Güvenlik Testi - Otomasyon Araçları
Bir uygulamanın güvenlik testini gerçekleştirmek için çeşitli araçlar mevcuttur. Uçtan uca güvenlik testi yapabilen birkaç araç varken, bazıları sistemdeki belirli bir kusur türünü tespit etmeye adanmıştır.
Açık Kaynak Araçları
Bazı açık kaynak güvenlik test araçları verildiği gibidir -
| S.No. | Araç Adı |
|---|---|
| 1 | Zed Attack Proxy Güvenlik açıklarını tespit etmek için Otomatik Tarayıcılar ve diğer araçları sağlar. https://www.owasp.org |
| 2 | OWASP WebScarab Http ve Https isteklerini analiz etmek için Java'da geliştirildi. https://www.owasp.org/index.php |
| 3 | OWASP Mantra Çok dilli güvenlik testi çerçevesini destekler https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
| 4 | Burp Proxy Trafiği Önlemek ve Değiştirmek için Araç ve özel SSL sertifikalarıyla çalışır. https://www.portswigger.net/Burp/ |
| 5 | Firefox Tamper Data HTTP / HTTPS üstbilgilerini ve yayın parametrelerini görüntülemek ve değiştirmek için kurcalama verilerini kullanın https://addons.mozilla.org/en-US |
| 6 | Firefox Web Developer Tools Web Developer uzantısı, tarayıcıya çeşitli web geliştirici araçları ekler. https://addons.mozilla.org/en-US/firefox |
| 7 | Cookie Editor Kullanıcının çerezleri eklemesine, silmesine, düzenlemesine, aramasına, korumasına ve engellemesine izin verir https://chrome.google.com/webstore |
Özel Alet Setleri
Aşağıdaki araçlar, sistemdeki belirli bir güvenlik açığını tespit etmemize yardımcı olabilir -
| S.No. | Bağlantı |
|---|---|
| 1 | DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/ |
| 2 | OWASP SQLiX − SQL Injection https://www.owasp.org/index.php |
| 3 | Sqlninja − SQL Injection http://sqlninja.sourceforge.net/ |
| 4 | SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/ |
| 5 | sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/ |
| 6 | SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools |
| 7 | THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/ |
| 8 | Brutus − Brute Force Password http://www.hoobie.net/brutus/ |
| 9 | Ncat − Brute Force Password https://nmap.org/ncat/ |
| 10 | OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/ |
| 11 | Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz |
| 12 | Metasploit − Testing Buffer Overflow https://www.metasploit.com/ |
Ticari Kara Kutu Test araçları
Geliştirdiğimiz uygulamalardaki güvenlik sorunlarını tespit etmemize yardımcı olan ticari kara kutu test araçlarından bazıları aşağıda verilmiştir.
| S.No | Araç |
|---|---|
| 1 | NGSSQuirreL https://www.nccgroup.com/en/our-services |
| 2 | IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/ |
| 3 | Acunetix Web Vulnerability Scanner https://www.acunetix.com/ |
| 4 | NTOSpider https://www.ntobjectives.com/products/ntospider.php |
| 5 | SOAP UI https://www.soapui.org/Security/getting-started.html |
| 6 | Netsparker https://www.mavitunasecurity.com/netsparker/ |
| 7 | HP WebInspect http://www.hpenterprisesecurity.com/products |
Ücretsiz Kaynak Kod Analizörleri
| S.No | Araç |
|---|---|
| 1 | OWASP Orizon https://www.owasp.org/index.php |
| 2 | OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform |
| 3 | SearchDiggity https://www.bishopfox.com/resources/tools |
| 4 | FXCOP https://www.owasp.org/index.php/FxCop |
| 5 | Splint http://splint.org/ |
| 6 | Boon https://www.cs.berkeley.edu/~daw/boon/ |
| 7 | W3af http://w3af.org/ |
| 8 | FlawFinder https://www.dwheeler.com/flawfinder/ |
| 9 | FindBugs http://findbugs.sourceforge.net/ |
Ticari Kaynak Kod Analizörleri
Bu analizciler, kaynak kodundaki güvenlik açıklarına yatkın zayıflıkları inceler, tespit eder ve raporlar
| S.No | Araç |
|---|---|
| 1 | Parasoft C/C++ test https://www.parasoft.com/cpptest/ |
| 2 | HP Fortify http://www.hpenterprisesecurity.com/products |
| 3 | Appscan http://www-01.ibm.com/software/rational/products |
| 4 | Veracode https://www.veracode.com |
| 5 | Armorize CodeSecure http://www.armorize.com/codesecure/ |
| 6 | GrammaTech https://www.grammatech.com/ |