Новости

Восемь бесплатных инструментов веб-безопастности

Такие инциденты с нарушением безопасности, как  Heartbleed, Apple gotofail преподали нам урок, что веб-безопасностью нельзя пренебрегать, и, что даже сильнейшие могут дать слабину. Воспользовавшись материалом сайта gallop.net компания «Кварта Технологи» предлагает  ознакомиться с восемью бесплатными инструментами обеспечения веб-безопасности. Вот они:

  1. Vega 
  2. ZED Attack Proxy (ZAP)
  3. Wapiti
  4. W3af 
  5. Iron Wasp
  6. SQLMap 
  7. Google Nogotofail
  8. BeEF (Browser Exploitation Framework)

Vega – это программа для сканирования уязвимых и слабых мест созданных на Java. Работает она с такими операционными системами, как OS X, Linux и платформами Windows. GUI сам включает и выключает автоматизированный сканер и прокси процессы. Vega помогает  находить и фиксировать XSS (сценарии перекрестного сайта), SQL-инъекции, много другое. Vega может быть расширена при помощи мощного API на языке Javascript. 

Подробнее

Разработка AWASP – ZED Attack Proxy (ZAP),  доступная для Windows, Unix/Linux и платформ Macintosh. Довольно простой в использовании интегрированный инструмент тестирования и нахождения уязвимостей в веб-приложениях. Он может использоваться в качестве  сканера  или прерывать прокси, чтобы вручную протестировать веб-страницу.  Главные особенности ZED Attack Proxy (ZAP)  пауки AJAX, Fuzzer, веб-поддержка сокета и REST базирование API.

Подробнее

Wapiti  – инструмент, позволяющий сканировать  веб-страницы в действующем приложении, выполняет «черный ящик»  и вводит нагрузки на приложение, чтобы проверить, уязвим ли сценарий. Wapiti обнаруживает уязвимости в таких процессах,  как раскрытие файла, включение файла, выявляет  XSS сценарии и слабые .htaccess конфигурации и т.д. Имеет большую базу данных инъекций (PHP/JSP/ASP SQL-инъекций и XPath-инъекций).

Подробнее       

 W3af – это платформа аудита  атак  веб-приложения, являющаяся эффективной против более  200 уязвимостей. У данной платформы есть GUI с необходимыми инструментами, которые могут использоваться, чтобы отправить запрос на HTTP и получить кластерные ответы HTTP. Если веб-сайт защищен, то программа может использовать модули аутентификации, чтобы отсканировать их. Вывод может быть зарегистрирован в консоль, файл или отправлен по электронной почте.

Подробнее

IronWASP – веб-приложение  для тестирования  платформ с открытым исходным кодом, который может проверить 25 видов веб-уязвимостей. Тут можно отметить ка  положительные стороны, так и отрицательные стороны. Например, благодаря открытому исходному коду пользователи могут сами создавать сканеры безопасности. Приложение удобно как для новичков, так и для опытных пользователей.  Генерирует отчеты RTF и HTML.

Подробнее

SQLMap – инструмент для обнаружения  SQL-инъекции  в базе данных веб-сайта. Это может использоваться на широком диапазоне баз данных и поддерживает 6 видов методов инжекции SQL: time-based blind, boolean-based blind, ошибка в основе, единый запрос, сложенные запросы и запросы вне группы. Приложение  может  напрямую подключится к базе данных, не используя SQL-инъекцию,  также имеет собственную большую базу данных. Полная поддержка: MySQL, Oracle, PostgreSQL и Microsoft SQL Server.  Частичная поддержка: Microsoft Access, DB2, Informix, Sybase и Interbase.

Подробнее

Google Nogotofail – это инструмент тестирования безопасности сетевого трафика. Google Nogotofail проверяет приложение на известные уязвимости TLS/SSL и неверные конфигурации, сканирует зашифрованные соединения и проверки SSL/TLS, уязвимы ли они для атак  в середине (MiTM). Google Nogotofail может быть установлен как маршрутизатор, VPN сервер  или прокси-сервер.

Подробнее

BeEF (Browser Exploitation Framework) – это приложение, способное обнаружить «прорехи» сайта используя слабости веб-браузера. В отличие других структур безопасности  BeEF  отслеживает атаки со стороны клиента в рамках браузера.  Данный инструмент может работать с несколькими веб-браузерами для контроля над изменениями на веб-сайте.

Подробнее

Надеемся, что данная информация была для вас полезной. 

Для связи с нашими специалистами рекомендуем:

e-mail: info@quarta.ru

телефон: +7 (495) 234-40-18

+7 (495) 234-40-18 доб. 313

 

Остались вопросы?

Система Orphus