top 4 open source security testing tools test web application
Най-популярните инструменти за тестване на сигурността с отворен код:
В този цифров свят необходимостта от тестване на сигурността се увеличава от ден на ден.
Благодарение на бързото нарастване на броя на онлайн транзакциите и дейностите, извършвани от потребителите, тестването на сигурността се превърна в задължително. И има няколко инструмента за тестване на сигурността, които се предлагат на пазара и малко нови инструменти продължават да се появяват всеки ден.
Този урок ще ви обясни значението, необходимостта и целта на извършването на тестове за сигурност в днешния механизиран свят, заедно с най-добрите си инструменти с отворен код, които се предлагат на пазара за вашето лесно разбиране.
Какво ще научите:
- Какво е тестване на сигурността?
- Цел на тестването за сигурност
- Необходимост от тестване на сигурността
- Най-добрите инструменти с отворен код за тестване на сигурността
- Заключение
- Препоръчително четене
Какво е тестване на сигурността?
Извършва се тестване на сигурността, за да се гарантира, че данните в дадена информационна система са защитени и не са достъпни от неоторизирани потребители. Той защитава приложенията срещу сериозен злонамерен софтуер и други непредвидени заплахи, които могат да го сринат.
Тестването на сигурността помага да се разберат всички вратички и слабости на системата в самия начален етап. Прави се, за да се провери дали приложението има кодиран код за сигурност или не и не е ли достъпно от неоторизирани потребители.
Тестването на сигурността обхваща основно следните критични области:
- Удостоверяване
- Разрешение
- Наличност
- Поверителност
- Интегритет
- Без отричане
Цел на тестването за сигурност
По-долу са дадени основните цели на извършването на тестване на сигурността:
- Основната цел на тестването на сигурността е да идентифицира изтичането на сигурност и да го отстрани в самия начален етап.
- Тестването на сигурността помага да се оцени стабилността на настоящата система и също така помага да се издържи на пазара по-дълго време.
Следните съображения за сигурност трябва да бъдат изпълнени през всяка фаза на разработването на софтуер кръговат на живота:
Необходимост от тестване на сигурността
Тестването на сигурността помага да се избегнат:
- Загуба на доверието на клиента.
- Загуба на важна информация.
- Кражба на информация от неоторизиран потребител.
- Несъответстваща производителност на уебсайта.
- Неочаквана разбивка.
- Допълнителни разходи, необходими за поправяне на уебсайтове след атака.
Най-добрите инструменти с отворен код за тестване на сигурността
# 1) Acunetix
Acunetix онлайн е първокласен инструмент за тестване на сигурността, който си заслужава да опитате. Можете да получите пробната версия за Acunetix тук.
Acunetix Online включва напълно автоматизиран скенер за уязвимост на мрежата, който открива и докладва за над 50 000 известни мрежови уязвимости и неправилни конфигурации.
Той открива отворени портове и работещи услуги; оценява сигурността на рутери, защитни стени, суичове и балансьори на товара; тестове за слаби пароли, прехвърляне на DNS зона, лошо конфигурирани прокси сървъри, слаби низове на общността SNMP и TLS / SSL шифри, наред с други.
Той се интегрира с Acunetix Online, за да осигури цялостен одит на сигурността на периметровата мрежа върху одита на уеб приложението Acunetix.
=> Посетете официалния уебсайт на Acunetix тук# 2) Net parker
Netsparker е мъртво точен автоматичен скенер, който ще идентифицира уязвимости като SQL Injection и Cross-site Scripting в уеб приложения и уеб API, включително такива, разработени с помощта на CMS с отворен код.
Netsparker уникално проверява идентифицираните уязвимости, доказвайки, че те са реални, а не фалшиви положителни резултати, така че не е нужно да губите часове ръчно за проверка на идентифицираните уязвимости, след като сканирането приключи. Предлага се като софтуер за Windows и онлайн услуга.
=> Посетете официалния уеб сайт на Netsparker# 3) ZED атакуващ прокси (ZAP)
Това е инструмент с отворен код, който е специално създаден, за да помогне на специалистите по сигурността да открият уязвимостите в сигурността, присъстващи в уеб приложенията. Той е разработен за работа на платформи Windows, Unix / Linux и Macintosh. Може да се използва като скенер / филтър на уеб страница.
Основни функции:
- Прихващане на прокси
- Пасивно сканиране
- Автоматизиран скенер
- API, базиран на REST
Проект за отворена защита на уеб приложения (OWASP)
Приложението е посветено на предоставянето на информация за сигурността на приложението.
10-те най-големи рискове за сигурността на уеб приложенията на OWASP, които често се срещат в уеб приложенията, са Функционален контрол на достъпа, SQL инжектиране, Счупено упълномощаване / сесия, Директно отразяване на обект, Погрешно конфигуриране на защита, Подправяне на заявки между сайтове, Уязвими компоненти, Скриптиране на различни сайтове, Невалидни пренасочвания и излагане на данни.
Тези десет най-големи рискове ще направят приложението вредно, тъй като те могат да позволят кражба на данни или да поемат напълно вашите уеб сървъри.
Можем да изпълним OWASP, използвайки GUI, както и командния ред:
- Команда за задействане на OWASP чрез CLI - zap-cli –zap-path “+ EVConfig.ZAP_PATH +” бързо сканиране-самодостатъчен –spider -r -s xss http: // ”+ EVConfig.EV_1_IP +” -l Информационен.
- Стъпки за стартиране на OWASP от GUI:
- Задайте локалния прокси в браузъра и запишете страниците.
- След като записът завърши, щракнете с десния бутон върху връзката в инструмента OWASP и след това щракнете върху „активно сканиране“.
- След приключване на сканирането изтеглете отчета във формат .html.
Други опции за изпълнение на OWASP:
- Задайте локалния прокси в браузъра.
- Въведете URL адреса в текстовото поле „URL to attack“ и след това кликнете върху бутона „Attack“.
- В лявата част на екрана прегледайте сканираното съдържание на карта на сайта.
- В долната част ще видите заявка за преглед, отговор и сериозност на грешките.
Снимка на GUI:
Изтегли ZED атакуващ прокси (ZAP)
# 4) Оригинален апартамент
Това е инструмент, който се използва за извършване на тестове за сигурност на уеб приложения. Има както професионални, така и общностни издания. С над 100 предварително дефинирани условия за уязвимост, които гарантират безопасността на приложението, Burp suite прилага тези предварително определени условия, за да открие уязвимостите.
Покритие:
Повече от 100+ общи уязвимости като SQL инжектиране, скриптове между сайтове (XSS), инжектиране на Xpath ... и т.н. са изпълнявали в приложение. Сканирането може да се извършва с различно ниво на скорост, както бързо, така и нормално. С помощта на този инструмент можем да сканираме цялото приложение или определен клон на даден сайт или отделен URL адрес.
Представяне на ясна уязвимост:
Burp suite представя резултата в дървовиден изглед. Можем да разгледаме подробностите за отделните елементи, като изберете клон или възел. Сканираният резултат извежда червена индикация, ако бъде открита някаква уязвимост.
Уязвимостите са маркирани с увереност и сериозност за лесно вземане на решения. Налични са подробни съвети за всички докладвани уязвимости с пълно описание на проблема, тип доверие, тежест на проблема и път на файла. Могат да се изтеглят HTML отчети с откритите уязвимости.
Изтегли връзка
#5) SonarQube
Това е инструмент с отворен код, който се използва за измерване на качеството на изходния код.
Въпреки че е написан на Java, той може да анализира над двадесет различни езика за програмиране. Той може лесно да се интегрира с инструменти за непрекъсната интеграция като сървър на Jenkins и др. Резултатите ще бъдат попълнени на сървъра SonarQube със „зелени“ и „червени светлини“.
Могат да се видят хубави диаграми и списъци с проблеми на ниво проект. Можем да го извикаме от GUI, както и от командния ред.
Инструкции:
- За да извършите сканиране на кода, изтеглете SonarQube Runner онлайн и го разархивирайте.
- Съхранявайте този изтеглен файл в основната директория на вашия проект.
- Задайте конфигурацията във файла .property.
- Изпълнете скрипта `sonar-runner` /` sonar-runnter.bat` в терминала / конзолата.
След успешно изпълнение, SonarQube директно качва резултата в HTTP: Ip: 9000 уеб сървър, Използвайки този URL можем да видим подробен резултат с много класификации.
Начална страница по проект:
Този инструмент класифицира грешките по различни условия като грешки, уязвимост, миризми на код и дублиране на код.
Списък с издания:
Ще бъдем отведени на страницата със списъка с проблеми, ако щракнем върху броя на грешките в таблото за управление на проекта. Грешките ще присъстват с фактори като тежест, статус, правоприемник, отчетено време и време, необходимо за отстраняване на проблема.
Откриване на сложни проблеми:
Кодът на проблема ще бъде маркиран с червена линия и наблизо ще можем да намерим предложения за отстраняване на проблема. Тези предложения наистина ще помогнат за бързото отстраняване на проблема.
(Забележка:Щракнете върху изображението по-долу за увеличен изглед)
Интеграция с Дженкинс:
Jenkins има отделен плъгин за извършване на сонарен скенер, това ще качи резултата на сървъра на sonarqube, след като тестването приключи.
Изтегли връзка
# 6) Klocwork
Това е анализ на кода инструмент, който се използва за идентифициране на проблеми със сигурността, безопасността и надеждността на програмните езици като C, C ++, Java и C #. Можем лесно да го интегрираме с инструменти за непрекъсната интеграция като Jenkins и също така да създаваме грешки в Jira при среща с нови проблеми.
Проектиран сканиран резултат:
Разпечатката на резултата може да бъде направена с помощта на инструмента. На началната страница можем да видим всички сканирани проекти с броя на техните „нови“ и „съществуващи“ издания. Обхватът и съотношението на изданието могат да се видят, като кликнете върху иконата ‘Report’.
(Забележка:Щракнете върху изображението по-долу за увеличен изглед)
Подробен брой:
Можем да филтрираме резултата, като въведем различни условия за търсене в текстовото поле ‘search’. Проблемите са представени с тежест, състояние, статус и таксономия полета. Като кликнете върху изданието, можем да намерим реда на изданието.
(Забележка:Щракнете върху изображението по-долу за увеличен изглед)
Маркирайте кода на изданието:
За бърза идентификация Klocwork подчертава повдигнатия проблем „кодова линия“, цитира причината за проблема и предлага няколко мерки за преодоляване на същото.
Експорт в Jira:
Можем директно да вдигнем Jira, като кликнете върху бутона „Експортиране в Jira“ от сървъра на klocwork.
Интеграция с Дженкинс:
Jenkins има плъгин за интегриране с klocwork. Първо, трябва да конфигурираме подробности за klocwork в страницата за конфигуриране на Jenkins и след това Jenkins ще се погрижи за качването на отчета на klocwork сървъра, след като изпълнението приключи.
въпроси за интервю за мрежов инженер 250 + въпроси и отговори, обяснени pdf
Конфигурация на Дженкинс за Klocwork:
Изтегли връзка .
Заключение
Надявам се, че сте имали ясна представа за значението на тестването на сигурността заедно с най-добрите инструменти за сигурност с отворен код.
Следователно, ако се впускате в тестване на сигурността, уверете се, че не пропускате тези критични инструменти с отворен код, за да направите вашите приложения надеждни.
=> Свържете се с нас да предложите списък тук.Препоръчително четене
- Тестване на мрежовата сигурност и най-добрите инструменти за мрежова сигурност
- Ръководство за тестване на сигурността на уеб приложения
- 10 най-добри инструмента за тестване на сигурността на мобилни приложения през 2021 г.
- 19 Мощни инструменти за тестване на проникване, използвани от професионалистите през 2021 г.
- Acunetix Web Vulnerability Scanner (WVS) Инструмент за тестване на сигурността (Практически преглед)
- Как да извършите тестване на сигурността на уеб приложения с помощта на AppTrana
- Указания за тестване на сигурността на мобилните приложения
- Тестване на сигурността (Пълно ръководство)
- Топ 30 Въпроси и отговори за тестване на сигурността
- Топ 4 Инструменти за тестване на сигурността с отворен код за тестване на уеб приложение