Kiểm tra bảo mật - Công cụ tự động hóa

Có nhiều công cụ khác nhau có sẵn để thực hiện kiểm tra bảo mật của một ứng dụng. Có một số công cụ có thể thực hiện kiểm tra bảo mật đầu cuối trong khi một số công cụ dành riêng để phát hiện một loại lỗ hổng cụ thể trong hệ thống.

Công cụ nguồn mở

Một số công cụ kiểm tra bảo mật nguồn mở như đã cho -

Không. Tên công cụ
1

Zed Attack Proxy

Cung cấp Máy quét tự động và các công cụ khác để phát hiện các lỗi bảo mật.

https://www.owasp.org

2

OWASP WebScarab

Được phát triển bằng Java để phân tích yêu cầu Http và Https.

https://www.owasp.org/index.php

3

OWASP Mantra

Hỗ trợ khung kiểm tra bảo mật đa ngôn ngữ

https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework

4

Burp Proxy

Công cụ chặn & điều chỉnh lưu lượng truy cập và hoạt động với chứng chỉ SSL tùy chỉnh.

https://www.portswigger.net/Burp/

5

Firefox Tamper Data

Sử dụng giả mạo dữ liệu để xem và sửa đổi tiêu đề HTTP / HTTPS và các thông số đăng

https://addons.mozilla.org/en-US

6

Firefox Web Developer Tools

Tiện ích mở rộng Nhà phát triển web thêm nhiều công cụ dành cho nhà phát triển web khác nhau vào trình duyệt.

https://addons.mozilla.org/en-US/firefox

7

Cookie Editor

Cho phép người dùng thêm, xóa, chỉnh sửa, tìm kiếm, bảo vệ và chặn cookie

https://chrome.google.com/webstore

Bộ công cụ cụ thể

Các công cụ sau đây có thể giúp chúng tôi phát hiện một loại lỗ hổng cụ thể trong hệ thống:

Không. Liên kết
1

DOMinator Pro − Testing for DOM XSS

https://dominator.mindedsecurity.com/

2

OWASP SQLiX − SQL Injection

https://www.owasp.org/index.php

3

Sqlninja − SQL Injection

http://sqlninja.sourceforge.net/

4

SQLInjector − SQL Injection

https://sourceforge.net/projects/safe3si/

5

sqlpowerinjector − SQL Injection

http://www.sqlpowerinjector.com/

6

SSL Digger − Testing SSL

https://www.mcafee.com/us/downloads/free-tools

7

THC-Hydra − Brute Force Password

https://www.thc.org/thc-hydra/

số 8

Brutus − Brute Force Password

http://www.hoobie.net/brutus/

9

Ncat − Brute Force Password

https://nmap.org/ncat/

10

OllyDbg − Testing Buffer Overflow

http://www.ollydbg.de/

11

Spike − Testing Buffer Overflow

https://www.immunitysec.com/downloads/SPIKE2.9.tgz

12

Metasploit − Testing Buffer Overflow

https://www.metasploit.com/

Công cụ kiểm tra hộp đen thương mại

Dưới đây là một số công cụ kiểm tra hộp đen thương mại giúp chúng tôi phát hiện các vấn đề bảo mật trong các ứng dụng mà chúng tôi phát triển.

S. không Dụng cụ
1

NGSSQuirreL

https://www.nccgroup.com/en/our-services

2

IBM AppScan

https://www-01.ibm.com/software/awdtools/appscan/

3

Acunetix Web Vulnerability Scanner

https://www.acunetix.com/

4

NTOSpider

https://www.ntobjectives.com/products/ntospider.php

5

SOAP UI

https://www.soapui.org/Security/getting-started.html

6

Netsparker

https://www.mavitunasecurity.com/netsparker/

7

HP WebInspect

http://www.hpenterprisesecurity.com/products

Trình phân tích mã nguồn miễn phí

S. không Dụng cụ
1

OWASP Orizon

https://www.owasp.org/index.php

2

OWASP O2

https://www.owasp.org/index.php/OWASP_O2_Platform

3

SearchDiggity

https://www.bishopfox.com/resources/tools

4

FXCOP

https://www.owasp.org/index.php/FxCop

5

Splint

http://splint.org/

6

Boon

https://www.cs.berkeley.edu/~daw/boon/

7

W3af

http://w3af.org/

số 8

FlawFinder

https://www.dwheeler.com/flawfinder/

9

FindBugs

http://findbugs.sourceforge.net/

Máy phân tích mã nguồn thương mại

Các bộ phân tích này kiểm tra, phát hiện và báo cáo các điểm yếu trong mã nguồn, dễ có lỗ hổng bảo mật -

S. không Dụng cụ
1

Parasoft C/C++ test

https://www.parasoft.com/cpptest/

2

HP Fortify

http://www.hpenterprisesecurity.com/products

3

Appscan

http://www-01.ibm.com/software/rational/products

4

Veracode

https://www.veracode.com

5

Armorize CodeSecure

http://www.armorize.com/codesecure/

6

GrammaTech

https://www.grammatech.com/