Ein interessanter Bericht von Symantec Es zeigt sich, dass 1 von 10 Websites einen oder mehrere Schadcodes hatten.
Und wenn Sie WordPress verwenden, dann in einem anderen Bericht von SUKURI zeigt an, 49% der gescannten Websites waren veraltet.
Wie stellen Sie als Inhaber einer Webanwendung sicher, dass Ihre Website vor Online-Bedrohungen geschützt ist? Leckt keine vertraulichen Informationen?
Wenn Sie ein Cloud-basierte SicherheitslösungDann ist höchstwahrscheinlich ein regelmäßiges Scannen von Sicherheitslücken Teil des Plans. Wenn nicht, müssen Sie jedoch einen Routine-Scan durchführen und die erforderlichen Maßnahmen ergreifen, um die Risiken zu minimieren.
Es gibt zwei Arten von Scannern.
Gewerbe - Geben Sie eine Option zu Automatisieren Sie das Scannen für kontinuierliche Sicherheit, Berichterstattung, Alarmierung, detaillierte Anweisungen zur Schadensbegrenzung usw. Einige der bekannten Namen in der Branche sind:
- Acunetix
- Erkenne
- Qualys
Open Source / Kostenlos - Sie können bei Bedarf einen Sicherheitsscan herunterladen und durchführen. Nicht alle von ihnen werden in der Lage sein, ein breites Spektrum von Sicherheitslücken wie eine kommerzielle abzudecken.
Schauen wir uns den folgenden Open Source Web Vulnerability Scanner an.
Arachni
Spinnen, Ein leistungsstarker Sicherheitsscanner, der auf dem Ruby-Framework für moderne Webanwendungen basiert. Es ist in einer tragbaren Binärdatei für Mac, Windows und Linux verfügbar.
Nicht nur die statische Basis- oder CMS-Website, sondern auch Arachni ist dazu in der Lage folgende Plattform Fingerabdrücke. Es führt sowohl aktive als auch passive Überprüfungen durch.
- Windows, Solaris, Linux, BSD, Unix
- Nginx, Apache, Tomcat, IIS, Anlegestelle
- Java, Rubin, Python, ASP, PHP
- Django, Schienen, CherryPy, CakePHP, ASP.NET MVC, Symfony
Einige der Schwachstellenerkennung sind:
- NoSQL / Blind / SQL / Code / LDAP / Befehl / XPath-Injektion
- Standortübergreifende Fälschung von Anfragen
- Pfadüberquerung
- Einschlüsse von lokalen / Remote-Dateien
- Antwortaufteilung
- Cross-Site-Skripting
- Nicht validierte DOM-Weiterleitungen
- Offenlegung des Quellcodes
Sie haben die Möglichkeit, eine zu nehmen Prüfbericht in HTML, XML, Text, JSON, YAML usw.
Mit Arachni können Sie den Scan mithilfe von Plugins auf die nächste Ebene erweitern. Schauen Sie sich das komplette an Arachni Merkmale und herunterladen, um es zu erleben.
XssPy
Ein Python-basierter XSS-Schwachstellenscanner (Cross-Site Scripting) wird von vielen Organisationen verwendet, darunter Microsoft, Stanford, Motorola, Informatica usw.
XssPy von Faizan Ahmad ist ein intelligentes Werkzeug. Es macht eine Sache ziemlich gut. Anstatt nur die Homepage oder die angegebene Seite zu überprüfen, wird der gesamte Link auf den Websites überprüft.
XssPy überprüft auch die Subdomain, so wird nichts ausgelassen.
w3af
w3af, ein Open-Source-Projekt, das Ende 2006 gestartet wurde, basiert auf Python und ist unter Linux und Windows verfügbar. w3af kann mehr als 200 Schwachstellen erkennen, einschließlich der OWASP Top 10.
w3af lass dich Nutzlasten injizieren zu Headern, URLs, Cookies, Abfragezeichenfolgen, Post-Daten usw., um die Webanwendung für die Überwachung auszunutzen. Es unterstützt verschiedene Protokollierungsmethoden für die Berichterstellung. Ex:
Ex:
- CSV
- HTML
- Konsul (Console)
- Text
- XML
Es basiert auf einer Plugin-Architektur, und Sie können alle überprüfen Plugins hier verfügbar.
Nikto
Ein von Netsparker gesponsertes Open-Source-Projekt zielt darauf ab, Fehlkonfigurationen, Plugins und Schwachstellen von Webservern zu finden. Niemand Führen Sie einen umfassenden Test gegen über 6500 Risikoelemente durch.
Es unterstützt HTTP-Proxy, SSL, mit oder NTLM-Authentifizierung usw. und kann die maximale Ausführungszeit pro Zielscan definieren.
Niemand ist auch in Kali Linux verfügbar.
Für die Intranet-Lösung sieht es vielversprechend aus, Sicherheitsrisiken für Webserver zu finden.
Wfuzz
wfuzz (The Web Fuzzer) ist ein Tool zur Anwendungsbewertung für Penetrationstests. Sie können die Daten in der HTTP-Anforderung für jedes Feld fuzzeln, um die Webanwendung auszunutzen und die Webanwendungen zu überwachen.
Für Wfuzz muss Python auf dem Computer installiert sein, auf dem Sie den Scan ausführen möchten. Es wurde ausgezeichnet Dokumentation damit Sie anfangen können.
OWASP ZAP
ZAP (Zet Attack Proxy) ist eines der bekanntesten Penetrationstest-Tools, das von Hunderten von Freiwilligen weltweit aktiv aktualisiert wird.
Es ist ein plattformübergreifendes Java-basiertes Tool, das sogar auf Raspberry Pi ausgeführt werden kann. ZIP befindet sich zwischen einem Browser und einer Webanwendung, um Nachrichten abzufangen und zu überprüfen
Einige der folgenden Punkte sind die Funktionalität von ZAP zu erwähnen.
- Fuzzer
- Automatisierter und passiver Scanner
- Unterstützt mehrere Skriptsprachen
- Erzwungenes Surfen
Ich würde es sehr empfehlen, auszuchecken OWASP ZAP Tutorial Videos um es anzufangen.
Wapiti
Wapiti Durchsucht die Webseiten eines bestimmten Ziels und sucht nach Skripten und Formularen, um die Daten zu injizieren und festzustellen, ob diese anfällig sind. Es handelt sich nicht um eine Quellcode-Sicherheitsüberprüfung. Stattdessen werden Black-Box-Scans durchgeführt.
Es unterstützt die GET- und POST-HTTP-Methode, HTTP- und HTTPS-Proxys, verschiedene Authentifizierungen usw.
Vega
Vega wird von Subgraph entwickelt, einem von mehreren Plattformen unterstützten Tool, das in Java geschrieben wurde, um XSS, SQLi, RFI und viele andere Schwachstellen zu finden.
Vega hat eine schöne Benutzeroberfläche und kann einen automatisierten Scan durchführen, indem er sich bei einer Anwendung mit einem bestimmten Berechtigungsnachweis anmeldet.
Wenn Sie Entwickler sind, können Sie die vega-API nutzen, um neue Angriffsmodule zu erstellen.
SQLmap
Wie Sie anhand des Namens erraten können, mit Hilfe des sqlmapkönnen Sie Penetrationstests für eine Datenbank durchführen, um Fehler zu finden.
Es funktioniert mit Python 2.6 oder 2.7 unter jedem Betriebssystem. Wenn Sie suchen SQL-Injection finden und nutzen Sie die Datenbank, dann wäre sqlmap hilfreich.
Grabber
Es ist ein kleines Tool, das auf Python basiert und einige Dinge recht gut macht. Einige der Grabber Eigenschaften sind:
- JavaScript-Quellcode-Analysator
- Cross-Site-Scripting, SQL-Injection, Blind-SQL-Injection
- Testen von PHP-Anwendungen mit PHP-SAT
Golismero
Ein Framework zum Verwalten und Ausführen einiger der gängigen Sicherheitstools wie Wfuzz, DNS-Recon, SQLmap, OpenVas, Roboteranalysator usw.).
Golismero ist schlau; Es kann das Testfeedback anderer Tools konsolidieren und zusammenführen, um ein einzelnes Ergebnis anzuzeigen.
OWASP Xenotix XSS
Xenotix XSS von OWASP ist ein erweitertes Framework zum Auffinden und Ausnutzen von Cross-Site-Scripting. Es wurden drei intelligente Fuzzers für einen schnellen Scan und verbesserte Ergebnisse eingebaut.
Es hat Hunderte von Funktionen, und Sie können Schauen Sie sich alle hier aufgelisteten an.
Fazit
Die Web-Sicherheit ist für jedes Online-Geschäft von entscheidender Bedeutung. Ich hoffe, dass der oben aufgeführte kostenlose / Open-Source-Schwachstellenscanner Ihnen hilft, Risiken zu finden, damit Sie diese mindern können, bevor jemand davon profitiert. Wenn Sie mehr über Penetrationstests erfahren möchten, lesen Sie diese Informationen Online Kurs.