सुरक्षा परीक्षण - स्वचालन उपकरण
किसी एप्लिकेशन के सुरक्षा परीक्षण करने के लिए विभिन्न उपकरण उपलब्ध हैं। कुछ उपकरण हैं जो एंड-टू-एंड सुरक्षा परीक्षण कर सकते हैं, जबकि कुछ सिस्टम में एक विशेष प्रकार की खामी के लिए समर्पित हैं।
ओपन सोर्स टूल्स
कुछ खुले स्रोत सुरक्षा परीक्षण उपकरण दिए गए हैं -
| क्र.सं. | उपकरण का नाम |
|---|---|
| 1 | Zed Attack Proxy सुरक्षा खामियों को दूर करने के लिए स्वचालित स्कैनर्स और अन्य उपकरण प्रदान करता है। https://www.owasp.org |
| 2 | OWASP WebScarab Http और Https अनुरोधों के विश्लेषण के लिए जावा में विकसित। https://www.owasp.org/index.php |
| 3 | OWASP Mantra बहुभाषी सुरक्षा परीक्षण ढांचे का समर्थन करता है https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
| 4 | Burp Proxy इंटरसेप्टिंग और मोदिफिंग ट्रैफिक के लिए टूल और कस्टम एसएसएल सर्टिफिकेट के साथ काम करता है। https://www.portswigger.net/Burp/ |
| 5 | Firefox Tamper Data HTTP / HTTPS हेडर और पोस्ट मापदंडों को देखने और संशोधित करने के लिए टेम्परडेटा का उपयोग करें https://addons.mozilla.org/en-US |
| 6 | Firefox Web Developer Tools वेब डेवलपर एक्सटेंशन ब्राउज़र में विभिन्न वेब डेवलपर टूल जोड़ता है। https://addons.mozilla.org/en-US/firefox |
| 7 | Cookie Editor कुकीज़ को जोड़ने, हटाने, संपादित करने, खोजने, सुरक्षित रखने और ब्लॉक करने के लिए उपयोगकर्ता की सुविधा देता है https://chrome.google.com/webstore |
विशिष्ट उपकरण सेट
निम्नलिखित उपकरण प्रणाली में एक विशेष प्रकार की भेद्यता को देखने में हमारी मदद कर सकते हैं -
| क्र.सं. | संपर्क |
|---|---|
| 1 | DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/ |
| 2 | OWASP SQLiX − SQL Injection https://www.owasp.org/index.php |
| 3 | Sqlninja − SQL Injection http://sqlninja.sourceforge.net/ |
| 4 | SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/ |
| 5 | sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/ |
| 6 | SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools |
| 7 | THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/ |
| 8 | Brutus − Brute Force Password http://www.hoobie.net/brutus/ |
| 9 | Ncat − Brute Force Password https://nmap.org/ncat/ |
| 10 | OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/ |
| 1 1 | Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
| 12 | Metasploit − Testing Buffer Overflow https://www.metasploit.com/ |
वाणिज्यिक ब्लैक बॉक्स परीक्षण उपकरण
यहां कुछ वाणिज्यिक ब्लैक बॉक्स परीक्षण उपकरण दिए गए हैं जो हमें उन अनुप्रयोगों में सुरक्षा समस्याओं को सुलझाने में मदद करते हैं जो हम विकसित करते हैं।
| S.No | साधन |
|---|---|
| 1 | NGSSQuirreL https://www.nccgroup.com/en/our-services |
| 2 | IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/ |
| 3 | Acunetix Web Vulnerability Scanner https://www.acunetix.com/ |
| 4 | NTOSpider https://www.ntobjectives.com/products/ntospider.php |
| 5 | SOAP UI https://www.soapui.org/Security/getting-started.html |
| 6 | Netsparker https://www.mavitunasecurity.com/netsparker/ |
| 7 | HP WebInspect http://www.hpenterprisesecurity.com/products |
फ्री सोर्स कोड एनालाइजर
| S.No | साधन |
|---|---|
| 1 | OWASP Orizon https://www.owasp.org/index.php |
| 2 | OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform |
| 3 | SearchDiggity https://www.bishopfox.com/resources/tools |
| 4 | FXCOP https://www.owasp.org/index.php/FxCop |
| 5 | Splint http://splint.org/ |
| 6 | Boon https://www.cs.berkeley.edu/~daw/boon/ |
| 7 | W3af http://w3af.org/ |
| 8 | FlawFinder https://www.dwheeler.com/flawfinder/ |
| 9 | FindBugs http://findbugs.sourceforge.net/ |
वाणिज्यिक स्रोत कोड एनालाइज़र
ये विश्लेषक स्रोत कोड की कमजोरियों की जांच, पता लगाते हैं, और रिपोर्ट करते हैं, जो कमजोरियों की संभावना है -
| S.No | साधन |
|---|---|
| 1 | Parasoft C/C++ test https://www.parasoft.com/cpptest/ |
| 2 | HP Fortify http://www.hpenterprisesecurity.com/products |
| 3 | Appscan http://www-01.ibm.com/software/rational/products |
| 4 | Veracode https://www.veracode.com |
| 5 | Armorize CodeSecure http://www.armorize.com/codesecure/ |
| 6 | GrammaTech https://www.grammatech.com/ |