Geçmişte, birçok popüler web siteleri girildi. Hackerlar artık aktif ve her zaman web siteleri ve kaçak verilerini kesmek için deneyin. Web uygulamaları güvenlik testleri çok önemli olmasının nedeni budur. Ve burada, web uygulama güvenliği tarayıcılar rolünü geliyor. Web Uygulama Güvenliği Scanner bir web uygulaması otomatik kara kutu test gerçekleştirir ve güvenlik açıklarını tanımlayan bir yazılım programıdır. Tarayıcılar, kaynak koduna erişim yok onlar sadece fonksiyonel test gerçekleştirmek ve güvenlik açıklarını bulmaya çalışın.
Çeşitli ücretli ve ücretsiz web uygulaması güvenlik açığı tarayıcılar bulunmaktadır. Bu yazı, biz en iyi ücretsiz açık kaynak kodlu web uygulaması güvenlik açığı tarayıcıları listelenmektedir. Ben rastgele sırayla araçları ekleme. Yani araçları bir sıralama olduğunu sanmıyorum lütfen.
Ben sadece web uygulamaları güvenlik açıklarını bulmak için kullanılabilecek açık kaynak araçları ekleme. Ben sunucu güvenlik açıklarını bulmak için araçlar ekleyerek değilim. Ve ücretsiz araçlarımızdan ve açık kaynak araçları ile karıştırmayın. Orada ücretsiz kullanılabilen çeşitli diğer araçları, ancak diğer geliştiriciler için kaynak kodunu vermeyin çünkü. Açık kaynak araçları geliştiriciler aracını değiştirmek veya daha da geliştirilmesi yardımcı olabilir, böylece geliştiriciler için kaynak kodlarını sunan olanlardır.
Bunlar en iyi açık kaynak web uygulaması penetrasyon test araçları şunlardır:
Grabber (Gaspçı )
Kapmak web uygulamaları birçok güvenlik açıklarını tespit edebilen güzel bir web uygulaması tarayıcı. Bu taramalar gerçekleştirir ve güvenlik açığı nereye söyler. Aşağıdaki güvenlik açıklarını tespit edebilirsiniz:
(Çapraz site betik)
SQL Injection
Ajax testi
Dosya dahil
JS kaynak kodu analizörü
Yedekleme dosyası denetimi
Diğer güvenlik tarayıcıları ile karşılaştırıldığında hızlı değil, ama basit ve taşınabilir. O büyük uygulamaları taramak için çok fazla zaman alır, çünkü bu küçük web uygulamaları test etmek için sadece kullanılmalıdır.
Bu araç, herhangi bir GUI arayüzü sunmuyor. Ayrıca herhangi bir PDF raporu oluşturamazsınız. Bu araç, basit ve kişisel kullanım için olmak için tasarlanmıştır. Sadece kişisel kullanım için bu aracı deneyebilirsiniz. Eğer profesyonel kullanım için bunu düşünme iseniz, bunu tavsiye asla.
Bu araç Python geliştirilmiştir. İsterseniz Ve bir yürütülebilir versiyonu da mevcut. Kaynak kodu kullanılabilir, böylece sizin ihtiyaçlarınızı göre değiştirebilirsiniz. Ana senaryo kez Çağrıları sql.py, xss.py veya diğerleri gibi diğer modülleri idam, hangi grabber.py olduğunu.
Buradan indirin: Grabber! Like a Petit Pimouss'
Github Kaynak kodu: https://github.com/neuroo/grabber
Vega
Vega başka bir ücretsiz açık kaynak web güvenlik tarayıcısı ve test platformudur. Bu araç ile, bir web uygulaması güvenlik testlerini gerçekleştirebilirsiniz. Bu araç Java ile yazılmış ve bir GUI tabanlı bir ortam sunmaktadır. Bu OS X, Linux ve Windows için kullanılabilir.
SQL enjeksiyon, başlık enjeksiyonu, dizin listeleme, kabuk enjeksiyon, çapraz site scripting, dosya eklenmesi ve diğer web uygulama güvenlik açıklarını bulmak için kullanılabilir. Bu araç aynı zamanda JavaScript ile yazılmış güçlü bir API kullanarak uzatılabilir.
Aracı ile çalışırken, bu yol soyundan toplam sayısı, bir düğüm, derinlik ve saniyede isteği maksimum sayıda çocuk yollarının sayısı gibi birkaç tercihlerini ayarlamanızı sağlar. Vega Tarayıcı, Vega Proxy Vekil Tarayıcı kullanımı ve aynı zamanda kimlik bilgileri ile tarayıcı edebilirsiniz. Eğer yardıma ihtiyacınız varsa, dokümantasyon bölümüne kaynakları bulabilirsiniz:
Dokümantasyon: https://subgraph.com/vega/********ation/index.en.html
İndir Vega: https://subgraph.com/vega/
Zed Attack Proxy "Zed Saldırı Vekil"
Zed Saldırı Vekil ayrıca ZAP olarak bilinir. Bu araç, açık kaynak ve AWASP tarafından geliştirilmiştir. Windows, Unix / Linux ve Macintosh platformları için mevcuttur. Ben şahsen bu aracı seviyorum. Bu web uygulamaları güvenlik açıkları geniş bir yelpazede bulmak için kullanılabilir. aracı çok basit ve kullanımı kolaydır. Eğer test penetrasyon yeni olsa bile, kolayca web uygulamaları penetrasyon testi öğrenmeye başlamak için bu aracı kullanabilirsiniz.
Bunlar ZAP anahtar işlevleri şunlardır:
Yakalama proxy
Otomatik Tarayıcı
Geleneksel ama güçlü örümcekler
Fuzzer
Web Soket Desteği
Plug-n-hack destek
Kimlik doğrulama desteği
REST tabanlı API
Dinamik SSL sertifikaları
Akıllı Kart ve İstemci Dijital Sertifikalar destek
Sen tarama gerçekleştirmek için URL'yi girerek bir tarayıcı olarak bu aracı kullanabilirsiniz, ya da elle belirli sayfalarda testlerini gerçekleştirmek için bir yakalama vekil olarak bu aracı kullanabilirsiniz.
İndir ZAP: zaproxy - OWASP ZAP: An easy to use integrated penetration testing tool for finding vulnerabilities in web applications. - Google Project Hosting
Wapiti "Wapiti"
Wapiti ayrıca web uygulamaları güvenliği denetim sağlayan güzel bir web güvenlik tarayıcısı olan. Bu web sayfalarını tarayarak ve veri enjekte ederek kara kutu test gerçekleştirir. Bu yükleri enjekte ve bir betik savunmasız olup olmadığını görmek için çalışır. Hem GET ve POSTHTTP saldırıları destekler ve çoklu güvenlik açıklarını tespit eder.
Aşağıdaki güvenlik açıklarını tespit edebilirsiniz:
Dosya Bilgilendirme
Dosya dahil
Cross Site Scripting (XSS)
Komut yürütme algılama
CRLF Enjeksiyon
SEL Enjeksiyon ve XPath Enjeksiyon
Zayıf .htaccess yapılandırma
Yedekleme dosyaları açıklama
ve diğer birçok
Wapiti bir komut satırı uygulamasıdır. Yani, yeni başlayanlar için kolay olmayabilir. Ama uzmanlar için, iyi seslendirecek. Bu aracı kullanmak için, resmi belgelerde bulunabilir komutları çok öğrenmek gerekir.
Kaynak kodu ile Wapiti indirin: Wapiti : a Free and Open-Source web-application vulnerability scanner in Python for Windows, Linux, BSD, OSX
W3af "W3af"
Çeşitli ücretli ve ücretsiz web uygulaması güvenlik açığı tarayıcılar bulunmaktadır. Bu yazı, biz en iyi ücretsiz açık kaynak kodlu web uygulaması güvenlik açığı tarayıcıları listelenmektedir. Ben rastgele sırayla araçları ekleme. Yani araçları bir sıralama olduğunu sanmıyorum lütfen.
Ben sadece web uygulamaları güvenlik açıklarını bulmak için kullanılabilecek açık kaynak araçları ekleme. Ben sunucu güvenlik açıklarını bulmak için araçlar ekleyerek değilim. Ve ücretsiz araçlarımızdan ve açık kaynak araçları ile karıştırmayın. Orada ücretsiz kullanılabilen çeşitli diğer araçları, ancak diğer geliştiriciler için kaynak kodunu vermeyin çünkü. Açık kaynak araçları geliştiriciler aracını değiştirmek veya daha da geliştirilmesi yardımcı olabilir, böylece geliştiriciler için kaynak kodlarını sunan olanlardır.
Bunlar en iyi açık kaynak web uygulaması penetrasyon test araçları şunlardır:
Grabber (Gaspçı )
Kapmak web uygulamaları birçok güvenlik açıklarını tespit edebilen güzel bir web uygulaması tarayıcı. Bu taramalar gerçekleştirir ve güvenlik açığı nereye söyler. Aşağıdaki güvenlik açıklarını tespit edebilirsiniz:
(Çapraz site betik)
SQL Injection
Ajax testi
Dosya dahil
JS kaynak kodu analizörü
Yedekleme dosyası denetimi
Diğer güvenlik tarayıcıları ile karşılaştırıldığında hızlı değil, ama basit ve taşınabilir. O büyük uygulamaları taramak için çok fazla zaman alır, çünkü bu küçük web uygulamaları test etmek için sadece kullanılmalıdır.
Bu araç, herhangi bir GUI arayüzü sunmuyor. Ayrıca herhangi bir PDF raporu oluşturamazsınız. Bu araç, basit ve kişisel kullanım için olmak için tasarlanmıştır. Sadece kişisel kullanım için bu aracı deneyebilirsiniz. Eğer profesyonel kullanım için bunu düşünme iseniz, bunu tavsiye asla.
Bu araç Python geliştirilmiştir. İsterseniz Ve bir yürütülebilir versiyonu da mevcut. Kaynak kodu kullanılabilir, böylece sizin ihtiyaçlarınızı göre değiştirebilirsiniz. Ana senaryo kez Çağrıları sql.py, xss.py veya diğerleri gibi diğer modülleri idam, hangi grabber.py olduğunu.
Buradan indirin: Grabber! Like a Petit Pimouss'
Github Kaynak kodu: https://github.com/neuroo/grabber
Vega
Vega başka bir ücretsiz açık kaynak web güvenlik tarayıcısı ve test platformudur. Bu araç ile, bir web uygulaması güvenlik testlerini gerçekleştirebilirsiniz. Bu araç Java ile yazılmış ve bir GUI tabanlı bir ortam sunmaktadır. Bu OS X, Linux ve Windows için kullanılabilir.
SQL enjeksiyon, başlık enjeksiyonu, dizin listeleme, kabuk enjeksiyon, çapraz site scripting, dosya eklenmesi ve diğer web uygulama güvenlik açıklarını bulmak için kullanılabilir. Bu araç aynı zamanda JavaScript ile yazılmış güçlü bir API kullanarak uzatılabilir.
Aracı ile çalışırken, bu yol soyundan toplam sayısı, bir düğüm, derinlik ve saniyede isteği maksimum sayıda çocuk yollarının sayısı gibi birkaç tercihlerini ayarlamanızı sağlar. Vega Tarayıcı, Vega Proxy Vekil Tarayıcı kullanımı ve aynı zamanda kimlik bilgileri ile tarayıcı edebilirsiniz. Eğer yardıma ihtiyacınız varsa, dokümantasyon bölümüne kaynakları bulabilirsiniz:
Dokümantasyon: https://subgraph.com/vega/********ation/index.en.html
İndir Vega: https://subgraph.com/vega/
Zed Attack Proxy "Zed Saldırı Vekil"
Zed Saldırı Vekil ayrıca ZAP olarak bilinir. Bu araç, açık kaynak ve AWASP tarafından geliştirilmiştir. Windows, Unix / Linux ve Macintosh platformları için mevcuttur. Ben şahsen bu aracı seviyorum. Bu web uygulamaları güvenlik açıkları geniş bir yelpazede bulmak için kullanılabilir. aracı çok basit ve kullanımı kolaydır. Eğer test penetrasyon yeni olsa bile, kolayca web uygulamaları penetrasyon testi öğrenmeye başlamak için bu aracı kullanabilirsiniz.
Bunlar ZAP anahtar işlevleri şunlardır:
Yakalama proxy
Otomatik Tarayıcı
Geleneksel ama güçlü örümcekler
Fuzzer
Web Soket Desteği
Plug-n-hack destek
Kimlik doğrulama desteği
REST tabanlı API
Dinamik SSL sertifikaları
Akıllı Kart ve İstemci Dijital Sertifikalar destek
Sen tarama gerçekleştirmek için URL'yi girerek bir tarayıcı olarak bu aracı kullanabilirsiniz, ya da elle belirli sayfalarda testlerini gerçekleştirmek için bir yakalama vekil olarak bu aracı kullanabilirsiniz.
İndir ZAP: zaproxy - OWASP ZAP: An easy to use integrated penetration testing tool for finding vulnerabilities in web applications. - Google Project Hosting
Wapiti "Wapiti"
Wapiti ayrıca web uygulamaları güvenliği denetim sağlayan güzel bir web güvenlik tarayıcısı olan. Bu web sayfalarını tarayarak ve veri enjekte ederek kara kutu test gerçekleştirir. Bu yükleri enjekte ve bir betik savunmasız olup olmadığını görmek için çalışır. Hem GET ve POSTHTTP saldırıları destekler ve çoklu güvenlik açıklarını tespit eder.
Aşağıdaki güvenlik açıklarını tespit edebilirsiniz:
Dosya Bilgilendirme
Dosya dahil
Cross Site Scripting (XSS)
Komut yürütme algılama
CRLF Enjeksiyon
SEL Enjeksiyon ve XPath Enjeksiyon
Zayıf .htaccess yapılandırma
Yedekleme dosyaları açıklama
ve diğer birçok
Wapiti bir komut satırı uygulamasıdır. Yani, yeni başlayanlar için kolay olmayabilir. Ama uzmanlar için, iyi seslendirecek. Bu aracı kullanmak için, resmi belgelerde bulunabilir komutları çok öğrenmek gerekir.
Kaynak kodu ile Wapiti indirin: Wapiti : a Free and Open-Source web-application vulnerability scanner in Python for Windows, Linux, BSD, OSX
W3af "W3af"
https://vimeo.com/57723873
W3af popüler bir web uygulaması saldırı ve denetim çerçevedir. Bu çerçeve daha iyi bir web uygulaması penetrasyon test platformu sunmayı amaçlamaktadır. Bu Python kullanarak geliştirilmiştir. Bu aracı kullanarak, SQL enjeksiyon, Siteler Arası Komut Dosyası ve diğerleri de dahil olmak üzere web uygulama güvenlik 200'den fazla çeşit tespit etmek mümkün olacak.
Bu grafik ve konsol arayüzü ile geliyor. Sen arayüzü anlamak için kolay kullanarak kolayca kullanabilirsiniz.
Eğer Grafik Arayüzü ile kullanıyorsanız, ben aracı ile herhangi bir sorun karşısında olacak sanmıyorum. Sadece seçenekleri seçin ve ardından tarayıcıyı başlatmak gerekir. Bir web sitesi kimlik doğrulaması gerekiyorsa, aynı zamanda oturum korumalı sayfaları taramak için kimlik doğrulama modülleri kullanabilirsiniz.
Biz zaten önceki W3af örneklerde serisinin detaylı bu aracı örtülü var. Bu araç hakkında daha fazla bilgi için bu makaleleri okuyabilirsiniz.
Bu grafik ve konsol arayüzü ile geliyor. Sen arayüzü anlamak için kolay kullanarak kolayca kullanabilirsiniz.
Eğer Grafik Arayüzü ile kullanıyorsanız, ben aracı ile herhangi bir sorun karşısında olacak sanmıyorum. Sadece seçenekleri seçin ve ardından tarayıcıyı başlatmak gerekir. Bir web sitesi kimlik doğrulaması gerekiyorsa, aynı zamanda oturum korumalı sayfaları taramak için kimlik doğrulama modülleri kullanabilirsiniz.
Biz zaten önceki W3af örneklerde serisinin detaylı bu aracı örtülü var. Bu araç hakkında daha fazla bilgi için bu makaleleri okuyabilirsiniz.
Kod:
[LEFT][COLOR=#0000BB][FONT=Monaco]Daha fazla [/FONT][/COLOR][COLOR=#007700][FONT=Monaco]?? [/FONT][/COLOR][COLOR=#0000BB][FONT=Monaco]öğrenmek ister InfoSec Enstitüsü CISSP Eğitim ders trenler ve geçmek hazırlar önde güvenlik sertifikası[/FONT][/COLOR][COLOR=#007700][FONT=Monaco], [/FONT][/COLOR][COLOR=#0000BB][FONT=Monaco]CISSP[/FONT][/COLOR][COLOR=#007700][FONT=Monaco]. [/FONT][/COLOR][COLOR=#0000BB][FONT=Monaco]CISSP tutun Uzmanları onlar Bilgi Domains tüm 10 Ortak Vücut derin bilgiye sahip ve yaratılış liderlik için gerekli beceri ve[/FONT][/COLOR][COLOR=#007700][FONT=Monaco]. [/FONT][/COLOR][COLOR=#0000BB][FONT=Monaco]Kurumsal geniş bilgi güvenliği programlarının operasyonel görevleri olduğunu göstermiştir InfoSec Enstitüsü[/FONT][/COLOR][COLOR=#DD0000][FONT=Monaco]'nün tescilli CISSP sertifikasyon ders malzemeler her zaman güncel ve en son ISC2 sınav hedefleri ile senkronize. Uzman eğitmenler tarafından verilen ödüllü CISSP eğitimi ile birlikte bizim sektörün önde gelen ders programı uçan renkleri ile CISSP sınavı geçmek için gereken platform sunar. Sen başarıyla bilgi ve alan uzmanlığı ile InfoSec Enstitüsü CISSP Boot Camp bırakacak . CISSP Sınavı bunu almak ilk defa geçmek CISSP Boot Camp bazı faydaları şunlardır:
Çift Sertifikasyon - CISSP ve ISSEP / ISSMP / ISSAP
Biz CISSP sertifika sınavı sırlarına almak için güçlü bir itibar ekili var[/FONT][/COLOR][/LEFT]Sen Github deposunda kaynak kodu erişebilirsiniz: https://github.com/andresriancho/w3af/
Resmi web sitesinden indirebilirsiniz: http://w3af.org/
WebScarab "WebScarab"
WebScarab HTTP veya HTTPS protokolünü kullanarak web uygulamaları analiz etmek için bir Java tabanlı bir güvenlik çerçevesidir. Mevcut eklentileri ile, aracın işlevlerini genişletebilirsiniz. Bu araç bir Yakalama vekil olarak çalışmaktadır. Yani, istek ve yanıt tarayıcınıza geliyor ve sunucu thw olacak inceleyebilirsiniz. Onlar sunucu veya tarayıcı tarafından alınan önce de isteği veya yanıtı değiştirebilirsiniz.
Eğer bir acemi iseniz, bu araç sizin için değil. Bu araç, HTTP protokolü iyi bir anlayışa sahip ve kodları yazmak isteyenler için tasarlanmıştır.
WebScarab penetrasyon test bir web uygulaması yakından çalışmak ve güvenlik açıklarını bulmanıza yardımcı birçok özellik sunar. Bu otomatik olarak hedef web sitesinin yeni URL'leri bulabileceğiniz bir örümcek vardır. Kolayca komut ve sayfanın HTML elde edebilirsiniz. Vekil sunucu ve tarayıcı arasındaki trafiği gözlemler ve mevcut eklentileri kullanarak isteği ve yanıtı kontrolünü alabilir. Mevcut modüller kolayca SQL enjeksiyonu, XSS <CRLF ve diğer birçok güvenlik gibi en yaygın güvenlik açıklarını tespit edebilir.
Aracın Kaynak kodu Github geçerli: https://github.com/OWASP/OWASP-WebScarab
Burada İndirme WebScarab: https://www.owasp.org/index.php/Category...ab_Project
Skipfish "Balık atla"
Skipfish da güzel bir web uygulama güvenlik aracıdır. Bu web sitesi tarar ve ardından çeşitli güvenlik tehditleri her sayfaları kontrol ve sonunda nihai rapor hazırlar. C. It yazılmış Bu araç son derece HTTP işleme ve minimum CPU kullanan için optimize edilmiştir. Bu kolayca CPU üzerinde yük eklemeden saniyede 2000 isteklerini işleyebilir iddia ediyor. Tarama ve web sayfalarını test ederken bir sezgisel tarama yaklaşımı kullanın. Bu araç aynı zamanda yüksek kalite ve daha az yanlış pozitif sunmak iddia ediyor.
Bu araç, Linux, FreeBSD, MacOS X ve Windows için kullanılabilir.
Google Kodları gelen Skipfish veya kod İndir: skipfish - web application security scanner - Google Project Hosting
Ratproxy
"Ratproxy"
Ratproxy da web uygulamaları güvenlik açıklarını bulmak için kullanılabilecek bir açık kaynak web uygulaması güvenlik denetim aracıdır. Bu Linux, FreeBSD, MacOS X ve Windows (Cygwin) ortamları destekler.
Bu araç güvenlik denetimleri için diğer proxy araçları kullanırken kullanıcılar genellikle karşılaştıkları sorunların üstesinden gelmek için tasarlanmıştır. Bu CSS ve JavaScript kodları stil arasında ayrım yeteneğine sahiptir. Aynı zamanda da veri SSL geçen görmek anlamına gelir orta saldırı, SSL adam destekler. Burada bu araç hakkında daha fazla bilgi edinebilirsiniz:
RatproxyDoc - ratproxy - Project documentation - passive web application security assessment tool - Google Project Hosting
İndir ratproxy - passive web application security assessment tool - Google Project Hosting
SQLMap "SQLMap"
Sqlmap başka popüler açık kaynak penetrasyon test aracıdır. Bir web sitesinin veri tabanında SQL injection açığı bulma ve istismar sürecini otomatik hale getirir. Bu, güçlü bir algılama motoru ve birçok yararlı özelliklere sahiptir. Yani, bir penetrasyon test kolayca web SQL enjeksiyon kontrolü yapabilirsiniz.
Bu MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase ve SAP MaxDB dahil veritabanı sunucularının çeşitli destekler. Zaman-tabanlı kör, mantıksal-tabanlı kör, hata-tabanlı, BİRLİĞİ sorgu, yığılmış sorgular ve out-of-band: SQL Enjeksiyon teknikleri 6 çeşit tam destek sunuyor.
Github depo kaynak koduna erişim: https://github.com/sqlmapproject/sqlmap
Buradan indirin sqlmap: https://github.com/sqlmapproject/sqlmap
Wfuzz "Hav"
Wfuzz web uygulama penetrasyon testleri için başka serbestçe kullanılabilir açık kaynak aracıdır. Bu SQL, XSS, LDAP ve diğerleri gibi enjeksiyonlar çeşitli karşı test için kaba kuvvet GET ve POST parametreleri kullanılabilir. Ayrıca, çerez tüylenme, çoklu iş parçacığı, çorap, Proxy Authentication destekler kaba zorlayarak, birden fazla vekil ve diğer birçok şeyi parametreleri. Burada aracın özellikleri hakkında daha fazla bilgi edinebilirsiniz:
Komut satırı arayüzü üzerinde çalışmak zorunda böylece Bu araç, bir GUI arayüzü sunmuyor.
Google Project Hosting
: Code.google.com gelen Wfuzz indirin Google Project Hosting
Grendel-Scan "Grendel-Scan"
Grendel-Scan bir başka güzel açık kaynak web uygulama güvenlik aracıdır. Bu web uygulamaları güvenlik açıklarını bulmak için otomatik bir araçtır. Birçok özellik de manuel penetrasyon testleri için kullanılabilir. Bu araç, Windows, Linux ve Macintosh için kullanılabilir. Bu araç Java geliştirilmiştir.
: Alet ve kaynak kodunu indirin Confidentialité- France
Watcher "Bekçi"
Watcher bir pasif web güvenliği tarayıcı. Bu istekleri yükleri ile saldırı veya hedef web tarama değil. Bu ayrı bir araç değildir ama Fiddler bir eklenti olduğunu. Yani önce onu kullanmak için Watcher Fiddler yüklemek ve daha sonra yüklemeniz gerekir.
Sessizce kullanıcı etkileşimi isteği ve yanıtı analiz ve ardından uygulama üzerinde bir rapor yapar. Bir pasif tarayıcı gibi, bu web sitesinin hosting veya bulut altyapısı etkilemez.
İndir gözlemcisi ve kaynak kodu: Watcher: Web security testing tool and passive vulnerability scanner - Home
X5S
X5'lerin da Fiddler add-on cross-site scripting açıkları bulmak için bir yol sağlamak için amaçlıyor. Bu otomatik bir araç değildir. Yani, kodlama sorunları XSS yol açabilir nasıl anlamak gerekir. El enjeksiyon noktası bulmak ve sonra XSS uygulamasında olabilir nerede kontrol etmek gerekir.
Biz bir önceki yazı X5S örtülü var. Yani, X5S ve XSS hakkında daha fazla bilgi için bu makaleye başvurabilirsiniz.
Codeplex gelen X5S ve kaynak kodunu indirin: x5s - test encodings and character transformations to find XSS hotspots - Home
: Ayrıca X5S nasıl kullanılacağını bilmek için bu resmi kılavuzuna başvurabilirsiniz x5s - test encodings and character transformations to find XSS hotspots - Documentation
Arachni
Arachni bir penetrasyon test ortamı sağlamak için geliştirilmiş açık kaynak kodlu bir aracıdır. Bu araç, çeşitli web uygulama güvenlik açıklarını tespit edebilir. SQL Injection, XSS, Yerel Dosya dahil, uzaktan dosya dahil, unvalidated yönlendirme, ve diğerleri gibi çeşitli güvenlik açıklarını tespit edebilir.
Burada bu aracı indirin: Home - Arachni - Web Application Security Scanner Framework
Resmi web sitesinden indirebilirsiniz: http://w3af.org/
WebScarab "WebScarab"
WebScarab HTTP veya HTTPS protokolünü kullanarak web uygulamaları analiz etmek için bir Java tabanlı bir güvenlik çerçevesidir. Mevcut eklentileri ile, aracın işlevlerini genişletebilirsiniz. Bu araç bir Yakalama vekil olarak çalışmaktadır. Yani, istek ve yanıt tarayıcınıza geliyor ve sunucu thw olacak inceleyebilirsiniz. Onlar sunucu veya tarayıcı tarafından alınan önce de isteği veya yanıtı değiştirebilirsiniz.
Eğer bir acemi iseniz, bu araç sizin için değil. Bu araç, HTTP protokolü iyi bir anlayışa sahip ve kodları yazmak isteyenler için tasarlanmıştır.
WebScarab penetrasyon test bir web uygulaması yakından çalışmak ve güvenlik açıklarını bulmanıza yardımcı birçok özellik sunar. Bu otomatik olarak hedef web sitesinin yeni URL'leri bulabileceğiniz bir örümcek vardır. Kolayca komut ve sayfanın HTML elde edebilirsiniz. Vekil sunucu ve tarayıcı arasındaki trafiği gözlemler ve mevcut eklentileri kullanarak isteği ve yanıtı kontrolünü alabilir. Mevcut modüller kolayca SQL enjeksiyonu, XSS <CRLF ve diğer birçok güvenlik gibi en yaygın güvenlik açıklarını tespit edebilir.
Aracın Kaynak kodu Github geçerli: https://github.com/OWASP/OWASP-WebScarab
Burada İndirme WebScarab: https://www.owasp.org/index.php/Category...ab_Project
Skipfish "Balık atla"
Skipfish da güzel bir web uygulama güvenlik aracıdır. Bu web sitesi tarar ve ardından çeşitli güvenlik tehditleri her sayfaları kontrol ve sonunda nihai rapor hazırlar. C. It yazılmış Bu araç son derece HTTP işleme ve minimum CPU kullanan için optimize edilmiştir. Bu kolayca CPU üzerinde yük eklemeden saniyede 2000 isteklerini işleyebilir iddia ediyor. Tarama ve web sayfalarını test ederken bir sezgisel tarama yaklaşımı kullanın. Bu araç aynı zamanda yüksek kalite ve daha az yanlış pozitif sunmak iddia ediyor.
Bu araç, Linux, FreeBSD, MacOS X ve Windows için kullanılabilir.
Google Kodları gelen Skipfish veya kod İndir: skipfish - web application security scanner - Google Project Hosting
Ratproxy
"Ratproxy"
Ratproxy da web uygulamaları güvenlik açıklarını bulmak için kullanılabilecek bir açık kaynak web uygulaması güvenlik denetim aracıdır. Bu Linux, FreeBSD, MacOS X ve Windows (Cygwin) ortamları destekler.
Bu araç güvenlik denetimleri için diğer proxy araçları kullanırken kullanıcılar genellikle karşılaştıkları sorunların üstesinden gelmek için tasarlanmıştır. Bu CSS ve JavaScript kodları stil arasında ayrım yeteneğine sahiptir. Aynı zamanda da veri SSL geçen görmek anlamına gelir orta saldırı, SSL adam destekler. Burada bu araç hakkında daha fazla bilgi edinebilirsiniz:
RatproxyDoc - ratproxy - Project documentation - passive web application security assessment tool - Google Project Hosting
İndir ratproxy - passive web application security assessment tool - Google Project Hosting
SQLMap "SQLMap"
Sqlmap başka popüler açık kaynak penetrasyon test aracıdır. Bir web sitesinin veri tabanında SQL injection açığı bulma ve istismar sürecini otomatik hale getirir. Bu, güçlü bir algılama motoru ve birçok yararlı özelliklere sahiptir. Yani, bir penetrasyon test kolayca web SQL enjeksiyon kontrolü yapabilirsiniz.
Bu MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase ve SAP MaxDB dahil veritabanı sunucularının çeşitli destekler. Zaman-tabanlı kör, mantıksal-tabanlı kör, hata-tabanlı, BİRLİĞİ sorgu, yığılmış sorgular ve out-of-band: SQL Enjeksiyon teknikleri 6 çeşit tam destek sunuyor.
Github depo kaynak koduna erişim: https://github.com/sqlmapproject/sqlmap
Buradan indirin sqlmap: https://github.com/sqlmapproject/sqlmap
Wfuzz "Hav"
Wfuzz web uygulama penetrasyon testleri için başka serbestçe kullanılabilir açık kaynak aracıdır. Bu SQL, XSS, LDAP ve diğerleri gibi enjeksiyonlar çeşitli karşı test için kaba kuvvet GET ve POST parametreleri kullanılabilir. Ayrıca, çerez tüylenme, çoklu iş parçacığı, çorap, Proxy Authentication destekler kaba zorlayarak, birden fazla vekil ve diğer birçok şeyi parametreleri. Burada aracın özellikleri hakkında daha fazla bilgi edinebilirsiniz:
Komut satırı arayüzü üzerinde çalışmak zorunda böylece Bu araç, bir GUI arayüzü sunmuyor.
Google Project Hosting
: Code.google.com gelen Wfuzz indirin Google Project Hosting
Grendel-Scan "Grendel-Scan"
Grendel-Scan bir başka güzel açık kaynak web uygulama güvenlik aracıdır. Bu web uygulamaları güvenlik açıklarını bulmak için otomatik bir araçtır. Birçok özellik de manuel penetrasyon testleri için kullanılabilir. Bu araç, Windows, Linux ve Macintosh için kullanılabilir. Bu araç Java geliştirilmiştir.
: Alet ve kaynak kodunu indirin Confidentialité- France
Watcher "Bekçi"
Watcher bir pasif web güvenliği tarayıcı. Bu istekleri yükleri ile saldırı veya hedef web tarama değil. Bu ayrı bir araç değildir ama Fiddler bir eklenti olduğunu. Yani önce onu kullanmak için Watcher Fiddler yüklemek ve daha sonra yüklemeniz gerekir.
Sessizce kullanıcı etkileşimi isteği ve yanıtı analiz ve ardından uygulama üzerinde bir rapor yapar. Bir pasif tarayıcı gibi, bu web sitesinin hosting veya bulut altyapısı etkilemez.
İndir gözlemcisi ve kaynak kodu: Watcher: Web security testing tool and passive vulnerability scanner - Home
X5S
X5'lerin da Fiddler add-on cross-site scripting açıkları bulmak için bir yol sağlamak için amaçlıyor. Bu otomatik bir araç değildir. Yani, kodlama sorunları XSS yol açabilir nasıl anlamak gerekir. El enjeksiyon noktası bulmak ve sonra XSS uygulamasında olabilir nerede kontrol etmek gerekir.
Biz bir önceki yazı X5S örtülü var. Yani, X5S ve XSS hakkında daha fazla bilgi için bu makaleye başvurabilirsiniz.
Codeplex gelen X5S ve kaynak kodunu indirin: x5s - test encodings and character transformations to find XSS hotspots - Home
: Ayrıca X5S nasıl kullanılacağını bilmek için bu resmi kılavuzuna başvurabilirsiniz x5s - test encodings and character transformations to find XSS hotspots - Documentation
Arachni
Arachni bir penetrasyon test ortamı sağlamak için geliştirilmiş açık kaynak kodlu bir aracıdır. Bu araç, çeşitli web uygulama güvenlik açıklarını tespit edebilir. SQL Injection, XSS, Yerel Dosya dahil, uzaktan dosya dahil, unvalidated yönlendirme, ve diğerleri gibi çeşitli güvenlik açıklarını tespit edebilir.
Burada bu aracı indirin: Home - Arachni - Web Application Security Scanner Framework
