Página Traduzida por Google.com
Se incidentes de segurança como heartbleed, a Apple gotofail falha, ataque POODLE nos ensinaram alguma coisa, é que a segurança da web não pode ser tomada de ânimo leve e até mesmo o melhor de nós não são seguros a partir dele. Ferramentas de teste de segurança da Web são úteis na detecção de vulnerabilidades de aplicativos de forma proativa e salvaguardar websites contra ataques.
Aqui estão 8 ferramentas de código aberto que são populares entre os testadores de segurança:
Vega – É uma ferramenta de varredura de vulnerabilidades e testes escritos em Java. Ele funciona com as plataformas OS X, Linux e Windows. É GUI habilitado e inclui um scanner automatizado e um proxy de interceptação. Ele pode detectar vulnerabilidades em aplicações web como injeção de SQL, injeção de cabeçalho, cross site scripting etc. Pode ser estendida através de uma API JavaScript.
https://subgraph.com/vega/
ZED Proxy Attack (ZAP) – Ele foi desenvolvido pela AWASP e está disponível para as plataformas Windows, Unix / Linux e Macintosh. Tem elevada facilidade de utilização. Ele pode ser usado como um scanner ou para interceptar um proxy para testar manualmente uma página da web. Suas principais características são tradicionais e AJAX aranhas, Fuzzer, apoio soquete Web e uma API baseada em REST
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Wapiti – Ele executa uma varredura blackbox e injeta cargas úteis para verificar se um script é vulnerável. Ele suporta tanto GET e métodos de ataque POSTHTTP. Ele detecta vulnerabilidades como arquivo de Divulgação, arquivo inclusão, Cross Site Scripting (XSS), configuração de .htaccess fraco etc.
http://wapiti.sourceforge.net/
W3af – É uma auditoria de aplicações web e quadro ataque que é eficaz contra mais de 200 vulnerabilidades. Ele tem uma interface gráfica com ferramentas especializadas que podem ser utilizados para enviar pedido de HTTP e respostas de HTTP cluster. Se um site é protegido, ele pode usar módulos de autenticação para digitalizá-los. A saída pode ser conectado a um console, um arquivo ou enviados via e-mail.
http://w3af.org/
Ferro Wasp – É uma poderosa ferramenta de varredura baseado em GUI que pode verificar mais de 25 tipos de vulnerabilidades da web. Ele pode detectar falsos positivos e falsos negativos. Ele é construído sobre Python e Ruby e gera relatórios HTML e RTF.
https://ironwasp.org/
SqlMap – Ele detecta vulnerabilidade de injeção SQL em um banco de dados site. Ele pode ser usado em uma ampla gama de bancos de dados e suporta 6 tipos de técnicas de injeção SQL: cegos baseado em tempo, cegos à base de boolean, baseada em erro, consulta união, consultas empilhados e out-of-band. Ele pode se conectar diretamente ao banco de dados sem usar uma injeção SQL e tem grandes recursos de impressão digital banco de dados e enumeração.
http://sqlmap.org/
Google Nogotofail – É uma ferramenta de teste de segurança de tráfego de rede. Ele verifica pedido de vulnerabilidades TLS / SSL conhecidas e mis-configurações. Faz a varredura de SSL / TLS criptografado conexões e verifica se eles são vulneráveis a ataques man-in-the-middle (MITM). Ele pode ser configurado como um roteador, servidor VPN ou servidor proxy.
https://github.com/google/nogotofail
Carne bovina (Navegador Exploitation Framework) – Ele detecta fraqueza aplicação utilizando vulnerabilidades do navegador. Ele usa vetores de ataque do lado do cliente para verificar a segurança de uma aplicação. Ele pode emitir comandos do navegador, como redirecionamento, mudando URLs, gerando caixas de diálogo, etc.
http://beefproject.com/
Leia sobre os diferentes tipos de testes de segurança e ferramentas que permitem os testes em White paper da Gallop em ferramentas de teste de segurança.
Leia mais em http://www.gallop.net/blog/8-open-source-security-testing-tools-to-test-your-website/#HgSscuTjRDCKvfAQ.99 – Página Traduzida
More from Security
Da série: Testes de Segurança — EP 1 Injection
Para iniciarmos esta série precisaremos entender alguns conceitos :) Preparados? Quais são riscos de segurança nas aplicações O “atacante” pode utilizar vários …
Da série: Testes de Segurança — Introdução
Muito se ouve falar em vazamentos de informações, de venda de informações, uso indevido de informações e assim vai…. os …
Segurança! Pra que? (Links)
Bom, vou inserir abaixo alguns links interessantes sobre Segurança: Web: [button color="red" size="small" link="http://owasptop10.googlecode.com/files/OWASP_Top_10_-_2013_Brazilian_Portuguese.pdf" icon="fa-book" target="true"]Top 10 de 2013[/button] [button color="red" size="small" link="https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Main" …
1 Comment
[…] [1] http://www.devmedia.com.br/teste-de-seguranca-agregando-confianca-ao-software/27792 [2] http://www.qualister.com.br/blog/introducao-a-testes-de-seguranca-de-sistemas-web [3] http://bstqb.org.br/uploads/syllabus/syllabus_ctal_st_2016br.pdf [4] http://quatest.com.br/Portal/8-ferramentas-de-teste-de-seguranca-open-source/ […]
Ficamos felizes em termos contribuido! 🙂