8 Ferramentas de teste de segurança Open Source

Página Traduzida por Google.com

Se incidentes de segurança como heartbleed, a Apple gotofail falha, ataque POODLE nos ensinaram alguma coisa, é que a segurança da web não pode ser tomada de ânimo leve e até mesmo o melhor de nós não são seguros a partir dele. Ferramentas de teste de segurança da Web são úteis na detecção de vulnerabilidades de aplicativos de forma proativa e salvaguardar websites contra ataques.

Aqui estão 8 ferramentas de código aberto que são populares entre os testadores de segurança:

Vega – É uma ferramenta de varredura de vulnerabilidades e testes escritos em Java. Ele funciona com as plataformas OS X, Linux e Windows. É GUI habilitado e inclui um scanner automatizado e um proxy de interceptação. Ele pode detectar vulnerabilidades em aplicações web como injeção de SQL, injeção de cabeçalho, cross site scripting etc. Pode ser estendida através de uma API JavaScript.
https://subgraph.com/vega/

ZED Proxy Attack (ZAP) – Ele foi desenvolvido pela AWASP e está disponível para as plataformas Windows, Unix / Linux e Macintosh. Tem elevada facilidade de utilização. Ele pode ser usado como um scanner ou para interceptar um proxy para testar manualmente uma página da web. Suas principais características são tradicionais e AJAX aranhas, Fuzzer, apoio soquete Web e uma API baseada em REST
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Wapiti – Ele executa uma varredura blackbox e injeta cargas úteis para verificar se um script é vulnerável. Ele suporta tanto GET e métodos de ataque POSTHTTP. Ele detecta vulnerabilidades como arquivo de Divulgação, arquivo inclusão, Cross Site Scripting (XSS), configuração de .htaccess fraco etc.
http://wapiti.sourceforge.net/

W3af – É uma auditoria de aplicações web e quadro ataque que é eficaz contra mais de 200 vulnerabilidades. Ele tem uma interface gráfica com ferramentas especializadas que podem ser utilizados para enviar pedido de HTTP e respostas de HTTP cluster. Se um site é protegido, ele pode usar módulos de autenticação para digitalizá-los. A saída pode ser conectado a um console, um arquivo ou enviados via e-mail.
http://w3af.org/

Ferro Wasp – É uma poderosa ferramenta de varredura baseado em GUI que pode verificar mais de 25 tipos de vulnerabilidades da web. Ele pode detectar falsos positivos e falsos negativos. Ele é construído sobre Python e Ruby e gera relatórios HTML e RTF.
https://ironwasp.org/

SqlMap – Ele detecta vulnerabilidade de injeção SQL em um banco de dados site. Ele pode ser usado em uma ampla gama de bancos de dados e suporta 6 tipos de técnicas de injeção SQL: cegos baseado em tempo, cegos à base de boolean, baseada em erro, consulta união, consultas empilhados e out-of-band. Ele pode se conectar diretamente ao banco de dados sem usar uma injeção SQL e tem grandes recursos de impressão digital banco de dados e enumeração.
http://sqlmap.org/

Google Nogotofail – É uma ferramenta de teste de segurança de tráfego de rede. Ele verifica pedido de vulnerabilidades TLS / SSL conhecidas e mis-configurações. Faz a varredura de SSL / TLS criptografado conexões e verifica se eles são vulneráveis ​​a ataques man-in-the-middle (MITM). Ele pode ser configurado como um roteador, servidor VPN ou servidor proxy.
https://github.com/google/nogotofail

Carne bovina (Navegador Exploitation Framework) – Ele detecta fraqueza aplicação utilizando vulnerabilidades do navegador. Ele usa vetores de ataque do lado do cliente para verificar a segurança de uma aplicação. Ele pode emitir comandos do navegador, como redirecionamento, mudando URLs, gerando caixas de diálogo, etc.
http://beefproject.com/

Leia sobre os diferentes tipos de testes de segurança e ferramentas que permitem os testes em White paper da Gallop em ferramentas de teste de segurança.
Leia mais em http://www.gallop.net/blog/8-open-source-security-testing-tools-to-test-your-website/#HgSscuTjRDCKvfAQ.99 – Página Traduzida

More from Security

---