Test de sécurité - Outils d'automatisation

Il existe différents outils disponibles pour effectuer des tests de sécurité d'une application. Il existe peu d'outils capables d'effectuer des tests de sécurité de bout en bout, tandis que certains sont dédiés à la détection d'un type particulier de faille dans le système.

Outils Open Source

Certains outils de test de sécurité open source sont comme donnés -

S.No.	Nom de l'outil
1	Zed Attack Proxy Fournit des scanners automatisés et d'autres outils pour détecter les failles de sécurité. https://www.owasp.org
2	OWASP WebScarab Développé en Java pour analyser les requêtes Http et Https. https://www.owasp.org/index.php
3	OWASP Mantra Prend en charge le cadre de test de sécurité multilingue https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework
4	Burp Proxy Outil d'interception et de modification du trafic et fonctionne avec des certificats SSL personnalisés. https://www.portswigger.net/Burp/
5	Firefox Tamper Data Utilisez tamperdata pour afficher et modifier les en-têtes HTTP / HTTPS et les paramètres de publication https://addons.mozilla.org/en-US
6	Firefox Web Developer Tools L'extension Web Developer ajoute divers outils de développement Web au navigateur. https://addons.mozilla.org/en-US/firefox
sept	Cookie Editor Permet à l'utilisateur d'ajouter, supprimer, modifier, rechercher, protéger et bloquer les cookies https://chrome.google.com/webstore

Ensembles d'outils spécifiques

Les outils suivants peuvent nous aider à repérer un type particulier de vulnérabilité dans le système -

S.No.	Lien
1	DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/
2	OWASP SQLiX − SQL Injection https://www.owasp.org/index.php
3	Sqlninja − SQL Injection http://sqlninja.sourceforge.net/
4	SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/
5	sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/
6	SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools
sept	THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/
8	Brutus − Brute Force Password http://www.hoobie.net/brutus/
9	Ncat − Brute Force Password https://nmap.org/ncat/
dix	OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/
11	Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz
12	Metasploit − Testing Buffer Overflow https://www.metasploit.com/

Outils de test commerciaux Black Box

Voici quelques-uns des outils de test de boîte noire commerciale qui nous aident à repérer les problèmes de sécurité dans les applications que nous développons.

S.Non	Outil
1	NGSSQuirreL https://www.nccgroup.com/en/our-services
2	IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/
3	Acunetix Web Vulnerability Scanner https://www.acunetix.com/
4	NTOSpider https://www.ntobjectives.com/products/ntospider.php
5	SOAP UI https://www.soapui.org/Security/getting-started.html
6	Netsparker https://www.mavitunasecurity.com/netsparker/
sept	HP WebInspect http://www.hpenterprisesecurity.com/products

Analyseurs de code source gratuits

S.Non	Outil
1	OWASP Orizon https://www.owasp.org/index.php
2	OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform
3	SearchDiggity https://www.bishopfox.com/resources/tools
4	FXCOP https://www.owasp.org/index.php/FxCop
5	Splint http://splint.org/
6	Boon https://www.cs.berkeley.edu/~daw/boon/
sept	W3af http://w3af.org/
8	FlawFinder https://www.dwheeler.com/flawfinder/
9	FindBugs http://findbugs.sourceforge.net/

Analyseurs de code source commercial

Ces analyseurs examinent, détectent et signalent les faiblesses du code source, qui sont sujettes à des vulnérabilités -

S.Non	Outil
1	Parasoft C/C++ test https://www.parasoft.com/cpptest/
2	HP Fortify http://www.hpenterprisesecurity.com/products
3	Appscan http://www-01.ibm.com/software/rational/products
4	Veracode https://www.veracode.com
5	Armorize CodeSecure http://www.armorize.com/codesecure/
6	GrammaTech https://www.grammatech.com/