BIGtheme.net http://bigtheme.net/ecommerce/opencart OpenCart Templates

8 Ferramentas de teste de segurança Open Source

Página Traduzida por Google.com

Se incidentes de segurança como heartbleed, a Apple gotofail falha, ataque POODLE nos ensinaram alguma coisa, é que a segurança da web não pode ser tomada de ânimo leve e até mesmo o melhor de nós não são seguros a partir dele. Ferramentas de teste de segurança da Web são úteis na detecção de vulnerabilidades de aplicativos de forma proativa e salvaguardar websites contra ataques.

Aqui estão 8 ferramentas de código aberto que são populares entre os testadores de segurança:

Vega – É uma ferramenta de varredura de vulnerabilidades e testes escritos em Java. Ele funciona com as plataformas OS X, Linux e Windows. É GUI habilitado e inclui um scanner automatizado e um proxy de interceptação. Ele pode detectar vulnerabilidades em aplicações web como injeção de SQL, injeção de cabeçalho, cross site scripting etc. Pode ser estendida através de uma API JavaScript.
https://subgraph.com/vega/

ZED Proxy Attack (ZAP) – Ele foi desenvolvido pela AWASP e está disponível para as plataformas Windows, Unix / Linux e Macintosh. Tem elevada facilidade de utilização. Ele pode ser usado como um scanner ou para interceptar um proxy para testar manualmente uma página da web. Suas principais características são tradicionais e AJAX aranhas, Fuzzer, apoio soquete Web e uma API baseada em REST
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Wapiti – Ele executa uma varredura blackbox e injeta cargas úteis para verificar se um script é vulnerável. Ele suporta tanto GET e métodos de ataque POSTHTTP. Ele detecta vulnerabilidades como arquivo de Divulgação, arquivo inclusão, Cross Site Scripting (XSS), configuração de .htaccess fraco etc.
http://wapiti.sourceforge.net/

W3af – É uma auditoria de aplicações web e quadro ataque que é eficaz contra mais de 200 vulnerabilidades. Ele tem uma interface gráfica com ferramentas especializadas que podem ser utilizados para enviar pedido de HTTP e respostas de HTTP cluster. Se um site é protegido, ele pode usar módulos de autenticação para digitalizá-los. A saída pode ser conectado a um console, um arquivo ou enviados via e-mail.
http://w3af.org/

Ferro Wasp – É uma poderosa ferramenta de varredura baseado em GUI que pode verificar mais de 25 tipos de vulnerabilidades da web. Ele pode detectar falsos positivos e falsos negativos. Ele é construído sobre Python e Ruby e gera relatórios HTML e RTF.
https://ironwasp.org/

SqlMap – Ele detecta vulnerabilidade de injeção SQL em um banco de dados site. Ele pode ser usado em uma ampla gama de bancos de dados e suporta 6 tipos de técnicas de injeção SQL: cegos baseado em tempo, cegos à base de boolean, baseada em erro, consulta união, consultas empilhados e out-of-band. Ele pode se conectar diretamente ao banco de dados sem usar uma injeção SQL e tem grandes recursos de impressão digital banco de dados e enumeração.
http://sqlmap.org/

Google Nogotofail – É uma ferramenta de teste de segurança de tráfego de rede. Ele verifica pedido de vulnerabilidades TLS / SSL conhecidas e mis-configurações. Faz a varredura de SSL / TLS criptografado conexões e verifica se eles são vulneráveis ​​a ataques man-in-the-middle (MITM). Ele pode ser configurado como um roteador, servidor VPN ou servidor proxy.
https://github.com/google/nogotofail

Carne bovina (Navegador Exploitation Framework) – Ele detecta fraqueza aplicação utilizando vulnerabilidades do navegador. Ele usa vetores de ataque do lado do cliente para verificar a segurança de uma aplicação. Ele pode emitir comandos do navegador, como redirecionamento, mudando URLs, gerando caixas de diálogo, etc.
http://beefproject.com/

Leia sobre os diferentes tipos de testes de segurança e ferramentas que permitem os testes em White paper da Gallop em ferramentas de teste de segurança.
Leia mais em http://www.gallop.net/blog/8-open-source-security-testing-tools-to-test-your-website/#HgSscuTjRDCKvfAQ.99 – Página Traduzida

Sobre Luiz Lohn

Avatar
Luiz Lohn trabalha como QA Engineer em uma multinacional, além de realizar palestras e consultorias em empresas. Atua como um dos coordenadores do GUTS-SC (Grupo de usuário de teste de software), membro ativo na comunidade de qualidade e teste de software, ministra palestras e cursos. Especializando-se em segurança web e mobile.

2 comentários

  1. Avatar

    Ficamos felizes em termos contribuido! 🙂

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Page Reader Press Enter to Read Page Content Out Loud Press Enter to Pause or Restart Reading Page Content Out Loud Press Enter to Stop Reading Page Content Out Loud Screen Reader Support