การทดสอบความปลอดภัย - เครื่องมืออัตโนมัติ
มีเครื่องมือต่าง ๆ เพื่อทำการทดสอบความปลอดภัยของแอปพลิเคชัน มีเครื่องมือเพียงไม่กี่เครื่องมือที่สามารถทำการทดสอบความปลอดภัยแบบ end-to-end ได้ในขณะที่บางประเภทมีไว้เพื่อตรวจหาข้อบกพร่องบางประเภทในระบบโดยเฉพาะ
เครื่องมือโอเพนซอร์ส
เครื่องมือทดสอบความปลอดภัยโอเพนซอร์สบางตัวมีดังที่กำหนด -
| ส. | ชื่อเครื่องมือ |
|---|---|
| 1 | Zed Attack Proxy มีเครื่องสแกนอัตโนมัติและเครื่องมืออื่น ๆ สำหรับตรวจจับข้อบกพร่องด้านความปลอดภัย https://www.owasp.org |
| 2 | OWASP WebScarab พัฒนาใน Java สำหรับการวิเคราะห์คำขอ Http และ Https https://www.owasp.org/index.php |
| 3 | OWASP Mantra รองรับกรอบการทดสอบความปลอดภัยหลายภาษา https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
| 4 | Burp Proxy เครื่องมือสำหรับสกัดกั้นและลอกเลียนการรับส่งข้อมูลและทำงานร่วมกับใบรับรอง SSL ที่กำหนดเอง https://www.portswigger.net/Burp/ |
| 5 | Firefox Tamper Data ใช้ tamperdata เพื่อดูและแก้ไขส่วนหัว HTTP / HTTPS และโพสต์พารามิเตอร์ https://addons.mozilla.org/en-US |
| 6 | Firefox Web Developer Tools ส่วนขยาย Web Developer จะเพิ่มเครื่องมือสำหรับนักพัฒนาเว็บต่างๆให้กับเบราว์เซอร์ https://addons.mozilla.org/en-US/firefox |
| 7 | Cookie Editor ให้ผู้ใช้เพิ่มลบแก้ไขค้นหาป้องกันและบล็อกคุกกี้ https://chrome.google.com/webstore |
ชุดเครื่องมือเฉพาะ
เครื่องมือต่อไปนี้สามารถช่วยให้เราระบุช่องโหว่บางประเภทในระบบได้ -
| ส. | ลิงค์ |
|---|---|
| 1 | DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/ |
| 2 | OWASP SQLiX − SQL Injection https://www.owasp.org/index.php |
| 3 | Sqlninja − SQL Injection http://sqlninja.sourceforge.net/ |
| 4 | SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/ |
| 5 | sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/ |
| 6 | SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools |
| 7 | THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/ |
| 8 | Brutus − Brute Force Password http://www.hoobie.net/brutus/ |
| 9 | Ncat − Brute Force Password https://nmap.org/ncat/ |
| 10 | OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/ |
| 11 | Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
| 12 | Metasploit − Testing Buffer Overflow https://www.metasploit.com/ |
เครื่องมือทดสอบกล่องดำเชิงพาณิชย์
นี่คือเครื่องมือทดสอบกล่องดำเชิงพาณิชย์บางส่วนที่ช่วยให้เราพบปัญหาด้านความปลอดภัยในแอปพลิเคชันที่เราพัฒนา
| ส. เลขที่ | เครื่องมือ |
|---|---|
| 1 | NGSSQuirreL https://www.nccgroup.com/en/our-services |
| 2 | IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/ |
| 3 | Acunetix Web Vulnerability Scanner https://www.acunetix.com/ |
| 4 | NTOSpider https://www.ntobjectives.com/products/ntospider.php |
| 5 | SOAP UI https://www.soapui.org/Security/getting-started.html |
| 6 | Netsparker https://www.mavitunasecurity.com/netsparker/ |
| 7 | HP WebInspect http://www.hpenterprisesecurity.com/products |
เครื่องวิเคราะห์ซอร์สโค้ดฟรี
| ส. เลขที่ | เครื่องมือ |
|---|---|
| 1 | OWASP Orizon https://www.owasp.org/index.php |
| 2 | OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform |
| 3 | SearchDiggity https://www.bishopfox.com/resources/tools |
| 4 | FXCOP https://www.owasp.org/index.php/FxCop |
| 5 | Splint http://splint.org/ |
| 6 | Boon https://www.cs.berkeley.edu/~daw/boon/ |
| 7 | W3af http://w3af.org/ |
| 8 | FlawFinder https://www.dwheeler.com/flawfinder/ |
| 9 | FindBugs http://findbugs.sourceforge.net/ |
เครื่องวิเคราะห์ซอร์สโค้ดเชิงพาณิชย์
เครื่องวิเคราะห์เหล่านี้จะตรวจสอบตรวจจับและรายงานจุดอ่อนในซอร์สโค้ดซึ่งมีแนวโน้มที่จะมีช่องโหว่ -
| ส. เลขที่ | เครื่องมือ |
|---|---|
| 1 | Parasoft C/C++ test https://www.parasoft.com/cpptest/ |
| 2 | HP Fortify http://www.hpenterprisesecurity.com/products |
| 3 | Appscan http://www-01.ibm.com/software/rational/products |
| 4 | Veracode https://www.veracode.com |
| 5 | Armorize CodeSecure http://www.armorize.com/codesecure/ |
| 6 | GrammaTech https://www.grammatech.com/ |