Тестирование безопасности - Инструменты автоматизации

Для тестирования безопасности приложения доступны различные инструменты. Существует несколько инструментов, которые могут выполнять сквозное тестирование безопасности, в то время как некоторые из них предназначены для выявления определенного типа недостатка в системе.

Инструменты с открытым исходным кодом

Некоторые инструменты тестирования безопасности с открытым исходным кодом, как дано —

S.No.	Имя инструмента
1	Zed Attack Proxy Предоставляет автоматические сканеры и другие инструменты для выявления недостатков безопасности. https://www.owasp.org
2	OWASP WebScarab Разработано в Java для анализа запросов Http и Https. https://www.owasp.org/index.php
3	OWASP Мантра Поддерживает многоязычную среду тестирования безопасности https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework
4	Отрыжка прокси Инструмент для перехвата и Modyfying трафика и работает с работой с пользовательскими сертификатами SSL. https://www.portswigger.net/Burp/
5	Firefox Tamper Data Используйте tamperdata для просмотра и изменения заголовков HTTP / HTTPS и параметров публикации https://addons.mozilla.org/en-US
6	Инструменты веб-разработчика Firefox Расширение Web Developer добавляет различные инструменты для веб-разработчиков в браузер. https://addons.mozilla.org/en-US/firefox
7	Редактор файлов cookie Позволяет пользователю добавлять, удалять, редактировать, искать, защищать и блокировать куки https://chrome.google.com/webstore

Zed Attack Proxy

Предоставляет автоматические сканеры и другие инструменты для выявления недостатков безопасности.

https://www.owasp.org

OWASP WebScarab

Разработано в Java для анализа запросов Http и Https.

https://www.owasp.org/index.php

OWASP Мантра

Поддерживает многоязычную среду тестирования безопасности

https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework

Отрыжка прокси

Инструмент для перехвата и Modyfying трафика и работает с работой с пользовательскими сертификатами SSL.

https://www.portswigger.net/Burp/

Firefox Tamper Data

Используйте tamperdata для просмотра и изменения заголовков HTTP / HTTPS и параметров публикации

https://addons.mozilla.org/en-US

Инструменты веб-разработчика Firefox

Расширение Web Developer добавляет различные инструменты для веб-разработчиков в браузер.

https://addons.mozilla.org/en-US/firefox

Редактор файлов cookie

Позволяет пользователю добавлять, удалять, редактировать, искать, защищать и блокировать куки

https://chrome.google.com/webstore

Специальные наборы инструментов

Следующие инструменты могут помочь нам определить определенный тип уязвимости в системе:

S.No.	Ссылка на сайт
1	DOMinator Pro — Тестирование для DOM XSS https://dominator.mindedsecurity.com/
2	OWASP SQLiX — SQL-инъекция https://www.owasp.org/index.php
3	Sqlninja — SQL-инъекция http://sqlninja.sourceforge.net/
4	SQLInjector — SQL-инъекция https://sourceforge.net/projects/safe3si/
5	sqlpowerinjector — SQL-инъекция http://www.sqlpowerinjector.com/
6	SSL Digger — Тестирование SSL https://www.mcafee.com/us/downloads/free-tools
7	THC-Hydra — пароль грубой силы https://www.thc.org/thc-hydra/
8	Брут — пароль грубой силы http://www.hoobie.net/brutus/
9	Ncat — пароль грубой силы https://nmap.org/ncat/
10	OllyDbg — тестирование переполнения буфера http://www.ollydbg.de/
11	Spike — тестирование переполнения буфера https://www.immunitysec.com/downloads/SPIKE2.9.tgz
12	Metasploit — тестирование переполнения буфера https://www.metasploit.com/

DOMinator Pro — Тестирование для DOM XSS

https://dominator.mindedsecurity.com/

OWASP SQLiX — SQL-инъекция

https://www.owasp.org/index.php

Sqlninja — SQL-инъекция

http://sqlninja.sourceforge.net/

SQLInjector — SQL-инъекция

https://sourceforge.net/projects/safe3si/

sqlpowerinjector — SQL-инъекция

http://www.sqlpowerinjector.com/

SSL Digger — Тестирование SSL

https://www.mcafee.com/us/downloads/free-tools

THC-Hydra — пароль грубой силы

https://www.thc.org/thc-hydra/

Брут — пароль грубой силы

http://www.hoobie.net/brutus/

Ncat — пароль грубой силы

https://nmap.org/ncat/

OllyDbg — тестирование переполнения буфера

http://www.ollydbg.de/

Spike — тестирование переполнения буфера

https://www.immunitysec.com/downloads/SPIKE2.9.tgz

Metasploit — тестирование переполнения буфера

https://www.metasploit.com/

Коммерческие инструменты для тестирования Black Box

Вот некоторые из коммерческих инструментов тестирования черного ящика, которые помогают нам выявлять проблемы безопасности в разрабатываемых нами приложениях.

S.No	Инструмент
1	NGSSQuirreL https://www.nccgroup.com/en/our-services
2	IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/
3	Веб-сканер уязвимостей Acunetix https://www.acunetix.com/
4	NTOSpider https://www.ntobjectives.com/products/ntospider.php
5	SOAP UI https://www.soapui.org/Security/getting-started.html
6	Netsparker https://www.mavitunasecurity.com/netsparker/
7	HP WebInspect http://www.hpenterprisesecurity.com/products

NGSSQuirreL

https://www.nccgroup.com/en/our-services

IBM AppScan

https://www-01.ibm.com/software/awdtools/appscan/

Веб-сканер уязвимостей Acunetix

https://www.acunetix.com/

NTOSpider

https://www.ntobjectives.com/products/ntospider.php

SOAP UI

https://www.soapui.org/Security/getting-started.html

Netsparker

https://www.mavitunasecurity.com/netsparker/

HP WebInspect

http://www.hpenterprisesecurity.com/products

Бесплатные анализаторы исходного кода

S.No	Инструмент
1	OWASP Orizon https://www.owasp.org/index.php
2	OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform
3	SearchDiggity https://www.bishopfox.com/resources/tools
4	FXCop https://www.owasp.org/index.php/FxCop
5	лубок http://splint.org/
6	благодеяние https://www.cs.berkeley.edu/~daw/boon/
7	W3af http://w3af.org/
8	Flawfinder https://www.dwheeler.com/flawfinder/
9	FindBugs http://findbugs.sourceforge.net/