Новости
Такі інциденти з порушенням безпеки, як Heartbleed, Apple gotofail дали нам урок, що веб-безпекою не можна нехтувати, і, що навіть найсильніші можуть дати слабину. Скориставшись матеріалом сайту gallop.net компанія «Кварта Технологи» пропонує ознайомитися з вісьмома безкоштовними інструментами забезпечення веб-безпеки. Ось вони:
- Vega
- ZED Attack Proxy (ZAP)
- Wapiti
- W3af
- Iron Wasp
- SQLMap
- Google Nogotofail
- BeEF (Browser Exploitation Framework)
Vega - це програма для сканування вразливих і слабких місць створених на Java. Працює вона з такими операційними системами, як OS X, Linux і платформами Windows. GUI сам вмикає і вимикає автоматизований сканер і проксі процеси. Vega допомагає знаходити і фіксувати XSS (сценарії перехресного сайту), SQL-ін'єкції, багато іншого. Vega може бути розширена за допомогою потужного API на мові Javascript.
Детальніше
Розробка AWASP - ZED Attack Proxy (ZAP), доступна для Windows, Unix / Linux і платформ Macintosh. Досить простий у використанні інтегрований інструмент тестування і знаходження вразливостей в веб-додатках. Він може використовуватися в якості сканера або переривати проксі, щоб вручну протестувати веб-сторінку. Головні особливості ZED Attack Proxy (ZAP) павуки AJAX, Fuzzer, веб-підтримка сокета і REST базування API.
Детальніше
Wapiti - інструмент, що дозволяє сканувати веб-сторінки в чинному додатку, виконує «чорний ящик» і вводить навантаження на додаток, щоб перевірити, вразливий чи сценарій. Wapiti виявляє уразливості в таких процесах, як розкриття файлу, включення файлу, виявляє XSS сценарії і слабкі .htaccess конфігурації і т.д. Має велику базу даних ін'єкцій (PHP / JSP / ASP SQL-ін'єкцій і XPath-ін'єкцій).
Детальніше
W3af - це платформа аудиту атак веб-додатки, що є ефективною проти понад 200 вразливостей. У даної платформи є GUI з необхідними інструментами, які можуть використовуватися, щоб відправити запит на HTTP і отримати кластерні відповіді HTTP. Якщо веб-сайт захищений, то програма може використовувати модулі аутентифікації, щоб відсканувати їх. Висновок може бути зареєстрований в консоль, файл або відправлений по електронній пошті.
Детальніше
IronWASP - веб-додаток для тестування платформ з відкритим вихідним кодом, який може перевірити 25 видів веб-вразливостей. Тут можна відзначити ка позитивні сторони, так і негативні сторони. Наприклад, завдяки відкритому вихідному коду користувачі можуть самі створювати сканери безпеки. Додаток зручно як для новачків, так і для досвідчених користувачів. Генерує звіти RTF і HTML.
Детальніше
SQLMap - інструмент для виявлення SQL-ін'єкції в базі даних веб-сайту. Це може використовуватися на широкому діапазоні баз даних і підтримує 6 видів методів інжекції SQL: time-based blind, boolean-based blind, помилка в основі, єдиний запит, складені запити і запити поза групою. Додаток може безпосередньо підключиться до бази даних, не використовуючи SQL-ін'єкцію, також має власну велику базу даних. Повна підтримка: MySQL, Oracle, PostgreSQL і Microsoft SQL Server. Часткова підтримка: Microsoft Access, DB2, Informix, Sybase і Interbase.
Детальніше
Google Nogotofail - це інструмент тестування безпеки мережевого трафіку. Google Nogotofail перевіряє додаток на відомі уразливості TLS / SSL і невірні конфігурації, сканує зашифровані з'єднання і перевірки SSL / TLS, уразливі вони для атак в середині (MiTM). Google Nogotofail може бути встановлений як маршрутизатор, VPN сервер або проксі-сервер.
Детальніше
BeEF (Browser Exploitation Framework) - це додаток, здатне виявити «діри» сайту використовуючи слабкості веб-браузера. На відміну інших структур безпеки BeEF відстежує атаки з боку клієнта в рамках браузера. Даний інструмент може працювати з декількома веб-браузерами для контролю над змінами на веб-сайті.
Детальніше
Сподіваємося, що дана інформація була для вас корисною.
Для зв'язку з нашими фахівцями рекомендуємо:
e-mail: [email protected]
телефон: +7 (495) 234-40-18
+7 (495) 234-40-18 доб. 313