8 инструментов с открытым кодом для тестирования безопасности сайта

Инструменты автоматизации тестирования безопасности в интернете полезны для превентивного обнаружения уязвимостей приложений и защиты сайтов от атак.

Вот 8 инструментов с открытым исходным кодом, которые популярны среди тестировщиков:

  • Vega – это инструмент для сканирования и тестирования уязвимостей, написанный на Java. Он работает с платформами OS X, Linux и Windows. Включается с помощью графического интерфейса и содержит автоматический сканер и перехват прокси. Позволяет обнаруживать такие уязвимости веб-приложений, как инъекции SQL, вставка заголовков, межсайтовый скриптинг и т.д. Инструмент может быть расширен через API на JavaScript;
  • ZED Attack Proxy (ZAP) был разработан AWASP и доступен для платформ Windows, Unix/Linux и Macintosh. Инструмент прост в использовании. Может применяться как сканер или перехватывать прокси для ручного тестирования веб-страницы. Его ключевыми особенностями являются поддержка веб-сокетов и API на основе REST;
  • Wapiti выполняет сканирование методом BlackBox и вводит полезные данные, чтобы проверить, уязвим ли сценарий. Инструмент поддерживает методы атак GET и POSTHTTP. Обнаруживает такие уязвимости, как раскрытие файлов, включение файлов, межсайтовый скриптинг (XSS), слабую конфигурацию .htaccess и так далее;
  • W3af – фреймворк для аудита веб-приложений и предотвращения атак, который эффективен против более чем 200 уязвимостей. Инструмент для автоматизации процесса тестирования имеет графический интерфейс со средствами, которые могут использоваться для отправки HTTP-запросов и кластерных HTTP-ответов. Если сайт защищен, W3af может использовать модули проверки подлинности для сканирования. Результат работы фреймворка может быть выведен на консоль, в файл или отправлен по электронной почте;
  • Iron Wasp – это мощный инструмент сканирования с графическим интерфейсом. Он может проверить сайт на наличие более чем 25 видов веб-уязвимостей, обнаружить ложные срабатывания и ложные отрицания. Данный инструмент написан на Python и Ruby и генерирует HTML и RTF отчеты;
  • SQLMap — это средство автоматизации тестирования сайтов обнаруживает уязвимость в виде SQL-инъекций в базе данных сайта. Он может использоваться для широкого круга баз данных и поддерживает 6 видов техник SQL-инъекций: «слепые» инъекции на основе времени, «слепые» инъекции на основе булевой алгебры, инъекции, базирующиеся на ошибках, запросы UNION, стековые запросы и внеполосные инъекции. Инструмент может напрямую подключаться к базе данных без использования SQL-инъекций. А также имеет функции для создания цифрового отпечатка базы данных;
  • Google Nogotofail – средство тестирования безопасности сетевого трафика. Проверяет приложение на наличие известных уязвимостей TLS/SSL и неправильных конфигураций. Сканирует SSL/TLS-шифрованные соединения и проверяет, являются ли они уязвимыми для атак типа «человек посередине» (man-in-the-middle – MiTM). Может быть настроен как маршрутизатор, VPN-сервер или прокси-сервер;
  • BeEF (Browser Exploitation Framework) позволяет выявить слабые места приложения, используя уязвимости браузера. Данный инструмент автоматизации тестирования приложений использует векторы атак на стороне клиента для проверки безопасности. Может вызывать команды браузера, такие как перенаправление, изменение URL-адресов, создание диалоговых окон и т.д.

Перевод статьи «8 Open source security testing tools to test your website» был подготовлен дружной командой проекта Сайтостроение от А до Я.