode realizar testes de penetração em um banco de dados para encontrar falhas.

sqlmap

Funciona com Python 2.6 ou 2.7 em qualquer sistema operacional. Se você está procurando encontrar injeção de SQL e explorar o banco de dados, o sqlmap seria útil.

agarrador

É uma pequena ferramenta baseada em Python e faz algumas coisas muito bem. Alguns dos Grabber’s características são:

  • Analisador de código-fonte JavaScript
  • Cross-site scripting, injeção de SQL, injeção cega de SQL
  • Teste de aplicativo PHP usando PHP-SAT

Golismero

Uma estrutura para gerenciar e executar algumas das ferramentas de segurança populares, como Wfuzz, DNS recon, sqlmap, OpenVas, analisador de robôs, etc.).

golismero

Golismero é inteligente; ele pode consolidar o feedback de teste de outras ferramentas e mesclar para mostrar um único resultado.

OWASP Xenotix XSS

Xenotix XSS da OWASP é uma estrutura avançada para localizar e explorar scripts entre sites. Possui três fuzzers inteligentes embutidos para uma varredura rápida e melhores resultados.

owasp-xss

Ele tem centenas de recursos, e você pode confira todos listados aqui .

Conclusão

Web a segurança é fundamental para qualquer negócio on-line e espero que o scanner de vulnerabilidade gratuito/de código aberto listado acima o ajude a encontrar riscos para que você possa mitigar antes que alguém tire vantagem disso. Se você estiver interessado em aprender sobre testes de penetração, confira este curso online .

Artigos relacionados

Carregar mais

Sobre nós

Dedicado a todos aqueles que têm tecnologia e games no sangue, buscamos nos tornar referência no entretenimento do presente e do futuro.

Privacidade
Contato

Artigos recentes

CPUs Intel Arrow Lake de 15ª geração aproveitando a tGPU Battlemage de 2ª geração com 2.560 núcleos?

Hardware 0
Os processadores Arrow Lake de 15ª geração da Intel...

Descoberta rara: seis planetas na órbita de Netuno

Estudos e Tecnologia 0
No nosso quintal galáctico, a apenas 100 anos-luz de...

James Cameron confirma data de lançamento do Avatar 3

Cinema e Streaming 0
Durante uma década, James Cameron prometeu aos fãs uma...

Inscrever

© 2023 Tecnologico.online - Todos os direitos reservados.