Test di sicurezza - Strumenti di automazione
Sono disponibili vari strumenti per eseguire test di sicurezza di un'applicazione. Ci sono pochi strumenti in grado di eseguire test di sicurezza end-to-end, mentre alcuni sono dedicati a individuare un particolare tipo di difetto nel sistema.
Strumenti open source
Alcuni strumenti di test di sicurezza open source sono i seguenti:
S.No. | Nome strumento |
---|---|
1 | Zed Attack Proxy Fornisce scanner automatici e altri strumenti per individuare i difetti di sicurezza. https://www.owasp.org |
2 | OWASP WebScarab Sviluppato in Java per l'analisi delle richieste Http e Https. https://www.owasp.org/index.php |
3 | OWASP Mantra Supporta framework di test di sicurezza multilingue https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
4 | Burp Proxy Strumento per intercettare e modificare il traffico e funziona con certificati SSL personalizzati. https://www.portswigger.net/Burp/ |
5 | Firefox Tamper Data Utilizza i dati di manomissione per visualizzare e modificare le intestazioni HTTP / HTTPS e i parametri dei post https://addons.mozilla.org/en-US |
6 | Firefox Web Developer Tools L'estensione per sviluppatori Web aggiunge vari strumenti per sviluppatori Web al browser. https://addons.mozilla.org/en-US/firefox |
7 | Cookie Editor Consente all'utente di aggiungere, eliminare, modificare, cercare, proteggere e bloccare i cookie https://chrome.google.com/webstore |
Set di strumenti specifici
I seguenti strumenti possono aiutarci a individuare un particolare tipo di vulnerabilità nel sistema:
S.No. | Link |
---|---|
1 | DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/ |
2 | OWASP SQLiX − SQL Injection https://www.owasp.org/index.php |
3 | Sqlninja − SQL Injection http://sqlninja.sourceforge.net/ |
4 | SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/ |
5 | sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/ |
6 | SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools |
7 | THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/ |
8 | Brutus − Brute Force Password http://www.hoobie.net/brutus/ |
9 | Ncat − Brute Force Password https://nmap.org/ncat/ |
10 | OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/ |
11 | Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
12 | Metasploit − Testing Buffer Overflow https://www.metasploit.com/ |
Strumenti commerciali per test Black Box
Di seguito sono riportati alcuni degli strumenti di test black box commerciali che ci aiutano a individuare i problemi di sicurezza nelle applicazioni che sviluppiamo.
S.No | Attrezzo |
---|---|
1 | NGSSQuirreL https://www.nccgroup.com/en/our-services |
2 | IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/ |
3 | Acunetix Web Vulnerability Scanner https://www.acunetix.com/ |
4 | NTOSpider https://www.ntobjectives.com/products/ntospider.php |
5 | SOAP UI https://www.soapui.org/Security/getting-started.html |
6 | Netsparker https://www.mavitunasecurity.com/netsparker/ |
7 | HP WebInspect http://www.hpenterprisesecurity.com/products |
Analizzatori di codice sorgente gratuiti
S.No | Attrezzo |
---|---|
1 | OWASP Orizon https://www.owasp.org/index.php |
2 | OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform |
3 | SearchDiggity https://www.bishopfox.com/resources/tools |
4 | FXCOP https://www.owasp.org/index.php/FxCop |
5 | Splint http://splint.org/ |
6 | Boon https://www.cs.berkeley.edu/~daw/boon/ |
7 | W3af http://w3af.org/ |
8 | FlawFinder https://www.dwheeler.com/flawfinder/ |
9 | FindBugs http://findbugs.sourceforge.net/ |
Analizzatori di codice sorgente commerciale
Questi analizzatori esaminano, rilevano e segnalano i punti deboli del codice sorgente, che sono soggetti a vulnerabilità:
S.No | Attrezzo |
---|---|
1 | Parasoft C/C++ test https://www.parasoft.com/cpptest/ |
2 | HP Fortify http://www.hpenterprisesecurity.com/products |
3 | Appscan http://www-01.ibm.com/software/rational/products |
4 | Veracode https://www.veracode.com |
5 | Armorize CodeSecure http://www.armorize.com/codesecure/ |
6 | GrammaTech https://www.grammatech.com/ |