top 4 open source security testing tools test web application
Najobľúbenejšie nástroje na otestovanie zabezpečenia s otvoreným zdrojom:
V tomto digitálnom svete sa potreba bezpečnostných testov zo dňa na deň zvyšuje.
Z dôvodu rýchleho nárastu počtu online transakcií a aktivít vykonávaných používateľmi sa stalo testovanie bezpečnosti povinným. Na trhu je k dispozícii niekoľko nástrojov na testovanie zabezpečenia a každý deň sa objavuje len málo nových nástrojov.
Tento tutoriál vám vysvetlí význam, potrebu a účel vykonania testovania zabezpečenia v dnešnom mechanizovanom svete spolu s najlepšími nástrojmi otvoreného zdroja, ktoré sú na trhu k dispozícii pre vaše ľahké pochopenie.
Čo sa dozviete:
- Čo je to Testovanie bezpečnosti?
- Účel testovania bezpečnosti
- Potreba bezpečnostného testovania
- Najlepšie nástroje s otvoreným zdrojom na testovanie bezpečnosti
- Záver
- Odporúčané čítanie
Čo je to Testovanie bezpečnosti?
Vykonáva sa testovanie bezpečnosti s cieľom zabezpečiť, aby údaje v informačnom systéme boli chránené a aby k nim nemali prístup neoprávnení používatelia. Chráni aplikácie pred závažným škodlivým softvérom a inými neočakávanými hrozbami, ktoré by ho mohli zlyhať.
Testovanie bezpečnosti pomáha zistiť všetky medzery a slabiny systému v samotnej počiatočnej fáze. Vykonáva sa testovanie, či má aplikácia zakódovaný bezpečnostný kód alebo nie, a či k nemu nie sú prístupné neoprávnené osoby.
Testovanie bezpečnosti pokrýva hlavne nasledujúce kritické oblasti:
- Overenie
- Povolenie
- Dostupnosť
- Dôvernosť
- Bezúhonnosť
- Nepopierateľnosť
Účel testovania bezpečnosti
Ďalej sú uvedené hlavné účely vykonania Testovania zabezpečenia:
- Primárnym účelom testovania bezpečnosti je identifikovať únik zabezpečenia a opraviť ho v samotnej počiatočnej fáze.
- Testovanie bezpečnosti pomáha hodnotiť stabilitu súčasného systému a tiež pomáha udržať sa na trhu dlhšie.
Nasledujúce bezpečnostné aspekty je potrebné vykonať v každej fáze vývoj softvéru životný cyklus:
Potreba bezpečnostného testovania
Testovanie bezpečnosti pomáha vyhnúť sa:
- Strata dôvery zákazníka.
- Strata dôležitých informácií.
- Krádež informácií neoprávneným používateľom.
- Nekonzistentný výkon webových stránok.
- Neočakávané zlyhanie.
- Ďalšie náklady potrebné na opravu webových stránok po útoku.
Najlepšie nástroje s otvoreným zdrojom na testovanie bezpečnosti
# 1) Acunetix
Acunetix online je prémiový nástroj na testovanie bezpečnosti, ktorý sa oplatí vyskúšať. Skúšobnú verziu pre Acunetix nájdete tu.
Acunetix Online obsahuje plne automatizovaný skener zraniteľnosti siete, ktorý detekuje a hlási viac ako 50 000 známych slabín a nesprávnych konfigurácií siete.
Objavuje otvorené porty a bežiace služby; posudzuje bezpečnosť smerovačov, brán firewall, prepínačov a vyrovnávačov zaťaženia; testy na slabé heslá, prenos zón DNS, zle nakonfigurované servery proxy, slabé komunitné reťazce SNMP a šifry TLS / SSL.
Integruje sa s Acunetix Online a poskytuje komplexný audit zabezpečenia obvodovej siete nad rámec auditu webových aplikácií Acunetix.
=> Navštívte oficiálnu webovú stránku Acunetix tu# 2) Čistý parker
Netsparker je mŕtvy presný automatický skener, ktorý identifikuje zraniteľné miesta ako SQL Injection a Cross-site Scripting vo webových aplikáciách a webových API vrátane tých, ktoré boli vyvinuté pomocou open source CMS.
Netsparker jedinečne overuje identifikované chyby zabezpečenia a dokazuje, že sú skutočné a nie falošne pozitívne, takže po dokončení skenovania nemusíte zbytočne strácať hodiny overovaním identifikovaných chýb. Je k dispozícii ako softvér pre Windows a služba online.
=> Navštívte oficiálnu webovú stránku Netsparker# 3) ZED Attack Proxy (ZAP)
Jedná sa o nástroj s otvoreným zdrojovým kódom, ktorý je špeciálne navrhnutý tak, aby pomohol bezpečnostným profesionálom zistiť bezpečnostné chyby vo webových aplikáciách. Je vyvinutý na fungovanie na platformách Windows, Unix / Linux a Macintosh. Môže byť použitý ako skener / filter webovej stránky.
Kľúčové vlastnosti:
- Zachytávanie servera proxy
- Pasívne skenovanie
- Automatický skener
- REST-založené API
Otvorený projekt zabezpečenia webových aplikácií (OWASP)
Aplikácia je určená na poskytovanie informácií o bezpečnosti aplikácie.
Medzi top 10 bezpečnostných rizík webových aplikácií OWASP, ktoré sa vo webových aplikáciách bežne vyskytujú, patria Funct Access Control, SQL Injection, Broken Auth / Session, Direct Object Ref, Security Misconfig, Cross-Site Request Forgery, Zraniteľné komponenty, Cross-Site Scripting, Neoverené presmerovania a vystavenie údajov.
Týchto desať hlavných rizík spôsobí, že aplikácia bude škodlivá, pretože môžu umožniť odcudzenie údajov alebo úplne prevziať kontrolu nad vašimi webovými servermi.
OWASP môžeme vykonať pomocou grafického používateľského rozhrania a príkazového riadku:
- Príkaz na spustenie OWASP prostredníctvom CLI - zap-cli –zap-cesta “+ EVConfig.ZAP_PATH +” rýchle skenovanie –samostatný –spider -r -s xss http: // ”+ EVConfig.EV_1_IP +” -l informačný.
- Kroky na spustenie OWASP z GUI:
- Nastavte v prehliadači lokálny proxy server a zaznamenajte stránky.
- Po dokončení nahrávania kliknite pravým tlačidlom myši na odkaz v nástroji OWASP a potom kliknite na položku „aktívne skenovanie“.
- Po dokončení skenovania si správu stiahnite vo formáte .html.
Ďalšie možnosti vykonania OWASP:
- V prehliadači nastavte lokálny proxy server.
- Zadajte webovú adresu do textového poľa „URL na útok“ a potom kliknite na tlačidlo „Útok“.
- Na ľavej strane obrazovky zobrazte naskenovaný obsah súboru Sitemap.
- V dolnej časti uvidíte požiadavku, odpoveď a závažnosť chyby.
Screenshot GUI:
Stiahnuť ▼ ZED Attack Proxy (ZAP)
# 4) Burp suite
Je to nástroj, ktorý sa používa na vykonávanie testovania bezpečnosti webových aplikácií. Má odborné aj komunitné vydania. S viac ako 100 preddefinovanými podmienkami zraniteľnosti zaisťuje bezpečnosť aplikácie, sada Burp tieto preddefinované podmienky uplatňuje na zistenie zraniteľností.
Pokrytie:
Viac ako 100+ generických zraniteľností, ako je vstrekovanie SQL, skriptovanie medzi servermi (XSS), vstrekovanie Xpath ... atď. účinkujú v aplikácii. Skenovanie je možné vykonať na inej rýchlostnej úrovni, ktorá je rýchla alebo normálna. Pomocou tohto nástroja môžeme skenovať celú aplikáciu alebo konkrétnu vetvu stránky alebo individuálnu adresu URL.
Jasná prezentácia zraniteľnosti:
Sada Burp predstavuje výsledok v stromovom zobrazení. Výberom vetvy alebo uzla môžeme prejsť k podrobnostiam jednotlivých položiek. Naskenovaný výsledok má červenú indikáciu, ak sa zistí nejaká zraniteľnosť.
Zraniteľnosti sú označené istotou a závažnosťou pre ľahké rozhodovanie. Pre všetky hlásené chyby zabezpečenia sú k dispozícii podrobné vlastné pokyny s úplným popisom problému, typom dôveryhodnosti, závažnosťou problému a cestou k súboru. Je možné stiahnuť správy HTML s odhalenými chybami zabezpečenia.
Stiahnuť ▼ odkaz
# 5) SonarQube
Je to open-source nástroj, ktorý sa používa na meranie kvality zdrojového kódu.
Aj keď je napísaný v prostredí Java, dokáže analyzovať viac ako dvadsať rôznych programovacích jazykov. Môže sa ľahko integrovať s nástrojmi na nepretržitú integráciu, ako je server Jenkins, atď. Výsledky sa vyplnia na server SonarQube „zeleným“ a „červeným svetlom“.
Môžete si zobraziť pekné grafy a zoznamy problémov na úrovni projektu. Môžeme ju vyvolať z grafického používateľského rozhrania aj z príkazového riadku.
Inštrukcie:
- Ak chcete vykonať skenovanie kódu, stiahnite si SonarQube Runner online a rozbaľte ho.
- Stiahnutý súbor uložte do koreňového adresára projektu.
- Nastavte konfiguráciu v súbore .property.
- V termináli / konzole vykonajte skript `sonar-runner` /` sonar-runnter.bat`.
Po úspešnom vykonaní SonarQube priamo nahrá výsledok na webový server HTTP: Ip: 9000. Pomocou tejto adresy URL môžeme vidieť podrobný výsledok s mnohými klasifikáciami.
Hlavná stránka projektu:
Tento nástroj klasifikuje chyby podľa rôznych podmienok, ako sú chyby, zraniteľnosť, vôňa kódu a duplikácia kódu.
Zoznam problémov:
Ak klikneme na počet chýb na hlavnom paneli projektu, dostaneme sa na stránku so zoznamom problémov. Chyby budú prítomné s faktormi ako závažnosť, stav, postupník, hlásený čas a čas potrebný na odstránenie problému.
Zistiť zložité problémy:
Kód problému bude označený červenou čiarou a v jeho blízkosti sa nachádzajú návrhy na odstránenie problému. Tieto návrhy skutočne pomôžu rýchlo problém vyriešiť.
(Poznámka:Pre zväčšenie kliknite na nasledujúci obrázok)
Integrácia s Jenkinsom:
Jenkins má samostatný doplnok na prácu so sonarovým skenerom, ktorý po dokončení testovania nahrá výsledok na server sonarqube.
Stiahnuť ▼ odkaz
# 6) Klocwork
Je to analýza kódu nástroj, ktorý sa používa na identifikáciu problémov bezpečnosti, spoľahlivosti a spoľahlivosti programovacích jazykov ako C, C ++, Java a C #. Môžeme ju ľahko integrovať s kontinuálnymi integračnými nástrojmi, ako je Jenkins, a tiež môžeme v Jire narobiť chyby, keď narazíme na nové problémy.
Naskenovaný výsledok podľa projektu:
Výsledok je možné vytlačiť pomocou nástroja. Na domovskej stránke môžeme zobraziť všetky naskenované projekty s počtom ich „nových“ a „existujúcich“ čísel. Rozsah a pomer problému je možné zobraziť kliknutím na ikonu „Nahlásiť“.
(Poznámka:Pre zväčšenie kliknite na nasledujúci obrázok)
Podrobné vydanie:
Výsledok môžeme filtrovať zadaním rôznych podmienok vyhľadávania do textového poľa „vyhľadávanie“. Problémy sú prezentované v poliach závažnosti, stavu, stavu a taxonómie. Kliknutím na číslo nájdeme riadok čísla.
(Poznámka:Pre zväčšenie kliknite na nasledujúci obrázok)
Označte kód vydania:
Pre rýchlu identifikáciu spoločnosť Klocwork zdôrazňuje „riadok kódu“, ktorý sa pozdvihol, cituje príčinu problému a navrhuje niekoľko opatrení na jeho prekonanie.
Export do Jira:
Môžeme priamo zdvihnúť Jira kliknutím na tlačidlo „Exportovať do Jira“ na serveri klocwork.
Integrácia s Jenkinsom:
Jenkins má doplnok na integráciu s klocwork. Najprv musíme nakonfigurovať podrobnosti klocwork na stránke konfigurácie Jenkinsa a potom sa Jenkins postará o nahranie správy na server klocwork, hneď ako je vykonanie vykonané.
aký je najlepší e-mailový server
Konfigurácia Jenkins pre Klocwork:
Stiahnuť ▼ odkaz .
Záver
Dúfam, že by ste mali jasnú predstavu o význame Testovania zabezpečenia spolu s najlepšími bezpečnostnými nástrojmi otvoreného zdroja.
Ak sa teda chystáte na testovanie zabezpečenia, určite vám neuniknú tieto dôležité nástroje otvoreného zdroja, aby boli vaše aplikácie spoľahlivé.
=> Kontaktuj nás navrhnúť zoznam tu.Odporúčané čítanie
- Testovanie zabezpečenia siete a najlepšie nástroje zabezpečenia siete
- Sprievodca testovaním bezpečnosti webových aplikácií
- 10 najlepších nástrojov na testovanie bezpečnosti mobilných aplikácií v roku 2021
- 19 výkonných nástrojov na testovanie prieniku, ktoré profesionáli používali v roku 2021
- Nástroj na testovanie zabezpečenia Acunetix Web Vulnerability Scanner (WVS) (praktická kontrola)
- Ako vykonať testovanie bezpečnosti webových aplikácií pomocou AppTrana
- Pokyny na testovanie zabezpečenia mobilných aplikácií
- Testovanie bezpečnosti (kompletný sprievodca)
- Najvyšších 30 otázok a odpovedí na pohovory týkajúce sa testovania bezpečnosti
- Najlepšie 4 nástroje na testovanie bezpečnosti s otvoreným zdrojom na testovanie webových aplikácií