セキュリティテスト-自動化ツール
アプリケーションのセキュリティテストを実行するために利用できるさまざまなツールがあります。エンドツーエンドのセキュリティテストを実行できるツールはほとんどありませんが、システムの特定の種類の欠陥を見つけることに専念しているツールもあります。
オープンソースツール
いくつかのオープンソースのセキュリティテストツールは次のとおりです-
| S.No. | ツール名 |
|---|---|
| 1 | Zed Attack Proxy セキュリティ上の欠陥を発見するための自動スキャナーおよびその他のツールを提供します。 https://www.owasp.org |
| 2 | OWASP WebScarab HttpおよびHttpsリクエストを分析するためにJavaで開発されました。 https://www.owasp.org/index.php |
| 3 | OWASP Mantra 多言語のセキュリティテストフレームワークをサポート https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
| 4 | Burp Proxy トラフィックを傍受および変更するためのツールであり、カスタムSSL証明書を使用して動作します。 https://www.portswigger.net/Burp/ |
| 5 | Firefox Tamper Data tamperdataを使用して、HTTP / HTTPSヘッダーとPOSTパラメーターを表示および変更します https://addons.mozilla.org/en-US |
| 6 | Firefox Web Developer Tools Web Developer拡張機能は、さまざまなWeb開発者ツールをブラウザーに追加します。 https://addons.mozilla.org/en-US/firefox |
| 7 | Cookie Editor ユーザーがCookieを追加、削除、編集、検索、保護、およびブロックできるようにします https://chrome.google.com/webstore |
特定のツールセット
次のツールは、システムの特定のタイプの脆弱性を見つけるのに役立ちます-
| S.No. | リンク |
|---|---|
| 1 | DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/ |
| 2 | OWASP SQLiX − SQL Injection https://www.owasp.org/index.php |
| 3 | Sqlninja − SQL Injection http://sqlninja.sourceforge.net/ |
| 4 | SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/ |
| 5 | sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/ |
| 6 | SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools |
| 7 | THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/ |
| 8 | Brutus − Brute Force Password http://www.hoobie.net/brutus/ |
| 9 | Ncat − Brute Force Password https://nmap.org/ncat/ |
| 10 | OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/ |
| 11 | Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
| 12 | Metasploit − Testing Buffer Overflow https://www.metasploit.com/ |
商用ブラックボックステストツール
開発するアプリケーションのセキュリティ問題を見つけるのに役立つ商用ブラックボックステストツールのいくつかを次に示します。
| S.No | ツール |
|---|---|
| 1 | NGSSQuirreL https://www.nccgroup.com/en/our-services |
| 2 | IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/ |
| 3 | Acunetix Web Vulnerability Scanner https://www.acunetix.com/ |
| 4 | NTOSpider https://www.ntobjectives.com/products/ntospider.php |
| 5 | SOAP UI https://www.soapui.org/Security/getting-started.html |
| 6 | Netsparker https://www.mavitunasecurity.com/netsparker/ |
| 7 | HP WebInspect http://www.hpenterprisesecurity.com/products |
無料のソースコードアナライザー
| S.No | ツール |
|---|---|
| 1 | OWASP Orizon https://www.owasp.org/index.php |
| 2 | OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform |
| 3 | SearchDiggity https://www.bishopfox.com/resources/tools |
| 4 | FXCOP https://www.owasp.org/index.php/FxCop |
| 5 | Splint http://splint.org/ |
| 6 | Boon https://www.cs.berkeley.edu/~daw/boon/ |
| 7 | W3af http://w3af.org/ |
| 8 | FlawFinder https://www.dwheeler.com/flawfinder/ |
| 9 | FindBugs http://findbugs.sourceforge.net/ |
商用ソースコードアナライザー
これらのアナライザーは、脆弱性が発生しやすいソースコードの弱点を調査、検出、および報告します。
| S.No | ツール |
|---|---|
| 1 | Parasoft C/C++ test https://www.parasoft.com/cpptest/ |
| 2 | HP Fortify http://www.hpenterprisesecurity.com/products |
| 3 | Appscan http://www-01.ibm.com/software/rational/products |
| 4 | Veracode https://www.veracode.com |
| 5 | Armorize CodeSecure http://www.armorize.com/codesecure/ |
| 6 | GrammaTech https://www.grammatech.com/ |