Такі інциденти з порушенням безпеки, як Heartbleed, Apple gotofail дали нам урок, що веб-безпекою не можна нехтувати, і, що навіть найсильніші можуть дати слабину. Скориставшись матеріалом сайту gallop.net компанія «Кварта Технологи» пропонує ознайомитися з вісьмома безкоштовними інструментами забезпечення веб-безпеки. Ось вони:

1. Vega
2. ZED Attack Proxy (ZAP)
3. Wapiti
4. W3af
5. Iron Wasp
6. SQLMap
7. Google Nogotofail
8. BeEF (Browser Exploitation Framework)

Vega - це програма для сканування вразливих і слабких місць створених на Java. Працює вона з такими операційними системами, як OS X, Linux і платформами Windows. GUI сам вмикає і вимикає автоматизований сканер і проксі процеси. Vega допомагає знаходити і фіксувати XSS (сценарії перехресного сайту), SQL-ін'єкції, багато іншого. Vega може бути розширена за допомогою потужного API на мові Javascript.

Детальніше

Розробка AWASP - ZED Attack Proxy (ZAP), доступна для Windows, Unix / Linux і платформ Macintosh. Досить простий у використанні інтегрований інструмент тестування і знаходження вразливостей в веб-додатках. Він може використовуватися в якості сканера або переривати проксі, щоб вручну протестувати веб-сторінку. Головні особливості ZED Attack Proxy (ZAP) павуки AJAX, Fuzzer, веб-підтримка сокета і REST базування API.

Детальніше

Wapiti - інструмент, що дозволяє сканувати веб-сторінки в чинному додатку, виконує «чорний ящик» і вводить навантаження на додаток, щоб перевірити, вразливий чи сценарій. Wapiti виявляє уразливості в таких процесах, як розкриття файлу, включення файлу, виявляє XSS сценарії і слабкі .htaccess конфігурації і т.д. Має велику базу даних ін'єкцій (PHP / JSP / ASP SQL-ін'єкцій і XPath-ін'єкцій).

Детальніше

W3af - це платформа аудиту атак веб-додатки, що є ефективною проти понад 200 вразливостей. У даної платформи є GUI з необхідними інструментами, які можуть використовуватися, щоб відправити запит на HTTP і отримати кластерні відповіді HTTP. Якщо веб-сайт захищений, то програма може використовувати модулі аутентифікації, щоб відсканувати їх. Висновок може бути зареєстрований в консоль, файл або відправлений по електронній пошті.

Детальніше

IronWASP - веб-додаток для тестування платформ з відкритим вихідним кодом, який може перевірити 25 видів веб-вразливостей. Тут можна відзначити ка позитивні сторони, так і негативні сторони. Наприклад, завдяки відкритому вихідному коду користувачі можуть самі створювати сканери безпеки. Додаток зручно як для новачків, так і для досвідчених користувачів. Генерує звіти RTF і HTML.

Детальніше

SQLMap - інструмент для виявлення SQL-ін'єкції в базі даних веб-сайту. Це може використовуватися на широкому діапазоні баз даних і підтримує 6 видів методів інжекції SQL: time-based blind, boolean-based blind, помилка в основі, єдиний запит, складені запити і запити поза групою. Додаток може безпосередньо підключиться до бази даних, не використовуючи SQL-ін'єкцію, також має власну велику базу даних. Повна підтримка: MySQL, Oracle, PostgreSQL і Microsoft SQL Server. Часткова підтримка: Microsoft Access, DB2, Informix, Sybase і Interbase.

Детальніше

Google Nogotofail - це інструмент тестування безпеки мережевого трафіку. Google Nogotofail перевіряє додаток на відомі уразливості TLS / SSL і невірні конфігурації, сканує зашифровані з'єднання і перевірки SSL / TLS, уразливі вони для атак в середині (MiTM). Google Nogotofail може бути встановлений як маршрутизатор, VPN сервер або проксі-сервер.

Детальніше

BeEF (Browser Exploitation Framework) - це додаток, здатне виявити «діри» сайту використовуючи слабкості веб-браузера. На відміну інших структур безпеки BeEF відстежує атаки з боку клієнта в рамках браузера. Даний інструмент може працювати з декількома веб-браузерами для контролю над змінами на веб-сайті.

Детальніше

Сподіваємося, що дана інформація була для вас корисною.

Для зв'язку з нашими фахівцями рекомендуємо:

e-mail: [email protected]

телефон: +7 (495) 234-40-18

+7 (495) 234-40-18 доб. 313