/

30+ безкоштовних інструментів для підвищення безпеки вашого веб-сайту та відвідувачів

Безкоштовні інструменти безпеки веб-сайту

Кібератаки – це повсякденне явище, і супутні витрати для організацій зростають. Однак ви можете пом’якшити кібер-катастрофу за допомогою безкоштовних інструментів безпеки веб-сайтів, які допоможуть вам виявити вразливості веб-сайтів та забезпечити безпеку відвідувачів, а точніше… безпечнішими

Можна подумати, що великі підприємства мають засоби та можливість контролювати свої програми на предмет вразливості веб-сайтів. Але, мабуть, ні. Лише кілька прикладів:

  • Порушення Yahoo 2013 року, яке відбулося в результаті порушення Yahoo, сталося в результаті атаки на підробку файлів cookie, яка дозволила хакерам пройти автентифікацію як будь-який інший користувач без пароля. Аналітики стверджують, що Yahoo міг запобігти збиткові, якби вжив швидших дій проти зловмисників.
  • Загін заголовку Panama Papers був результатом щонайменше двох невдач для оновлення програмного забезпечення:
    • Застаріла версія плагіну для слайдера зображення на WordPress
    • Трирічна версія Drupal, яка містила кілька відомих уразливостей
  • 17-річному програмісту знадобилося вказати підробку заявок на веб-сайт Flickr. Повідомлявши, Flikr знадобилося всього 12 годин, щоб виправити недолік.

Дивись також: Найбільші порушення даних в історії

Хоча жодна система безпеки – навіть ваша домашня безпека – не є надійною, регулярне сканування веб-сайтів може пройти довгий шлях до захисту від опортуністичних атак на ваші віртуальні активи. Візьміть американський нечіткий лоп (AFL), відкритий джерело, розроблений Міхалом Залевським з Google. Це допомогло знайти вразливості в різних популярних веб-додатках, включаючи Firefox, Flash, LibreOffice, Internet Explorer та Apple Safari. 

Поради щодо використання безкоштовних інструментів безпеки веб-сайту 

Багато розглянутих тут безкоштовних інструментів безпеки веб-сайтів мають подібні функції та функціональність. Часто це справа порівняння яблук з грушами. Не ображайтесь на найвищого постачальника безпеки Sucuri, але навіть у них складно відрізнити свій товар від інших:

“Кілька інших плагінів безпеки надають функції моніторингу активності, але деякі з них справляються добре […] Ми звузили основні функції, які, на наш погляд, є найбільш доречними для будь-якого власника веб-сайту.”

З цієї причини ми класифікували ці засоби та відзначили ключові переваги та недоліки кожного. Деякі категорії перекриваються; особливо, інструменти для сканування вразливості та тестування на проникнення.

Ви помітите, що список безкоштовних інструментів включає деякі, які використовуються спеціально для сканування веб-додатків. Чим відрізняється веб-сайт і додаток? Бен Шапіро з Segue Technologies надає вичерпну довгу відповідь. Якщо ви хочете короткої відповіді, stackoverflow задає її лаконічно:

“[Веб-сайт] – це сукупність документів, доступ до яких здійснюється через Інтернет через веб-браузер. Веб-сайти також можуть містити веб-додатки, які дозволяють відвідувачам виконувати онлайн-завдання, такі як: Пошук, Перегляд, Купівля, Оформити замовлення та Платити ».

Важливим є те, що ви повинні використовувати цілісний підхід при тестуванні свого веб-сайту. Якщо ви сумніваєтесь, просто протестуйте все. Безкоштовні інструменти безпеки веб-сайтів роблять це просто та не коштують нічого, крім вашого часу.

  • Розробіть стратегію тестування: Більшість інструментів безпеки веб-сайтів найкраще працюють з іншими типами засобів захисту. Хороший приклад – область тестування на проникнення. Адміністратори зазвичай використовують сканери вразливості перед тим, як використовувати інструмент тестування на проникнення для конкретних цілей, наприклад. мережеві порти або програми. Наприклад, Wireshark є і мережевим аналізатором, і інструментом тестування на проникнення.

    Універсальний сканер на вразливість, мабуть, найкраще місце для початку. Але якщо ви в першу чергу цікавитесь скануванням коду розробників, перейдіть до розділу статичних аналізаторів вихідного коду нижче. Хочете перевірити, наскільки безпечні ваші паролі? Ми знайшли кілька безкоштовних інструментів для розгортання пароля і для вас.

  • Один розмір підходить не всім: Усі безкоштовні інструменти безпеки веб-сайтів мають переваги та недоліки, і рідко існує рішення, яке відповідає одному розміру. Наприклад, як інструмент аналізатора, найвищий рейтинг інструменту мережевого сканування Wireshark виконує ту саму роботу, що і інструмент Fiddler, і більш ефективно. Однак Wireshark не може нюхати трафік на одній машині (localhost) в Windows. Якщо вам потрібно нюхати локальний трафік у Windows, вам доведеться скористатися Fiddler.
  • Аналіз результатів: Не довіряйте результатам одного сканування! Ми протестували ряд сканерів на безпечних і небезпечних сайтах, і результати помітно відрізнялися. Це приводить нас до помилкових позитивних результатів. Вони можуть дратувати, але майте на увазі, що вони кращі за хибні негативи. Щось таке просте, як зміна конфігурації або оновлення програмного забезпечення може викликати попередження, яке слід перевірити.
  • Отримайте безкоштовну підтримку:  Якщо ви хочете користуватися безкоштовними інструментами, в ідеалі вам слід мати деякі знання з безпеки, оскільки більшість безкоштовних інструментів не мають підтримки клієнтів; Ви повинні виконати всю брудну роботу самостійно. Крім того, відвідайте The Joomla! Форум, Ubuntu Форуми, ASP.NET, MBSA або Bleeping Computer для розміщення запитань і пошуку рішень.
  • Зберігайте його свіжим: Недоліком безкоштовних інструментів є те, що вони можуть не регулярно оновлюватися останніми відомими вразливими місцями. Завжди перевіряйте дату випуску останньої версії.

Що потрібно знати про безкоштовні інструменти безпеки веб-сайту

Методи тестування

Існує три основні типи інструментів, пов’язаних з виявленням вразливості програми:

  • Тестування чорної коробки – Метод тестування програмного забезпечення, що вивчає функціональність програми без вивчення її внутрішніх структур. Тестування фокусується на тому, що програмне забезпечення повинно робити, а не як. У цю категорію входять сканери вразливості, сканери безпеки веб-додатків та засоби проникнення.
  • Тестування білого ящика – метод тестування програмного забезпечення, що фокусується на внутрішніх структурах програми на рівні вихідного коду, на відміну від її функціональності. Статичні аналізатори вихідного коду та інструменти перевірки проникнення потрапляють до цієї категорії. За допомогою тестування на проникнення White testi, згідно з Вікіпедією, посилаються на методологію, коли хакер “Білого капелюха” має всі знання про атаку на систему. Мета тесту на проникнення у білу коробку – імітувати зловмисного інсайдера, який має знання та, можливо, базові дані для цільової системи.
  • Тестування сірого ящика – У кіберпросторі лінія розмежування категорій розмилася, що породило нову модель тестування, яка поєднує елементи методів Чорного та Білого поля.   

Поширені вразливості веб-сайтів

Поважний проект безпеки веб-додатків (OWASP) – це відкрита спільнота, яка надає можливість організаціям розробляти, купувати та підтримувати додатки, яким можна довіряти. Це орган зі стандартів безпеки веб-додатків та щорічно публікує список 10 найуразливіших веб-сайтів за певний рік.

Для кожної вразливості ми включили посилання на сайт, який надасть вам більше технічних деталей, якщо вас цікавить.

  1. Введення SQL – техніка введення коду, в якій зловмисні оператори SQL вставляються у поле введення для виконання. Методика використовується для маніпулювання (наприклад, завантаження) або пошкодження даних. Він орієнтований на введення користувача, який не підтверджений належним чином та не працює. Зловмисник може використовувати цю вразливість, замінюючи введення користувача власними командами, які надсилаються безпосередньо в базу даних. Приклад: Комісія Філіппін з питань виборів.
  2. Broken Authentication and Session Management – Функції програми, пов’язані з автентифікацією та керуванням сеансом, часто реалізуються неправильно, що дозволяє зловмисникам компрометувати паролі, ключі або секельні маркери або використовувати інші недоліки впровадження, щоб припустити особистість інших користувачів (тимчасово або постійно). Приклад: 17 порушень ЗМІ.  
  3. Перехресний сценарій (XSS) – Ця атака випускається в декількох смаках. В основному, він дозволяє зловмисникам вводити скрипти на стороні клієнта на веб-сторінки, які переглядають інші користувачі. Він спирається на базову концепцію довіри, відому як політика того самого походження, яка говорить про те, що якщо вмісту з одного сайту надається дозвіл на доступ до ресурсів у системі, то будь-який вміст із цього веб-сайту поділятиме ці дозволи. Порушуючи надійний сайт, зловмисники можуть включати свій шкідливий вміст у вміст, який передається на клієнтський сайт, та отримувати доступ до його інформаційних скарбів. Приклад: EBay зберігається XSS.
  4. Порушений контроль доступу – Зловмисники можуть використовувати витоки або недоліки у функціях управління аутентифікацією або сеансом (наприклад, відкриті облікові записи, паролі, ідентифікатори сеансу), щоб представити себе користувачами. Приклад: Порушення пошуку дорослого друга.
  5. Недоліки в налаштуваннях безпеки – це результат “неправильного складання захисних засобів веб-додатка”, що залишає зламну дірку в безпеці на сервері, базі даних, фреймворку чи коді. Приклад: Порушення виборців у Мексиці.
  6. Чутливе опромінення даних – Багато веб-додатків та API не захищають належним чином конфіденційну інформацію, таку як фінансові дані чи дані про охорону здоров’я. Зловмисники можуть викрадати або змінювати слабко захищені дані для вчинення шахрайства з кредитною карткою, крадіжки особи або інших злочинів. Чутливі дані заслуговують на додатковий захист, такий як шифрування в спокої або під час перевезення, а також особливі заходи безпеки при обміні з браузером.. Приклад: Індійський інститут управління.
  7. Недостатній захист від атак – Більшість програм та API не мають базової здатності виявляти, запобігати та реагувати на ручні та автоматизовані атаки. Захист від атаки виходить далеко за межі базової перевірки вводу і включає автоматичне виявлення, реєстрацію, реагування та навіть блокування спроб експлуатації. Власники програм також повинні мати можливість швидко розгортати патчі для захисту від атак. Приклад: Три порушення.
  8. Підробка запиту між веб-сайтами (CSRF) – змушує кінцевого користувача виконувати небажані дії над веб-програмою, в якій він на даний момент має автентифікацію без їх відома. Заманюючи користувача на веб-сайт, який контролюється зловмисником, хакер може змінювати запити користувача на сервер. Приклад: Facebook атака.
  9. Використання компонентів з відомою вразливістю – компоненти, такі як бібліотеки, фреймворки та інші програмні модулі, працюють із тими ж привілеями, що і програма. Якщо використовується вразливий компонент, така атака може полегшити серйозну втрату даних або захоплення сервера. Програми та API, що використовують компоненти з відомою вразливістю, можуть підірвати захисні програми та включити різні атаки та впливи. Приклад: Mossack Fonesca (Panama Papers) порушення.
  10. Не захищені API – сучасні програми часто включають багаті клієнтські програми та API, такі як JavaScript у браузері та мобільні додатки, які підключаються до якогось API (SOAP / XML, REST / JSON, RPC, GWT тощо). Ці API часто не захищені і можуть містити численні вразливості. Приклад: Макдональдс протікає.

Сканери вразливості

Сканер уразливості – це спеціалізоване програмне забезпечення, яке сканує вашу мережу, систему чи сервери з метою виявлення помилок, отворів у безпеці та недоліків. Він автоматично тестує систему на відомий вразливості. Він спочатку ідентифікує відкриті порти; активні адреси та протоколи Інтернет-протоколу (IP); та операційні системи, програмне забезпечення та активні сервіси. Потім він порівнює інформацію, яку він знайшов, з відомими вразливими місцями в своїй базі даних або сторонній базі даних. Для людини на вулиці він працює набагато так, як це робить антивірусне програмне забезпечення для різноманітних садів, але набагато складніше. Наприклад, найкращі сканери вразливості досить розумні, щоб включати компоненти управління патчем та тестування на проникнення. Існує деяке перекриття між сканерами на вразливість та інструментами тестування на проникнення. Останні використовують уразливості, виявлені сканерами, для виявлення порушень та доведення можливості компрометувати вразливість. Нижче наведено всі абсолютно безкоштовні інструменти.   

Відкрита система оцінки вразливості (OpenVAS)

OpenVAS – це скануючий комплект безпеки, що складається з різних служб та інструментів. Сам сканер не працює на машинах Windows, але є клієнт для Windows. Він отримує канал, оновлений щодня, з 30000+ тестів на вразливість мережі (NVT). Інструмент був роздвоєний з останньої безкоштовної версії Nessus, іншого сканера на вразливість, після того, як він став власником у 2005 році. Федеральне управління Німеччини з інформаційної безпеки Німеччини (BSI) використовує OpenVAS як частину своєї системи безпеки ІТ.

Про:

  • База даних про вразливі вразливості
  • Можливість паралельних завдань сканування
  • Заплановані сканування
  • Неправдиве позитивне управління
  • Безкоштовно для необмежених IP-адрес
  • Гарний всебічний

Con:

  • Не найпростіший інструмент для установки для новачків
  • Головний компонент – двигун сканування – вимагає Linux

Аналізатор базової безпеки Microsoft (MBSA)

MBSA сканує настільні ПК та сервери Microsoft для відсутності оновлень безпеки, виправлень безпеки та поширених неправильних конфігурацій безпеки.

Про:

  • Зручний інтерфейс дозволяє сканувати локальні або віддалені машини; вибрати одну машину для сканування, або вибрати весь домен або вказати діапазон IP-адрес; і виберіть саме те, для чого потрібно сканувати, наприклад слабкі паролі або оновлення Windows
  • Надає конкретні коригувальні пропозиції, коли виявляються вразливості
  • Активний форум забезпечує якісну підтримку

Con:

  • Не сканує програмне забезпечення, яке не належить Microsoft
  • Не сканує на предмет вразливості мережі

Nexpose Community Edition

Орієнтований на малий бізнес, а також на людей, які використовують кілька комп’ютерів, підключених до локальної мережі, Nexpose може сканувати мережі, операційні системи, веб-додатки, бази даних та віртуальне середовище. Він інтегрується з популярним Metasploit Framework – інструментом для розробки та виконання коду експлуатації проти віддаленої цільової машини. Залучений – це дуже активна спільнота тестувальників проникнення та дослідників безпеки, які рухають розробку цих подвигів, які потім перетворюються на визначення уразливості..

Про:

  • Включає приємний варіант встановлення політики для визначення та відстеження необхідних стандартів відповідності
  • Вмикає детальну візуалізацію відсканованих даних
  • Може встановлюватися на Windows, Linux або віртуальних машинах

Con:

  • Безкоштовна версія одночасно обмежена 32 IP-адресами

SecureCheq

TripWire називає свою SecureCheq утилітою для оцінки конфігурації. Він перевіряє близько двох десятків критичних, але поширених помилок конфігурації, пов’язаних із загартуванням ОС, захистом даних, захистом зв’язку, активністю облікових записів користувачів та веденням аудиту. Цей безкоштовний інструмент найкраще працюватиме разом із більш надійним сканером, як-от Microsoft Baseline Analyzer Security (MBSA).

Про:  

  • Простий у використанні для новачків
  • Надає детальну консультацію щодо ремонту та ремонту

Con:

  • Лише місцеві сканування на машинах Microsoft
  • Безкоштовна версія цього інструменту забезпечує лише близько чверті налаштувань платної версії  

Qualys FreeScan

Легкий сканер, за допомогою якого можна оцінити стан вразливості вашого веб-сайту та допомогти вам прийняти рішення щодо того, який рівень захисту вам потрібен вперед. Довірене ім’я, Qualys була першою компанією, яка поставила рішення для управління вразливістю як додатки через Інтернет, використовуючи модель «програмне забезпечення як сервіс» (SaaS).

Про:

  • Сканування по периметру сканування веб-додатків
  • Виявлення зловмисного програмного забезпечення

Con:

  • Обмежено десятьма унікальними скануваннями безпеки доступних для Інтернету активів

Граббер

Простий легкий інструмент, який сканує основні вразливості веб-додатків. Він спрямований на розробників, які хочуть налаштувати невеликі сканування під час процесу кодування.

Про:

  • Корисно для невеликих веб-сайтів

Con:

  • Немає GUI
  • Звіти лише у XML
  • Як правило, трохи повільно

Вапіті

Виконує тестування веб-додатків Black Box. Він не переглядає вихідний код програми, але сканує веб-сторінки розгорнутої програми, шукаючи сценарії та форми, куди вона може вводити дані. Озброївшись цими даними, він діє як завірюха, впорскуючи корисні навантаження, щоб побачити, чи скрипт уразливий.

Про:

  • Створює звіти про вразливість у різних форматах (наприклад, HTML, XML, JSON, TXT)
  • Може призупинити і відновити сканування або атаку
  • Може виділити вразливості кольором у терміналі

Con:

  • Інтерфейс командного рядка
  • Може створювати кілька помилкових позитивних результатів

w3af

Це рамка атаки та аудиту веб-додатків, яка може використовуватися разом із інструментами тестування на проникнення. Спонсорами є Openware (зараз Globant), Cybsec, Bonsai та Rapid7. Компанія є захопленим учасником конференцій T2 Infosec, присвячених тим, хто цікавиться технічними аспектами інформаційної безпеки..

Про:

  • Популярна, добре підтримувана програма з відкритим кодом
  • Простий у користуванні графічний інтерфейс
  • Легко розширюється
  • Виявляє понад 200 уразливостей
  • Використовує плагіни w3af, які є частинами коду Python, що розширюють функціональність фреймворку, надаючи нові способи вилучення URL-адрес або знаходження уразливостей
  • Сумісний з усіма підтримуваними платформами Python

Con:

  • Підтримує Windows, але не офіційно

Програмне забезпечення для проникнення

Тест на проникнення (тест на перо) – це авторизована імітаційна атака на комп’ютерну систему, яка шукає невідомі недоліки безпеки. Інструмент для перевірки ручки по суті імітує хакера, кінцевою метою якого є тестування обороноздатності організації проти змодельованої атаки. Під час випробування ручкою використовується суміш автоматизованих сканувань та технік ручної експлуатації. Наприклад, автоматизований інструмент на зразок Nmap, який забезпечує основне виявлення мережі, може використовуватися в рамках експлуатації (наприклад, Metasploit).

Тестування пером вимагає вузькоспеціалізованих навичок. Для початку PentesterLabs пропонує безкоштовні тренувальні вправи, а нижче ви знайдете список відкритих джерел та безкоштовних інструментів для початку роботи.

Проксі-сервер Zed Attack (ZAP)

Інтегрований інструмент для тестування ручок для пошуку вразливості у веб-додатках. Він функціонує як проксі-сервер між веб-браузером користувача та програмою, щоб забезпечити автоматичне та ручне тестування безпеки веб-додатків. Може допомогти розробникам автоматично знаходити вразливості безпеки у веб-додатках під час їх розробки. Тестові ручки також використовуються для ручного тестування безпеки, вводячи URL-адресу для сканування або використовуючи інструмент як перехоплюючий проксі. У період з 2013 по 2016 рік Zap проголосували або першим, або другим щороку у щорічному опитуванні інструментів безпеки безперервного / відкритого джерела ToolsWatch.

Про:

  • Повністю безкоштовно
  • Простий в установці
  • Зазвичай працює як інтерактивний інтерфейс і виступає як перехоплюючий проксі, тому ви можете динамічно змінювати запити

Con:

  • В основному розроблений, щоб допомогти вам знайти вразливості безпеки вручну
  • Насправді не призначений для роботи як чисто автоматизований сканер

Фіддлер

Цей інструмент відноситься до програми проксі-сервера. В основному використовується для перехоплення та розшифрування трафіку HTTPS. Користувачі можуть скористатися та перевірити цей трафік, щоб виявити вразливості програми. Watcher – це доповнення Fiddler, розроблений, щоб допомогти тестерам проникнення в пасивному пошуку вразливості веб-додатків.

Про:

  • Налагоджуйте трафік із систем ПК, Mac чи Linux та мобільних пристроїв (iOS та Android)
  • Можна захоплювати локальний трафік, використовуючи ім’я машини як ім’я хоста, а не “localhost”

Con:

  • Підтримується лише в Windows

Metasploit

Рамка, яка дозволяє тестерам ручок отримувати доступ та виконувати перевірені подвиги, які зберігаються в базі даних Metasploit. Рамка має найбільшу у світі базу даних загальнодоступних перевірених подвигів. Він незмінно займає першу десятку засобів захисту безпеки з моменту створення. Вимірник відображає результати після того, як відбувся експлуатування.

Про:

  • Велика база даних про експлуатації
  • Широка колекція інструментів для виконання тестів

Con:

  • Інтерфейс командного рядка

Kali Linux

Kali Linux – це найкращий інструмент для наступальних тестувань ручок і одна з найпопулярніших систем безпеки в галузі. Однак, на думку розробників, це “НЕ рекомендована дистрибуція, якщо ви не знайомі з Linux або шукаєте дистрибутив Linux для настільних ПК для розробки, веб-дизайну, ігор тощо”.

Про:

  • Включає понад 300 програм проходження тестування та аудиту безпеки

Con:

  • Не працюватиме в VM, якщо ви не використовуєте зовнішній бездротовий USB-ключ

Мережеві сканери

Мережеві сканери відображають карту всієї мережі та визначають, що з нею підключено. Вони можуть шукати хости та відкриті порти та визначати всі версії програмного та апаратного забезпечення, які використовуються. Перевірте наступні безкоштовні інструменти.

Мережевий Mapper (NMap)

Використовується для виявлення мережі та аудиту безпеки. Використовує неочищені IP-пакети новими способами, щоб визначити, які хости доступні в мережі, які послуги вони пропонують, які операційні системи вони працюють та який тип фільтрів / брандмауерів пакетів використовуються. Він може бути використаний для надання інформації для планування атак на тестування ручками. Факт забави: Nmap був (мабуть) знятий у дванадцяти фільмах, серед яких “Матриця перезавантажена”, “Die Hard 4”, “Татуювання з дівчиною з драконом” та “Уортиматом Борна”.

Про:

  • Включає версії командного рядка та графічного інтерфейсу
  • Працює на всіх основних операційних системах, таких як Windows, Linux та Mac OS X
  • Zenmap – це офіційний графічний інтерфейс Nmap, який полегшує початківцям роботу

Con:

  • Немає сканування проксі
  • Як сканер портів, він може бути “гучним”. Порти сканерів вимагають генерувати багато мережевого трафіку. Існує зворотна залежність між схованістю і швидкістю, тому сканери портів можуть уповільнити мережу та / або виділитися в мережі, як послідний слон в кімнаті, тобто бути “гучним”.

Wireshark

Мережевий протокол та аналізатор пакетів даних та інструмент тестування ручок із потужною системою фільтрації. Wireshark має величезну армію експертів з волонтерських мереж по всьому світу.

Про:

  • Дозволяє користувачам вказувати, який трафік вони хочуть бачити, наприклад тільки пакети TCP
  • Можна захоплювати пакети з VLAN, Bluetooth, USB та інших типів мережевого трафіку. Доступно майже для будь-якої платформи, включаючи Linux, Windows, Mac, Solaris та OpenBSD
  • Потужні варіанти фільтрів у простому користуванні графічним інтерфейсом

Con:

  • Крута крива навчання, якщо ви не розумієте мереж TCP / IP

Статичні аналізатори вихідного коду

Статичні аналізатори коду швидко автоматизують перевірку коду, фактично не виконуючи код. Оскільки вони дивляться лише на вихідний код програми, для їх використання не потрібно встановлювати весь стек додатків. Ці інструменти зазвичай залежать від мови та можуть допомогти розробникам у виявленні проблем безпеки. Тестування блоку та огляд кодів доповнюють статичний аналіз коду. Найбільшим недоліком цих безкоштовних інструментів є те, що вони часто генерують багато помилкових позитивних результатів.

VisualCodeGrepper

Працює с С++, C #, В.Б., PHP, PL / SQL, і Java.

Про:

  • Пошук конкретних порушень рекомендацій OWASP
  • Дозволяє користувацькі конфігурації запитів, щоб ви могли додавати додаткові функції

Con:

  • Має набір списків уразливостей, які неможливо змінити

Легкий аналіз програмної безпеки в затемненні (LAPSE +)

Плагін Eclipse, який виявляє вразливості ненадійного введення даних у Java Програми EE. Це працює, шукаючи “раковину вразливості” з джерела вразливості. Джерело вразливості стосується введення недовірених даних, наприклад в параметрах HTTP-запиту або файлу cookie. Термін “раковина” відноситься до процесу модифікації даних для маніпулювання поведінкою програми, наприклад. сторінка HTML.

Про:

  • Тестує логіку перевірки без складання коду

Con:

  • Не визначає помилок компіляції
  • Обмежено IDE Eclipse

Бракеман

Допитуються Рубі на рейки код. Його використовують Twitter, GitHub та Groupon.

Про:

  • Просте налаштування та налаштування
  • Швидке сканування

Con:

  • Може показувати високий показник помилкових позитивних результатів

RIPS

Згідно з RIPS, “Шляхом токенізації та аналізу всіх файлів вихідного коду RIPS здатний трансформуватися PHP вихідний код в модель програми та виявлення чутливих раковин (потенційно вразливих функцій), які можуть бути пошкоджені введенням користувача (під впливом зловмисного користувача) під час потоку програми. Окрім структурованого виводу знайдених уразливостей, RIPS пропонує інтегровану систему аудиту коду ». У 2016 році перероблена версія RIPS була випущена як комерційний продукт високотехнологічною компанією RIPS Technologies, що базується в Німеччині.

Про:

  • Просте налаштування та налаштування
  • Швидке сканування

Con:

  • Безкоштовна версія обмежена і підтримує лише 15 типів вразливості

FxCOP

Аналізує керовані збірки коду (код, націлений на .NET Рамкова загальна мова виконання.) Це хороший приклад використання додаткових інструментів у вашій панелі інструментів. За версією excella, FxCOP найкраще працює в поєднанні із інструментом аналізатора статичного коду, як StyleCop, оскільки обидва інструменти мають різні підходи до аналізу коду. “StyleCop працює проти вихідного коду C #, але не може аналізувати VB.NET або інший вихідний код мови .NET. FxCop працює проти .NET, складених бінарних файлів, але не може аналізувати вихідний код та такі аспекти, як правильне використання дужок, пробілів чи коментарів. “

Про:

  • Метадані збирання працюють з кодом, створеним на будь-якій мові .NET
  • Широкий набір правил, доступних поза коробкою

Con:

  • Обмежено метаданими збирання
  • Випускається лише один тип звіту

Бандит

Bandit – це лінійка безпеки (програма, яка сканує вихідний код і позначає будь-які конструкції, які можуть бути помилками) для вихідного коду Python, використовуючи модуль ast із стандартної бібліотеки Python. Модуль ast використовується для перетворення вихідного коду в розбір дерева синтаксичних вузлів Python. Bandit дозволяє користувачам визначати власні тести, які виконуються проти цих вузлів.

Про:

  • Надзвичайно настроюється, наприклад різні плагіни можуть бути вимкнені або певні каталоги можуть бути виключені зі сканування
  • Користувачі також можуть писати власні спеціалізовані плагіни

Con:

  • Немає GUI

Інструменти для розмивання

Тестування невдалості (fuzzing) використовується для виявлення помилок кодування та вразливості безпеки. Він передбачає введення великої кількості випадкових даних під час спроби зробити програму або мережевий збій.

Американський нечіткий лоп (AFL)

Інструмент нечіткого тестування з відкритим кодом, розроблений Міхалом Залевським із Google. Він описує свій інструмент як «жорстокий зубець у поєднанні з надзвичайно простим, але твердим генетичним алгоритмом, керованим інструментами». AFL знайшла вразливості в різних популярних веб-додатках, включаючи Firefox, Flash, LibreOffice, Internet Explorer і Apple Safari.

Про:  

  • Те, що Залевський називає «інтерфейсом стилю в стилі ретро»
  • Доведена ефективність

Con:  

  • Ви повинні бути трохи ретро, ​​щоб по-справжньому оцінити (старомодний) графічний інтерфейс

Sulley Fuzzing Framework

Популярний плавкий двигун і нечітка тестувальна рамка, що складається з декількох розширюваних компонентів. Що відрізняє його від інших пузерів, це те, що він не є суто інструментом генерації даних. Він виявляє, відстежує та класифікує виявлені несправності; може пуститися паралельно, значно збільшуючи тестову швидкість; і може автоматично визначити, яка унікальна послідовність тестових випадків викликає помилки. Boofuzz ​​- це вилка плавкого каркаса Саллі.  

Про:  

  • Повністю автоматизована – після спричинення поломки система може автоматично повернути систему до стану нормальності, а потім продовжити запалювання нового тестового випадку

Con:

  • Немає останніх оновлень версій

Інструменти злому пароля

Ці безкоштовні інструменти використовуються адміністраторами безпеки для пошуку слабких і вразливих паролів, які хакером може бути легко порушено. Три найпоширеніші атаки паролем:

  • Словник: Використовується доданий файл, який містить список словникових слів.  
  • Груба сила: Використовуючи список словників, систематично пробує всі можливі комбінації пароля. Якщо зловмисникові не пощастить, цей процес може зайняти деякий час, особливо для довгих паролів, які використовують комбінацію літер, цифр та символів.
  • Веселка стіл: Більшість баз даних зберігають у базі даних криптографічні хеші паролів користувачів. Ніхто не може визначити пароль користувача, просто переглянувши значення, що зберігаються в базі даних. Коли користувач вводить свій пароль, він хеширується і цей вихід порівнюється із збереженим записом для цього користувача. Якщо два хеші збігаються, доступ надається. Хеш-таблиця – це свого роду довідкова таблиця, яку використовують хакери. Ці попередньо обчислені хеші паролів зберігаються в таблиці, щоб зменшити тривалість часу, необхідного для зламання пароля. Столи веселки йдуть на крок далі, зменшуючи розмір хеш-таблиці, роблячи їх більш ефективними ».  

THC Hydra

THC Hydra – це мережевий інструмент для злому входу, який використовує словник або жорстокі атаки, щоб спробувати різні комбінації паролів та входу на сторінку входу.  

Про:

  • Підтримує широкий набір протоколів, включаючи пошту (POP3, IMAP тощо), LDAP, SMB, VNC та SSH
  • Підтримує більшість основних платформ

Шнурок

Інструмент нападу з грубою силою, який можна використовувати під час тестування на проникнення.

Про:

  • Затискач може використовувати клавіші SSH замість типових комбінацій імені користувача та пароля

Con:

  • Лише командний рядок

Джон Розпушувач

Використовує техніку нападу словника. Це хороший універсал, що включає набір різноманітних комбінацій паролів.

Про:

  • Можливість автоматичного виявлення типів хешу паролів
  • Підтримує більшість основних платформ

OphCrack

Виробник паролів Windows на основі таблиць веселки.

Про:

  • Включає модуль грубої сили для простих паролів
  • Підтримує більшість основних платформ

Засоби безпеки WordPress

Спеціалізовані засоби безпеки для веб-сайтів WordPress можна знайти на wordpress.org. WordPress настільки популярний, що є багато оглядів плагінів, що забезпечує досить об’єктивний огляд функцій інструмента. Давайте розглянемо кілька найпопулярніших пропозицій.

WordFence

Включає безпеку входу; Функції блокування IP; сканування безпеки на наявність зловмисного програмного забезпечення та “backdoors”; захист брандмауера; широкі варіанти моніторингу.

iThemes Security

Описані розробниками як плагін безпеки WordPress №1. Однак прочитайте негативні відгуки перед завантаженням цього плагіна. Один оглядовий оглядач зазначив, що коли iThemes опинився підданим компрометації та згодом напав у 2016 році, вони розгорнули новий брандмауер веб-сайту від суперника Sucuri. Це має значення? Ти будеш суддею.

Sucuri Security

Найкраще, що Sucuri Security – це те, що всі функції безкоштовні. Преміум-плагін був застарілим ще в 2014 році, і всі основні функції були об’єднані у безкоштовний плагін.

Інструменти сканування веб-сайтів

Безкоштовні онлайн-інструменти швидкі та прості у використанні. Хоча від них не гарантується остаточно визначити вразливості вашого веб-сайту, вони можуть допомогти вам визначити сфери, які потребують подальшого дослідження..

Сукурі

Введіть адресу свого веб-сайту, щоб отримати безкоштовний підсумок потенційних вразливостей веб-сайту. Перевірка на наявність відомих зловмисних програм, статусу чорного списку, помилок веб-сайту та застарілого програмного забезпечення.

Про:

  • Не потрібно вводити свою електронну адресу, щоб отримувати результати

Технічна перевірка WP

Включає вичерпний перелік проблем веб-сайту, включаючи продуктивність, SEO та безпеку.

Про:

  • Дає більше інформації, ніж інші інструменти. Сканувати потрібно трохи більше часу (але це добре, правда?)
  • Не потрібно вводити свою електронну адресу, але ви можете вимагати, щоб результати вам надсилалися електронною поштою

Con:

  • Вам потрібно зареєструватися на 30-денну безкоштовну пробну версію, щоб дізнатися, як виправити серйозні проблеми
  • Обмежено одним скануванням на день

Тест SSL сервера Qualys

Виконує глибокий аналіз конфігурації веб-серверів SSL.

Про:

  • Не потрібно реєструватися
  • Надає вичерпний перелік питань щодо застарілості та сумісності SSL

Веб-інспектор

Сканує веб-сторінку, щоб побачити, шкідливий він чи ні.

Con:

  • Буде сканувати лише одну сторінку одночасно

ASafaWeb

Не намагається здійснити будь-які послідовності атаки чи іншу шкідливу діяльність; він просто робить кілька доброякісних запитів, щоб побачити, як реагує сайт.

Про:

  • ASafaWeb має спеціалізований не дуже безпечний сайт виключно для демонстраційних цілей на notasafaweb.apphb.com, на якому ви можете сканувати та переглядати результати

SecurityHeaders.io

Цей безкоштовний інструмент тестує заголовки веб-сайтів. За словами розробника, заголовки відповідей HTTP, які цей сайт аналізує, забезпечують величезний рівень захисту. Наприклад, Політика безпеки вмісту (CSP) є ефективним заходом для захисту вашого сайту від XSS-атак. За допомогою списку джерел затвердженого вмісту ви можете перешкодити браузеру завантажувати шкідливі активи.

Про:

  • Швидкий та надає повний опис відсутніх заголовків та способи виправлення будь-яких проблем

Куди далі?

Відвідайте веб-сайт проекту оцінювання сканера вразливості веб-додатків (wavsep). Wavsep – це платформа для оцінки, яка містить набір унікальних вразливих веб-сторінок, за допомогою яких можна перевірити різні властивості сканерів веб-додатків. Ви можете переглянути аналізи того, як різні сканери, як безкоштовні, так і комерційні, протестували тут. Результати показують, наскільки точно ці сканери виявляють загальні вразливості веб-сайтів і скільки помилкових позитивних результатів вони підкинули в тестах на еталони. На сайті Wavsep ви знайдете безліч безкоштовних інструментів, згаданих у цій публікації.

Щасливі випробування!

“Крекери” компанії Elhombredenegro, що мають ліцензію CC CC 2.0