Testowanie bezpieczeństwa - narzędzia automatyzacji
Dostępnych jest wiele narzędzi do testowania bezpieczeństwa aplikacji. Istnieje kilka narzędzi, które mogą wykonywać kompleksowe testy bezpieczeństwa, a niektóre są przeznaczone do wykrywania określonego rodzaju usterki w systemie.
Narzędzia Open Source
Niektóre narzędzia do testowania bezpieczeństwa typu open source są takie, jak podano -
S.No. | Nazwa narzędzia |
---|---|
1 | Zed Attack Proxy Zapewnia automatyczne skanery i inne narzędzia do wykrywania luk w zabezpieczeniach. https://www.owasp.org |
2 | OWASP WebScarab Opracowany w języku Java do analizowania żądań HTTP i HTTP. https://www.owasp.org/index.php |
3 | OWASP Mantra Obsługuje wielojęzyczne ramy testowania bezpieczeństwa https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
4 | Burp Proxy Narzędzie do przechwytywania i modyfikowania ruchu i działa z niestandardowymi certyfikatami SSL. https://www.portswigger.net/Burp/ |
5 | Firefox Tamper Data Użyj tamperdata, aby wyświetlić i zmodyfikować nagłówki HTTP / HTTPS i parametry wiadomości https://addons.mozilla.org/en-US |
6 | Firefox Web Developer Tools Rozszerzenie dla programistów WWW dodaje do przeglądarki różne narzędzia programistyczne. https://addons.mozilla.org/en-US/firefox |
7 | Cookie Editor Pozwala użytkownikowi dodawać, usuwać, edytować, wyszukiwać, chronić i blokować pliki cookie https://chrome.google.com/webstore |
Specjalne zestawy narzędzi
Poniższe narzędzia mogą pomóc nam wykryć określony typ luki w systemie -
S.No. | Połączyć |
---|---|
1 | DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/ |
2 | OWASP SQLiX − SQL Injection https://www.owasp.org/index.php |
3 | Sqlninja − SQL Injection http://sqlninja.sourceforge.net/ |
4 | SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/ |
5 | sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/ |
6 | SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools |
7 | THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/ |
8 | Brutus − Brute Force Password http://www.hoobie.net/brutus/ |
9 | Ncat − Brute Force Password https://nmap.org/ncat/ |
10 | OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/ |
11 | Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
12 | Metasploit − Testing Buffer Overflow https://www.metasploit.com/ |
Komercyjne narzędzia do testowania czarnych skrzynek
Oto niektóre z komercyjnych narzędzi do testowania czarnych skrzynek, które pomagają nam wykrywać problemy z bezpieczeństwem w tworzonych przez nas aplikacjach.
S.Nr | Narzędzie |
---|---|
1 | NGSSQuirreL https://www.nccgroup.com/en/our-services |
2 | IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/ |
3 | Acunetix Web Vulnerability Scanner https://www.acunetix.com/ |
4 | NTOSpider https://www.ntobjectives.com/products/ntospider.php |
5 | SOAP UI https://www.soapui.org/Security/getting-started.html |
6 | Netsparker https://www.mavitunasecurity.com/netsparker/ |
7 | HP WebInspect http://www.hpenterprisesecurity.com/products |
Darmowe analizatory kodu źródłowego
S.Nr | Narzędzie |
---|---|
1 | OWASP Orizon https://www.owasp.org/index.php |
2 | OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform |
3 | SearchDiggity https://www.bishopfox.com/resources/tools |
4 | FXCOP https://www.owasp.org/index.php/FxCop |
5 | Splint http://splint.org/ |
6 | Boon https://www.cs.berkeley.edu/~daw/boon/ |
7 | W3af http://w3af.org/ |
8 | FlawFinder https://www.dwheeler.com/flawfinder/ |
9 | FindBugs http://findbugs.sourceforge.net/ |
Komercyjne analizatory kodu źródłowego
Analizatory te badają, wykrywają i zgłaszają słabe punkty w kodzie źródłowym, które są podatne na luki -
S.Nr | Narzędzie |
---|---|
1 | Parasoft C/C++ test https://www.parasoft.com/cpptest/ |
2 | HP Fortify http://www.hpenterprisesecurity.com/products |
3 | Appscan http://www-01.ibm.com/software/rational/products |
4 | Veracode https://www.veracode.com |
5 | Armorize CodeSecure http://www.armorize.com/codesecure/ |
6 | GrammaTech https://www.grammatech.com/ |