30+ libreng tool upang mapagbuti ang seguridad para sa iyong website at sa iyong mga bisita
Ang mga Cyberattacks ay isang pang-araw-araw na pangyayari at ang mga nagkakasamang gastos para sa mga organisasyon ay tumataas. Gayunpaman, maaari mong mapawi ang kalamidad sa cyber na may mga libreng tool sa seguridad ng website na makakatulong sa iyo upang makilala ang mga kahinaan sa website at panatilihing ligtas ang iyong mga bisita, o sa halip … mas ligtas.
Akalain ng isa na ang malalaking negosyo ay may mga paraan at pagkakataon upang subaybayan ang kanilang mga aplikasyon para sa mga kahinaan sa website. Ngunit, tila hindi. Ilang halimbawa lamang:
- Ang pag-iwas sa ego noong 2013 ng Yahoo ay nangyari bilang isang resulta ng isang pag-atake ng cookie-forgeting na nagpapahintulot sa mga hacker na mapatunayan tulad ng anumang iba pang gumagamit nang wala ang kanilang password. Nagtatalo ang mga analista na maaaring maiwasan ng Yahoo ang pinsala kung mas mabilis itong gumawa ng mga aksyon laban sa mga nanghihimasok.
- Ang pag-atake sa headline ng Panama Papers ay isang resulta ng hindi bababa sa dalawang mga pagkabigo upang mapanatili ang na-update ng software:
- Ang isang hindi napapanahong bersyon para sa kanilang plugin ng slider ng imahe sa WordPress
- Isang tatlong taong gulang na bersyon ng Drupal na naglalaman ng maraming kilalang kahinaan
- Kinuha ang isang 17-taong-taong programista upang ituro ang isang Hiling ng Cross-Site Humihingi sa Pagpapatawad sa Flickr. Kapag na-notify, tumagal ng 12 oras ang Flikr upang ayusin ang kapintasan.
Tingnan din: Ang pinakamalaking mga paglabag sa data sa kasaysayan
Habang walang sistema ng seguridad – kahit na ang iyong seguridad sa bahay-ay hindi kalokohan, ang regular na pag-scan ng website ay maaaring pumunta sa isang mahabang paraan patungo sa pag-iingat sa mga oportunistang pag-atake sa iyong virtual na mga pag-aari. Dalhin ang American Fuzzy Lop (AFL), isang open-source fuzzer na binuo ni Michał Zalewski ng Google. Nakatulong ito upang makahanap ng mga kahinaan sa iba’t ibang mga tanyag na application sa web, kabilang ang Firefox, Flash, LibreOffice, Internet Explorer, at Apple Safari.
Mga tip para sa paggamit ng mga libreng tool sa seguridad ng website
Marami sa mga libreng tool sa seguridad ng website na sinuri dito ay may katulad na mga tampok at pag-andar. Kadalasan ito ay isang kaso ng paghahambing ng mga mansanas sa mga peras. Walang pagkakasala sa tuktok na nagbebenta ng seguridad na si Sucuri, ngunit kahit na nahihirapan silang makilala ang kanilang produkto mula sa iba:
“Ang ilang mga iba pang mga plugin ng seguridad ay nagbibigay ng mga tampok sa pagsubaybay sa aktibidad, ngunit kakaunti ang mahusay na ginagawa nito […] Pinahiwalay namin ang mga pangunahing tampok na naramdaman namin na may kaugnayan sa anumang may-ari ng website.”
Para sa kadahilanang ito, ikinategorya namin ang mga tool na ito at nabanggit ang mga pangunahing pakinabang at kawalan ng bawat isa. Ang ilang mga kategorya ay overlap; pinaka-kapansin-pansin ang kahinaan sa pag-scan at mga tool sa pagsubok sa pagtagos.
Mapapansin mo ang listahan ng mga libreng tool na kasama ang ilang mga partikular na ginagamit upang i-scan ang mga aplikasyon ng web. Ano ang pagkakaiba sa pagitan ng isang website at isang aplikasyon? Ang Ben Shapiro mula sa Segue Technologies ay nagbibigay ng komprehensibong mahabang sagot. Kung nais mo ang maikling sagot, inilalagay ito ng sukmulan ng lubusan:
“Ang isang website ay isang koleksyon ng mga dokumento na mai-access sa pamamagitan ng internet sa pamamagitan ng isang web browser. Ang mga web site ay maaari ring maglaman ng mga aplikasyon sa web, na nagpapahintulot sa mga bisita na makumpleto ang mga online na gawain tulad ng: Paghahanap, Tingnan, Bilhin, Checkout, at Magbayad. ”
Ang mahalagang bagay ay dapat kang gumawa ng isang holistic na diskarte kapag sinusubukan ang iyong website. Kung may pagdududa, subukan lamang ang lahat. Ang mga libreng tool sa seguridad ng website ay ginagawang madali at gastos ng walang anuman kundi ang iyong oras.
- Bumuo ng diskarte sa pagsubok: Karamihan sa mga tool sa seguridad ng website ay pinakamahusay na gumagana sa iba pang mga uri ng mga tool sa seguridad. Ang isang mabuting halimbawa ay ang lugar ng pagsubok sa pagtagos. Ang mga administrador ay karaniwang gumagamit ng kahinaan sa mga scanner bago magamit ang isang tool sa pagsubok ng pagtagos para sa mga tukoy na target, hal. network port o application. Halimbawa, ang Wireshark ay parehong isang network analyzer at tool sa pagsubok sa pagtagos.
Ang isang buong layunin na scanner ng kahinaan ay marahil ang pinakamahusay na lugar upang magsimula. Ngunit, kung ikaw ay pangunahing interesado sa pag-scan ng code ng iyong mga developer, magtungo sa seksyong static na mapagkukunan ng code sa ibaba. Nais mong suriin kung paano secure ang iyong mga password? Gumawa kami ng ilang mga libreng tool sa pag-crack ng password para sa iyo din.
- Ang isang laki ay hindi umaangkop sa lahat: Ang lahat ng mga libreng tool ng seguridad sa website ay may mga pakinabang at kawalan at bihirang isang isang laki-sukat-lahat ng solusyon. Halimbawa, bilang isang tool ng analyzer, ang top-rated na tool sa pag-scan ng network Wireshark ay gumagawa ng parehong trabaho bilang tool ng Fiddler, at mas epektibo. Gayunpaman, ang Wireshark ay hindi maaaring mag-sniff ng trapiko sa loob ng parehong makina (localhost) sa Windows. Kung kailangan mong mag-sniff ng lokal na trapiko sa Windows, kailangan mong gumamit ng Fiddler.
- Pag-aaral ng mga resulta: Huwag magtiwala sa mga resulta ng isang pag-scan! Sinubukan namin ang isang bilang ng mga scanner sa parehong ligtas at hindi ligtas na mga site at magkakaiba ang mga resulta. Na nagdadala sa amin sa maling mga positibo. Ang mga ito ay maaaring nakakainis ngunit tandaan na sila ay mas mahusay kaysa sa mga maling negatibo. Isang bagay na kasing simple ng pagbabago ng pagsasaayos o isang pag-update ng software ay maaaring mag-trigger ng isang alerto na dapat suriin.
- Kumuha ng libreng suporta: Kung nais mong gumamit ng mga libreng tool, dapat na may perpektong kaalaman sa seguridad dahil ang karamihan sa mga libreng tool ay walang suporta sa customer; kailangan mong gawin ang lahat ng marumi sa iyong sarili. Bilang kahalili, bisitahin ang The Joomla! Forum, Ubuntu Forum, ASP.NET, MBSA, o Bleeping Computer upang mai-post ang iyong mga katanungan at maghanap ng mga solusyon.
- Panatilihin itong sariwa: Ang downside sa libreng mga tool ay na maaaring hindi sila regular na na-update sa pinakabagong kilalang mga kahinaan. Laging suriin ang petsa ng pinakabagong bersyon na inilabas.
Ano ang kailangan mong malaman tungkol sa mga libreng tool sa seguridad sa website
Mga pamamaraan ng pagsubok
Mayroong tatlong pangunahing uri ng mga tool na nauugnay sa deteksyon ng kahinaan sa aplikasyon:
- Pagsubok sa Black Box – Paraan ng pagsubok ng software na sinusuri ang pag-andar ng isang application nang hindi sinusuri ang mga panloob na istruktura. Ang pagsubok ay nakatuon sa kung ano ang dapat gawin ng software, hindi kung paano. Kasama sa kategoryang ito ay ang mga scanner ng kahinaan, mga scanner ng seguridad ng web application, at mga tool sa pagsubok sa pagtagos.
- Pagsubok sa White Box – Paraan ng pagsubok ng software na nakatuon sa panloob na istruktura ng isang aplikasyon sa antas ng source code, taliwas sa pag-andar nito. Ang mga static na mapagkukunan ng code ng mapagkukunan at mga tool sa pagsubok sa pagtagos ay nahuhulog sa kategoryang ito. Sa pamamagitan ng pagsubok sa pagtagos, ang White Box na pagsusuri, ayon sa Wikipedia, ay tumutukoy sa isang pamamaraan kung saan ang isang White Hat hacker ay may buong kaalaman sa system na inaatake. Ang layunin ng isang pagsubok sa White Box na pagtagos ay upang gayahin ang isang nakakahamak na tagaloob na may kaalaman at posibleng mga pangunahing kredensyal para sa target na sistema.
- Pagsubok sa Grey Box – Sa cyberspace, ang linya na nagpapabagal sa mga kategorya ay lumabo, na ipinanganak ang bagong modelo ng pagsubok na pinagsasama ang mga elemento ng parehong Black and White Box na pamamaraan.
Karaniwang mga kahinaan sa website
Ang kagalang-galang na Open Web Application Security Project (OWASP) ay isang bukas na pamayanan na nakatuon sa pagpapagana ng mga organisasyon na bumuo, bumili, at mapanatili ang mga aplikasyon na maaaring mapagkakatiwalaan. Ito ang umuusbong na pamantayan ng katawan para sa seguridad ng web application at taun-taon na nai-publish ang isang listahan ng mga nangungunang 10 mga kahinaan sa website para sa isang naibigay na taon.
Para sa bawat kahinaan, isinama namin ang isang link sa isang site na magbibigay sa iyo ng mas maraming mga teknikal na detalye kung interesado ka.
- SQL injection – Code injection technique kung saan nakakapinsala ang mga pahayag ng SQL sa isang larangan para sa pagpapatupad. Ang pamamaraan ay ginagamit upang manipulahin (e. Download) o masamang data. Target nito ang pag-input ng gumagamit na hindi maayos na napatunayan at nakatakas. Ang isang magsasalakay ay maaaring samantalahin ang kahinaan sa pamamagitan ng pagpapalit ng input ng gumagamit sa kanilang sariling mga utos, na ipinadala nang direkta sa database. Halimbawa: Ang paglabag sa Commission on Elections ng Pilipinas.
- Broken Authentication and Session Management – Ang mga pag-andar ng aplikasyon na may kaugnayan sa pagpapatunay at pamamahala ng session ay madalas na ipinatupad nang hindi wasto, na nagpapahintulot sa mga umaatake na kompromiso ang mga password, mga susi, o mga token ng session, o upang pagsamantalahan ang iba pang mga pagkukulang sa pagpapatupad upang maipalagay ang iba pang mga pagkakakilanlan ng mga gumagamit (pansamantala o permanenteng.) Halimbawa: Ang 17 Media Breach.
- Scripts sa cross site (XSS) – Ang pag-atake na ito ay dumarating sa maraming lasa. Sa pinakahalaga nito, pinapayagan nito ang mga umaatake na mag-iniksyon ng mga script ng kliyente sa gilid sa mga web page na tiningnan ng ibang mga gumagamit. Nakasalalay ito sa isang pinagbabatayan na konsepto ng tiwala na kilala bilang patakaran ng parehong pinagmulan, na nagsasabi na kung ang nilalaman mula sa isang site ay binigyan ng pahintulot upang ma-access ang mga mapagkukunan sa isang sistema, kung gayon ang anumang nilalaman mula sa site na iyon ay magbabahagi ng mga pahintulot na ito. Matapos ang paglabag sa isang mapagkakatiwalaang site, maaaring isama ng mga umaatake ang kanilang nakakahamak na nilalaman sa nilalaman na naihatid sa site ng kliyente at makakuha ng access sa mga kayamanan ng impormasyon nito.. Halimbawa: Ang EBay ay naka-imbak sa XSS.
- Broken access control – Ang mga umaatake ay maaaring gumamit ng mga leaks o flaws sa pagpapatotoo o pagpapatakbo ng session (hal., Nakalantad na account, mga password, session ID) upang maipahiwatig ang mga gumagamit. Halimbawa: Paglabag sa Find Friend Friend.
- Mga pagkukulang sa seguridad ng seguridad – Ito ay isang resulta ng “hindi tama na pag-iipon ng mga proteksyon ng web application” na nag-iiwan ng isang nasira na butas ng seguridad sa isang server, database, balangkas, o code. Halimbawa: Ang Mexican Voters Breach.
- Sensitive ang pagkakalantad ng data – Maraming mga aplikasyon sa web at API ang hindi maayos na nagpoprotekta ng sensitibong impormasyon, tulad ng data sa pananalapi o pangangalaga sa kalusugan. Maaaring magnanakaw o baguhin ang mga data na protektado ng mahina upang magsagawa ng pandaraya sa credit card, pagnanakaw ng pagkakakilanlan, o iba pang mga krimen. Ang data ng sensitibo ay nararapat na dagdag na proteksyon tulad ng pag-encrypt sa pahinga o sa pagbiyahe, pati na rin ang mga espesyal na pag-iingat kapag ipinagpalit sa browser. Halimbawa: Ang paglabag sa Indian Institute of Management.
- Hindi sapat na proteksyon sa pag-atake – Ang karamihan ng mga aplikasyon at mga API ay kulang sa pangunahing kakayahan upang makita, maiwasan, at tumugon sa parehong manu-manong at awtomatikong pag-atake. Ang proteksyon ng pag-atake ay lalampas sa pangunahing pagpapatunay ng pag-input at awtomatikong nagsasangkot, pag-log, pagtugon, at kahit na pagharang sa mga pagtatangka sa pagsasamantala. Ang mga may-ari ng application ay kailangan ding mag-deploy ng mga patch na mabilis upang maprotektahan laban sa mga pag-atake. Halimbawa: Ang Tatlong paglabag.
- Pagtatawad ng kahilingan sa site ng site (CSRF) – Pinipilit ng isang end user na magsagawa ng mga hindi kanais-nais na pagkilos sa isang web application kung saan sila ay kasalukuyang napatunayan nang walang kanilang kaalaman. Sa pamamagitan ng pag-aakit sa isang gumagamit sa isang website na kontrolado ng pag-atake, maaaring baguhin ng isang hacker ang mga kahilingan ng isang gumagamit sa server. Halimbawa: Pag-atake sa Facebook.
- Ang paggamit ng mga sangkap na may kilalang mga kahinaan – Mga sangkap, tulad ng mga aklatan, frameworks, at iba pang mga module ng software ay tumatakbo na may parehong mga pribilehiyo tulad ng aplikasyon. Kung ang isang mahina na sangkap ay sinasamantala, ang gayong pag-atake ay maaaring mapadali ang malubhang pagkawala ng data o pagkuha ng server. Ang mga aplikasyon at API na gumagamit ng mga sangkap na may kilalang mga kahinaan ay maaaring magpanghina ng mga panlaban sa aplikasyon at paganahin ang iba’t ibang mga pag-atake at epekto. Halimbawa: Paglabag ni Mossack Fonesca (Panama Papers).
- Ang mga underprotected na API – Ang mga modernong aplikasyon ay madalas na nagsasangkot ng mga mayaman na aplikasyon ng kliyente at API, tulad ng JavaScript sa browser at mobile app na kumonekta sa isang API ng ilang uri (SOAP / XML, REST / JSON, RPC, GWT, atbp.). Ang mga API ay madalas na hindi protektado at maaaring maglaman ng maraming mga kahinaan. Halimbawa: Tumagas ang McDonalds.
Vulnerability scanner
Ang isang kahinaan sa scanner ay dalubhasang software na nag-scan sa iyong network, system o server upang makilala ang mga bug, butas ng seguridad at mga bahid. Ito ay awtomatikong sumusubok sa isang system para sa kilala kahinaan Una nitong kinikilala ang mga bukas na pantalan; aktibong mga Internet Protocol (IP) na address at mga logo; at operating system, software at aktibong serbisyo. Pagkatapos ay kinukumpara nito ang impormasyong natagpuan laban sa mga kilalang kahinaan sa database nito o isang database ng third-party. Sa tao sa kalye, gumagana ito nang labis sa paraan ng iba’t ibang hardin ng antivirus software, ngunit marami itong mas sopistikado. Halimbawa, ang pinakamahusay na mga scanner ng kahinaan ay sapat na matalino upang isama ang mga pamamahala ng patch at mga bahagi ng pagsubok sa pagtagos. Mayroong ilang magkakapatong sa pagitan ng mga scanner ng kahinaan at mga tool sa pagsubok sa pagtagos. Ang huli ay gumagamit ng mga kahinaan na natuklasan ng mga scanner upang maisagawa ang mga paglabag at patunayan ang kakayahang ikompromiso ang kahinaan. Ang mga sumusunod ay lahat ng libre na mga tool.
Bukas na Vulnerability Assessment System (OpenVAS)
Ang OpenVAS ay isang pag-scan ng security kit na binubuo ng iba’t ibang mga serbisyo at tool. Ang scanner mismo ay hindi gumana sa mga Windows machine ngunit mayroong isang kliyente para sa Windows. Tumatanggap ito ng isang feed, na-update araw-araw, ng 30000+ Network Vulnerability Tests (NVT). Ang tool ay forked mula sa huling libreng bersyon ng Nessus, isa pang scanner ng kahinaan, matapos itong pagmamay-ari noong 2005. Ginagamit ng German Federal Office for Information Security (BSI) ang OpenVAS bilang bahagi ng kanilang security security sa IT.
Pro:
- Napakalaking kahinaan database
- Kasabay ng mga gawain sa pag-scan sa pag-scan
- Naka-iskedyul na mga scan
- Maling positibong pamamahala
- Libre para sa walang limitasyong mga IP
- Magandang all-rounder
Con:
- Hindi ang pinakamadaling tool upang mai-install para sa mga newbies
- Pangunahing sangkap – ang scanning engine – ay nangangailangan ng Linux
Microsoft Baseline Security Analyzer (MBSA)
Sinusuri ng MBSA ang mga desktop ng Microsoft at mga server para sa nawawalang mga pag-update sa seguridad, mga patch sa seguridad, at mga karaniwang pagkakamali sa pagsasaayos ng seguridad.
Pro:
- Pinapayagan ka ng interface ng gumagamit na mai-scan ang lokal o malayong makina; pumili ng isang makina upang mai-scan, o pumili ng isang buong domain o tukuyin ang isang saklaw ng IP address; at piliin kung ano mismo ang nais mong i-scan para sa, hal. mahina ang mga password o pag-update sa Windows
- Nagbibigay ng mga tukoy na mungkahi sa remedyo kapag natagpuan ang mga kahinaan
- Ang aktibong forum ay nagbibigay ng suporta sa kalidad
Con:
- Hindi nag-scan ng software na hindi Microsoft
- Hindi nag-scan para sa mga kahinaan sa partikular na network
Nexpose Community Edition
Nakamit ang mga maliliit na negosyo pati na rin ang mga indibidwal na gumagamit ng maramihang mga computer na konektado sa isang lokal na network, maaaring mai-scan ng Nexpose ang mga network, operating system, web application, database, at virtual na kapaligiran. Sumasama ito sa tanyag na Metasploit Framework, isang tool para sa pagbuo at pagsasagawa ng pagsasamantala ng code laban sa isang malayong target na makina. Ang nasangkot ay isang napaka-aktibong komunidad ng mga tester ng pagtagos at mga mananaliksik ng seguridad na nagmamaneho sa pagbuo ng mga pagsasamantala na pagkatapos ay naging mga kahulugan ng kahinaan.
Pro:
- May kasamang isang magandang pagpipilian upang magtakda ng mga patakaran upang tukuyin at subaybayan ang iyong mga kinakailangang pamantayan sa pagsunod
- Pinapagana ang detalyadong visualization ng na-scan na data
- Maaaring mai-install sa Windows, Linux, o virtual machine
Con:
- Ang libreng bersyon ay limitado sa 32 IP sa bawat oras
SecureCheq
Tinatawag ng TripWire ang SecureCheq nito na isang tool sa pagsusuri ng pagsasaayos. Sinusubukan nito ang tungkol sa dalawang dosenang kritikal ngunit karaniwang mga error sa pagsasaayos na nauugnay sa hardening ng OS, Proteksyon ng Data, Seguridad ng Komunikasyon, Aktibidad ng Account sa Gumagamit, at Pag-log sa Audit. Ang libreng tool na ito ay pinakamahusay na gumagana kasabay ng isang mas matatag na scanner, tulad ng Microsoft Baseline Security Analyzer (MBSA).
Pro:
- Madaling gamitin para sa mga nagsisimula
- Nagbibigay ng detalyadong remediation at payo sa pag-aayos
Con:
- Tanging ang mga lokal na pag-scan sa mga makina ng Microsoft
- Nagbibigay lamang ang libreng bersyon ng tool na ito tungkol sa isang quarter ng mga setting ng bayad na bersyon
Mga Qualys FreeScan
Ang magaan na scanner na maaaring magamit upang suriin ang kalagayan ng iyong website kahinaan at tulungan kang gumawa ng desisyon tungkol sa kung anong antas ng proteksyon ang kailangan mong pasulong. Ang isang mapagkakatiwalaang pangalan, ang Qualys ay ang unang kumpanya na naghahatid ng mga solusyon sa pamamahala ng kahinaan bilang mga aplikasyon sa pamamagitan ng web gamit ang isang “software bilang isang serbisyo” (SaaS) modelo.
Pro:
- Perimeter pag-scan ng application ng Web scan
- Ang deteksyon ng Malware
Con:
- Limitado sa sampung natatanging mga pag-scan ng seguridad ng mga naaangkop na pag-access sa internet
Grabber
Simple, magaan na tool na nag-scan para sa mga pangunahing kahinaan sa aplikasyon ng web. Ito ay naglalayong sa mga developer na nais na ipasadya ang maliit na mga pag-scan sa panahon ng proseso ng coding.
Pro:
- Kapaki-pakinabang para sa mga maliliit na website
Con:
- Walang GUI
- Mga ulat sa XML lamang
- May posibilidad na medyo mabagal
Wapiti
Gumagawa ng pagsusuri sa Black Box ng mga aplikasyon sa web. Hindi nito suriin ang source code ng application ngunit i-scan ang mga web page ng isang naka-deploy na application, naghahanap ng mga script at mga form kung saan maaari itong mag-iniksyon ng data. Gamit ang data na ito, ito ay gumaganap tulad ng isang fuzzer, injecting payload upang makita kung ang isang script ay mahina laban.
Pro:
- Bumubuo ng mga ulat ng kahinaan sa iba’t ibang mga format (hal. HTML, XML, JSON, TXT)
- Maaaring suspindihin at ipagpatuloy ang isang pag-scan o isang pag-atake
- Maaaring i-highlight ang mga kahinaan na may kulay sa terminal
Con:
- Utos ng linya ng utos
- Maaaring makagawa ng maraming maling mga positibo
w3af
Ito ay isang pag-atake ng aplikasyon sa web at balangkas ng pag-audit na maaaring magamit kasabay ng mga tool sa pagsubok sa pagtagos. Kasama sa mga Sponsor ang Openware (ngayon Globant), Cybsec, Bonsai, at Rapid7. Ang kumpanya ay isang masigasig na nag-aambag sa mga kumperensya ng T2 Infosec, na nakatuon sa mga interesado sa mga teknikal na aspeto ng seguridad ng impormasyon.
Pro:
- Tanyag, suportado ng application na open-source
- Madaling gamitin na GUI
- Madaling mapalawak
- Kinikilala ang higit sa 200 kahinaan
- Gumagamit ng w3af plugin, na mga piraso ng Python code na nagpapalawak ng pag-andar ng balangkas sa pamamagitan ng pagbibigay ng mga bagong paraan upang kunin ang mga URL o makahanap ng mga kahinaan
- Mga katugmang sa lahat ng mga platform na suportado ng Python
Con:
- Sinusuportahan ang Windows ngunit hindi opisyal
Penetration pagsubok software
Ang isang pagsubok na pagtagos (pen test) ay isang awtorisadong simulate na pag-atake sa isang computer system na naghahanap ng hindi kilalang mga kahinaan sa seguridad. Ang isang tool sa pagsusulit ng panulat na mahalagang emulate ng isang hacker na may pangwakas na layunin na subukan ang mga kakayahan ng pagtatanggol ng organisasyon laban sa simulated na pag-atake. Sa panahon ng pagsusulit ng panulat, ginagamit ang isang halo ng mga awtomatikong pag-scan at manu-manong pamamaraan sa pagsasamantala. Halimbawa, ang isang awtomatikong tool tulad ng Nmap, na nagbibigay ng pangunahing pagtuklas sa network, ay maaaring magamit sa loob ng isang balangkas ng pagsasamantala (hal. Metasploit).
Ang pagsusulit sa pen ay nangangailangan ng mataas na dalubhasang kasanayan. Upang magsimula, ang PentesterLabs ay nag-aalok ng mga libreng pagsasanay sa pagsasanay at sa ibaba ay makikita mo ang isang listahan ng bukas na mapagkukunan at mga libreng tool upang makapagsimula ka.
Zed Attack Proxy (ZAP)
Pinagsamang tool sa pagsubok ng pen para sa paghahanap ng mga kahinaan sa mga aplikasyon ng web. Ito ay gumaganap bilang isang proxy sa pagitan ng web browser ng isang gumagamit at isang application upang paganahin ang parehong awtomatiko at manu-manong pagsusuri ng seguridad ng mga web application. Makakatulong sa mga developer na awtomatikong makahanap ng mga kahinaan sa seguridad sa mga aplikasyon ng web habang pinapaunlad ang mga ito. Ginagamit din ng mga tester ng pen para sa manu-manong pagsubok sa seguridad sa pamamagitan ng pag-input ng isang URL upang maisagawa ang pag-scan, o paggamit ng tool bilang isang interc accept proxy. Sa pagitan ng 2013 at 2016, si Zap ay binoto alinman sa una o pangalawa bawat taon sa ToolWatch Taunang Pinakamahusay na Libre / Buksan sa Pinagmulan ng Pagsisiyasat ng Source Tool.
Pro:
- Ganap na libre
- Madaling i-install
- Karaniwan ay tumatakbo bilang isang interactive na UI at kumikilos bilang isang intercepts na proxy, kaya maaari mong baguhin ang mga kahilingan nang pabago-bago
Con:
- Pangunahin na idinisenyo upang matulungan kang makahanap nang manu-mano ang mga kahinaan sa seguridad
- Hindi talaga inilaan na tumakbo bilang isang purong awtomatikong scanner
Fiddler
Ang tool na ito ay ikinategorya bilang isang application ng proxy server. Pangunahin itong ginagamit upang maagap at i-decrypt ang trapiko ng HTTPS. Ang mga gumagamit ay maaaring magpanggap at suriin ang trapiko upang makilala ang mga kahinaan sa application. Ang Watcher ay isang addon ng Fiddler, na idinisenyo upang tulungan ang mga tester ng pagtagos sa pasibong paghahanap ng mga kahinaan sa aplikasyon sa web.
Pro:
- Ang trapiko sa pag-debug mula sa mga PC, Mac o Linux system at mobile (iOS at Android) na aparato
- Maaari makuha ang lokal na trapiko sa pamamagitan ng paggamit ng pangalan ng makina bilang host name sa halip na ‘localhost’
Con:
- Sinusuportahan lamang sa Windows
Metasploit
Framework na nagbibigay-daan sa mga tester ng pen para ma-access at isakatuparan ang mga napatunayan na pagsasamantala, na nakaimbak sa database ng Metasploit. Ang balangkas ay may pinakamalaking database ng mundo ng publiko, nasubok na mga pagsasamantala. Patuloy itong niraranggo sa tuktok ng sampung mga tool ng aplikasyon ng seguridad mula nang ito ay umpisa. Ipinapakita ng Meterpreter ang mga resulta pagkatapos maganap ang isang pagsasamantala.
Pro:
- Malaking pagsasamantala sa database
- Malawak na koleksyon ng mga tool upang maisagawa ang mga pagsubok
Con:
- Utos ng linya ng utos
Kali Linux
Ang Kali Linux ay ang panghuli tool para sa nakakasakit na pagsubok ng panulat at isa sa mga pinakasikat na security frameworks sa industriya. Gayunpaman, ayon sa mga nag-develop, ito ay “HINDI isang inirerekomenda na pamamahagi kung hindi ka pamilyar sa Linux o naghahanap ng isang pangkalahatang layunin na pamamahagi ng desktop desktop para sa pag-unlad, disenyo ng web, gaming, atbp.”
Pro:
- Nagsasama ng higit sa 300 pagsubok sa pagtagos at mga programa sa pag-awdit ng seguridad
Con:
- Hindi gagana sa isang VM maliban kung gumagamit ka ng isang panlabas na USB wireless dongle
Mga scanner ng network
I-mapa ng mga scanner ng network ang iyong buong network at matukoy kung ano ang konektado dito. Maaari silang maghanap para sa mga host at bukas na mga port, at makilala ang lahat ng mga bersyon ng software at hardware na ginagamit. Suriin ang sumusunod na mga libreng tool.
Network Mapper (NMap)
Ginamit para sa pagtuklas sa network at pag-awdit ng seguridad. Gumagamit ng mga hilaw na IP packet sa mga paraan ng nobela upang matukoy kung anong magagamit ang mga host sa network, kung anong mga serbisyo ang kanilang inaalok, kung ano ang mga operating system na kanilang pinapatakbo, at kung anong uri ng mga packet / firewall ang ginagamit. Maaari itong magamit upang magbigay ng impormasyon upang planuhin ang mga pag-atake sa pagsubok ng pen. Kasayahan sa katotohanan: Nmap ay (tila) itinampok sa labindalawang pelikula, kabilang ang The Matrix Reloaded, Die Hard 4, Girl With the Dragon Tattoo, at The Bourne Ultimatum.
Pro:
- May kasamang mga linya ng command at mga bersyon ng GUI
- Tumatakbo sa lahat ng mga pangunahing operating system tulad ng Windows, Linux, at Mac OS X
- Ang Zenmap ay ang opisyal na Nmap GUI, na ginagawang mas madali para sa mga nagsisimula na magsimula
Con:
- Walang pag-scan ng proxy
- Bilang isang scanner ng port, maaari itong “malakas.” Ang mga scanner ng port ay nangangailangan ng pagbuo ng maraming trapiko sa network. Mayroong isang kabaligtaran na relasyon sa pagitan ng pagnanakaw at bilis kaya ang mga scanner ng port ay maaaring pabagalin ang isang network pababa at / o tumayo sa network tulad ng kasabihan na elepante sa silid, i.e. maging “malakas.”
Wireshark
Ang protocol ng network at data packet analyzer at tool sa pagsusulit ng pen na may isang malakas na sistema ng pagsala. Ang Wireshark ay may isang malaking hukbo ng mga dalubhasa sa boluntaryo ng networking sa buong mundo.
Pro:
- Pinapayagan ang mga gumagamit na tukuyin kung anong uri ng trapiko na nais nilang makita, hal. mga TCP packet lang
- Maaaring makunan ang mga packet mula sa VLAN, Bluetooth, USB at iba pang mga uri ng trapiko sa network Magagamit para sa halos anumang platform, kabilang ang Linux, Windows, Mac, Solaris, at OpenBSD
- Napakahusay na pagpipilian ng filter sa madaling gamitin na GUI
Con:
- Matarik na curve sa pag-aaral maliban kung mayroon kang ilang pag-unawa sa TCP / IP network
Static na mapagkukunan ng code ng mapagkukunan
Static code analyzers awtomatiko ang pagsuri ng code nang mabilis nang hindi talagang isinasagawa ang code. Dahil titingnan lamang nila ang source code ng isang application, hindi mo kailangang i-set up ang iyong buong stack ng application upang magamit ang mga ito. Ang mga tool na ito ay karaniwang tiyak sa wika at makakatulong sa mga developer sa pagkilala sa mga isyu sa seguridad. Ang pagsusuri sa yunit at pagsusuri ng code ay umaakma sa static code analysis. Ang pinakamalaking disbentaha sa mga libreng tool na ito ay madalas silang makabuo ng maraming mga maling positibo.
VisualCodeGrepper
Gumagana sa C++, C #, VB, PHP, PL / SQL, at Java.
Pro:
- Mga paghahanap para sa mga tiyak na paglabag sa mga rekomendasyon ng OWASP
- Pinapayagan ang mga pasadyang mga pagsasaayos ng query upang maaari kang magdagdag ng mga karagdagang pag-andar
Con:
- May isang listahan ng mga kahinaan na hindi mababago
Banayad na Pagtatasa para sa Security ng Program sa Eclipse (LAPSE +)
Ang eklipse plugin na nakakakita ng mga kahinaan ng hindi pinagkakatiwalaang data injection in Java Mga Aplikasyon ng EE. Gumagana ito sa pamamagitan ng paghahanap ng isang “kahinaan sa lababo” mula sa isang mapagkukunan ng kahinaan. Ang mapagkukunan ng isang kahinaan ay tumutukoy sa iniksyon ng hindi mapagkakatiwalaang data, hal. sa mga parameter ng isang kahilingan sa HTTP o isang cookie. Ang salitang “sink” ay tumutukoy sa proseso ng data modification upang manipulahin ang pag-uugali ng isang application, hal. isang pahina ng HTML.
Pro:
- Sinusubukan ang pagpapatunay na lohika nang hindi pinagsama ang code
Con:
- Hindi matukoy ang mga error sa compilation
- Limitado sa Eclipse IDE
Brakeman
Interogado Ruby sa Riles code. Ginagamit ito ng Twitter, GitHub, at Groupon.
Pro:
- Madaling pag-setup at pagsasaayos
- Mabilis na scan
Con:
- Maaaring magpakita ng isang mataas na rate ng mga maling positibo
Mga RIPS
Ayon sa RIPS, “Sa pamamagitan ng pag-token at pag-parse ng lahat ng mga file ng source code, ang RIPS ay maaaring magbago PHP mapagkukunan ng code sa isang modelo ng programa at upang makita ang mga sensitibong paglubog (potensyal na mahina na pag-andar) na maaaring masaktan ng input ng gumagamit (naiimpluwensyahan ng isang nakakahamak na gumagamit) sa panahon ng daloy ng programa. Bukod sa nakabalangkas na output ng mga nahanap na kahinaan, nag-aalok ang RIPS ng isang integrated code audit framework. ” Noong 2016, ang isang muling isinulat na bersyon ng RIPS ay pinakawalan bilang isang produktong komersyal ng RIPS Technologies, isang high-tech na kumpanya na nakabase sa Alemanya.
Pro:
- Madaling pag-setup at pagsasaayos
- Mabilis na scan
Con:
- Ang libreng bersyon ay limitado at sinusuportahan lamang ang 15 mga uri ng kahinaan
FxCOP
Sinusuri ang pinamamahalaang mga pagpupulong ng code (code na naka-target sa .NET Framework karaniwang wika ng runtime.) Ito ay isang magandang halimbawa kung paano magamit ang mga pantulong na tool sa iyong toolbox. Ang FxCOP, ayon sa excella, ay pinakamahusay na gumagana kasabay ng isang static na tool ng analyst ng code tulad ng StyleCop dahil ang parehong mga tool ay may iba’t ibang mga diskarte sa pagsusuri ng code. “Tumatakbo ang StyleCop laban sa C # source code ngunit hindi maaaring suriin ang VB.NET o isa pang .NET na code ng mapagkukunan ng wika. Ang FxCop ay tumatakbo laban sa .NET pinagsama binaries ngunit hindi maaaring pag-aralan ang mapagkukunan code at mga aspeto tulad ng tamang paggamit ng mga tirante, whitespace, o mga puna. “
Pro:
- Gumagana ang metadata ng Assembly na may code na nilikha sa anumang .NET wika
- Malawak na hanay ng mga patakaran na magagamit sa labas ng kahon
Con:
- Limitado sa pagpupulong ng metadata
- Gumagawa lamang ng isang uri ng ulat
Bandit
Ang Bandit ay isang security linter (isang programa na nag-scan ng source code at nag-flag ng anumang mga konstruksyon na malamang na mga bug) para sa code ng mapagkukunan ng Python, na gumagamit ng ast na module mula sa pamantayang Python standard. Ang ast na module ay ginagamit upang i-convert ang source code sa isang parisan ng puno ng Python syntax node. Pinapayagan ng Bandit ang mga gumagamit na tukuyin ang mga pasadyang pagsubok na isinagawa laban sa mga node.
Pro:
- Lubhang napapasadyang, hal. maaaring mai-off ang iba’t ibang mga plug-in, o ang ilang mga direktoryo ay maaaring ibukod mula sa mga pag-scan
- Maaari ring isulat ng mga gumagamit ang kanilang sariling mga pasadyang mga plug-in
Con:
- Walang GUI
Mga tool sa pag-fuzzing
Ang pagsubok ng Fuzz (fuzzing) ay ginagamit upang makilala ang mga error sa pag-cod at mga kahinaan sa seguridad. Ito ay nagsasangkot ng pag-input ng malaking halaga ng mga random na data sa isang pagtatangka na gumawa ng isang application o pag-crash sa network.
American Fuzzy Lop (AFL)
Isang bukas na mapagkukunan, tool na tinutulungan ng pagsuporta sa pagsakop ng saklaw na binuo ni Michał Zalewski ng Google. Inilarawan niya ang kanyang tool bilang “isang brute-force fuzzer na kaisa ng isang napaka-simple ngunit rock-solid na instrumento na ginagabayan genetic algorithm.” Natagpuan ng AFL ang mga kahinaan sa iba’t ibang mga tanyag na web app, kabilang ang Firefox, Flash, LibreOffice, Internet Explorer, at Apple Safari.
Pro:
- Ang tinatawag ni Zalewski na isang “hip, retro-style UI”
- Napatunayan na pagiging epektibo
Con:
- Kailangan mong maging isang maliit na retro ang iyong sarili upang tunay na pahalagahan ang (luma) na GUI
Sulley Fuzzing Framework
Ang isang tanyag na fuzzing engine at fuzz testing framework na binubuo ng maraming mga extensible na sangkap. Ano ang naiiba sa iba pang mga fuzzer ay hindi ito puro isang tool ng data generation. Nakita nito, sinusubaybayan at kinakategorya ang mga nakitang mga pagkakamali; maaaring magkamukha kahanay, makabuluhang pagtaas ng bilis ng pagsubok; at maaaring awtomatikong matukoy kung anong natatanging pagkakasunud-sunod ng mga kaso ng pagsubok ang nag-trigger ng mga pagkakamali. Ang Boofuzz ay isang tinidor ng Sulley fuzzing framework.
Pro:
- Ganap na awtomatiko – matapos na magdulot ng isang pagkasira, maaari itong awtomatikong i-reset ang system pabalik sa isang estado ng normalidad at pagkatapos ay magpatuloy sa pag-fuzzing ng isang bagong kaso ng pagsubok
Con:
- Walang mga kamakailang update sa bersyon
Mga tool sa pag-crack ng password
Ang mga libreng tool na ito ay ginagamit ng mga administrador ng seguridad upang makahanap ng mahina at mahina na mga password na madaling makompromiso ng isang hacker. Ang tatlong pinaka-karaniwang pag-atake ng password ay:
- Diksyonaryo: Gumagamit ng isang ibinigay na file na naglalaman ng isang listahan ng mga salita sa diksyunaryo.
- Malupit na puwersa: Gamit ang isang listahan ng diksyunaryo, sistematikong sinusubukan ang lahat ng posibleng mga kumbinasyon para sa isang password. Maliban kung ang mananakop ay makakakuha ng masuwerteng, ang prosesong ito ay maaaring magtagal, lalo na para sa mahabang mga password na gumagamit ng isang kumbinasyon ng mga titik, numero, at simbolo.
- Lamesa ng Rainbow: Karamihan sa mga database ay nag-iimbak ng mga hashtag ng cryptographic ng mga password ng mga gumagamit sa isang database. Walang sinuman ang maaaring matukoy ang password ng isang gumagamit sa pamamagitan lamang ng pagtingin sa halaga na nakaimbak sa database. Kapag ang isang gumagamit ay pumasok sa kanyang password, ito ay hashed at ang output ay inihambing sa naka-imbak na entry para sa gumagamit na iyon. Kung tumutugma ang dalawang hashes, ipinagkaloob ang pag-access. Ang isang hash table ay isang uri ng sanggunian na sanggunian na ginagamit ng mga hacker. Ang mga pre-computed na mga hashes ng password ay naka-imbak sa talahanayan upang mabawasan ang haba ng oras na kinakailangan upang mag-crack ng isang password. Ang mga talahanayan ng Pelangi ay lumakad pa ng isang hakbang sa pamamagitan ng pagbabawas ng laki ng hash table, na ginagawang mas mahusay.
THC Hydra
Ang THC Hydra ay isang tool sa pag-hack sa pag-login sa network na gumagamit ng pag-atake ng diksyunaryo o brute-force upang subukan ang iba’t ibang mga kumbinasyon ng password at pag-login laban sa isang pahina ng pag-login.
Pro:
- Sinusuportahan ang isang malawak na hanay ng mga protocol kabilang ang mail (POP3, IMAP, atbp.), LDAP, SMB, VNC, at SSH
- Sinusuportahan ang karamihan sa mga pangunahing platform
Crowbar
Brute-force attack tool na maaaring magamit sa panahon ng pagsubok sa pagtagos.
Pro:
- Maaaring magamit ng Crowbar ang mga susi ng SSH sa halip na ang pangkaraniwang kumbinasyon ng username at password
Con:
- Command line lang
John the Ripper
Gumagamit ng pamamaraan ng pag-atake ng diksyunaryo. Ito ay isang mahusay na all-rounder na binubuo ng isang suite ng iba’t ibang mga kumbinasyon ng pag-crack ng password.
Pro:
- Kakayahang awtomatikong tiktikan ang mga uri ng hash ng password
- Sinusuportahan ang karamihan sa mga pangunahing platform
OphCrack
Ang Windows password cracker batay sa mga talahanayan ng bahaghari.
Pro:
- May kasamang module na brute-force para sa mga simpleng password
- Sinusuportahan ang karamihan sa mga pangunahing platform
Mga tool sa seguridad ng WordPress
Ang mga espesyal na tool sa seguridad para sa mga website ng WordPress ay maaaring ma-sourced sa wordpress.org. Napakatanyag ng WordPress na maraming mga pagsusuri para sa mga plugin, na nagbibigay ng isang medyo layunin na pangkalahatang-ideya ng mga tampok ng isang tool. Tingnan natin ang ilan sa mga pinakatanyag na handog.
WordFence
May kasamang seguridad sa pag-login; Mga tampok ng pagharang sa IP; security scan para sa malware at “backyard”; proteksyon ng firewall; at malawak na mga pagpipilian sa pagsubaybay.
Security Security
Inilarawan ng mga developer bilang plugin ng seguridad ng # 1 WordPress. Gayunpaman, basahin ang mga negatibong pagsusuri bago i-download ang plugin na ito. Ang isang tagasuri ng mata ng agila ay nagpahiwatig na kapag ang mga iThemes ay natagpuan ang kanilang mga sarili na nakompromiso at kasunod na inaatake sa 2016, nagtalaga sila ng isang bagong website na firewall mula sa karibal na Sucuri. Bagay ba yun? Ikaw ang hukom.
Seguridad ng Sucuri
Ang pinakamagandang bagay sa Sucuri Security ay ang lahat ng mga tampok ay libre. Ang premium plugin ay nabawasan noong 2014 at ang lahat ng mga pangunahing tampok ay pinagsama sa libreng plugin.
Mga tool sa pag-scan ng website sa online
Ang mga libreng libreng tool ay mabilis at madaling gamitin. Habang hindi sila ginagarantiyahan na kumpirmahin na makilala ang mga kahinaan ng iyong website, makakatulong sila sa iyo na matukoy ang mga lugar na nangangailangan ng karagdagang pagsisiyasat.
Sucuri
Ipasok ang iyong website address para sa isang libreng buod ng mga potensyal na kahinaan sa website. Mga pagsusuri para sa kilalang malware, katayuan sa pag-blacklist, mga error sa website, at nasa labas ng software.
Pro:
- Hindi na kailangang ipasok ang iyong email address upang makatanggap ng mga resulta
WP Checkup
May kasamang komprehensibong listahan ng mga isyu sa website, kabilang ang pagganap, SEO, at seguridad.
Pro:
- Nagbibigay ng mas maraming impormasyon kaysa sa iba pang mga tool. Tumatagal ng kaunti mas mahaba upang i-scan (ngunit mabuti iyon, di ba?)
- Hindi na kailangang ipasok ang iyong email address ngunit maaari kang humiling na ang mga resulta ay na-email sa iyo
Con:
- Kailangan mong mag-sign up para sa isang 30-araw na libreng pagsubok upang malaman kung paano ayusin ang mga malubhang isyu
- Limitado sa isang pag-scan sa isang araw
Qualys SSL Server Pagsubok
Gumaganap ng isang malalim na pagsusuri ng pagsasaayos ng mga SSL web server.
Pro:
- Hindi na kailangang magparehistro
- Nagbibigay ng isang kumpletong listahan ng mga lipas sa SSL at mga isyu sa pagiging tugma
Web Inspector
I-scan ang pahina ng web upang makita kung nakakahamak o hindi.
Con:
- I-scan lamang ang isang solong pahina sa bawat oras
ASafaWeb
Hindi sinubukan ang anumang mga pagkakasunud-sunod ng pag-atake o iba pang nakakahamak na aktibidad; ginagawa lamang nito ang ilang mga benign na kahilingan upang makita kung paano tumugon ang site.
Pro:
- Ang ASafaWeb ay may isang dedikadong hindi-ligtas na site na puro para sa mga layuning demo sa notasafaweb.apphb.com na maaari mong i-scan at tingnan ang mga resulta
SecurityHeaders.io
Ang libreng tool na ito ay sumusubok sa mga header ng website. Ayon sa nag-develop, ang mga header ng tugon ng HTTP na pinag-aralan ng site na ito ay nagbibigay ng malaking antas ng proteksyon. Halimbawa, ang Patakaran sa Seguridad ng Nilalaman (CSP) ay isang mabisang hakbang upang maprotektahan ang iyong site mula sa mga pag-atake ng XSS. Sa pamamagitan ng whitelisting mga mapagkukunan ng naaprubahan na nilalaman, maiiwasan mo ang browser mula sa pag-load ng mga nakakahamak na assets.
Pro:
- Mabilis at nagbibigay ng buong paglalarawan ng mga nawawalang mga header at kung paano ayusin ang anumang mga isyu
Kung saan sa susunod?
Bisitahin ang website ng Web Application Vulnerability Scanner Evaluation Project (wavsep). Ang Wavsep ay isang platform ng pagsusuri na naglalaman ng isang koleksyon ng mga natatanging mahina na mga web page na maaaring magamit upang masubukan ang iba’t ibang mga katangian ng mga scanner ng aplikasyon sa web. Maaari mong tingnan ang mga pagsusuri kung paano ang iba’t ibang mga scanner, parehong libre at komersyal, nasubok laban sa wavsep dito. Ang mga resulta ay nagpapahiwatig kung gaano tumpak ang mga scanner na ito sa pagkilala sa mga karaniwang kahinaan sa website at kung gaano karaming mga maling positibo ang kanilang itinapon sa mga benchmark test. Makakakita ka ng marami sa mga libreng tool na nabanggit sa post na ito sa Wavsep site.
Maligayang pagsubok!
“Mga Cracker” ni elhombredenegro na lisensyado sa ilalim ng CC NG 2.0