Інструменти автоматизації тестування безпеки в інтернеті корисні для превентивного виявлення вразливостей додатків і захисту сайтів від атак.

Ось 8 інструментів з відкритим вихідним кодом, які популярні серед тестувальників:

  • Vega – це інструмент для сканування і тестування вразливостей, написаний на Java. Він працює з платформами OS X, Linux і Windows. Включається за допомогою графічного інтерфейсу і містить автоматичний сканер і перехоплення проксі. Дозволяє виявляти такі уразливості веб-додатків, як ін’єкції SQL, вставка заголовків, міжсайтовий скриптінг і т. д. Інструмент може бути розширений через API на JavaScript;
  • ZED Attack Proxy (ZAP) був розроблений AWASP і доступний для платформ Windows, Unix/Linux і Macintosh. Інструмент простий у використанні. Може застосовуватися як сканер або перехоплювати проксі для ручного тестування веб-сторінки. Його ключовими особливостями є підтримка веб-сокетів і API на основі REST;
  • Wapiti виконує сканування методом BlackBox і вводить корисні дані, щоб перевірити, вразливий сценарій. Інструмент підтримує методи атак GET і POSTHTTP. Виявляє такі уразливості, як розкриття файлів, включення файлів, міжсайтовий скриптінг (XSS), слабку конфігурацію .htaccess і так далі;
  • W3af – фреймворк для аудиту веб-додатків і запобігання атак, який ефективний проти більше ніж 200 вразливостей. Інструмент для автоматизації процесу тестування має графічний інтерфейс з коштами, які можуть використовуватися для відправки HTTP-запитів та кластерних HTTP-відповідей. Якщо сайт захищений, W3af може використовувати модулі автентифікації для сканування. Результат роботи фреймворку може бути виведений на консоль, у файл або відправлений електронною поштою;
  • Iron Wasp – це потужний інструмент сканування з графічним інтерфейсом. Він може перевірити сайт на наявність більш ніж 25 видів веб-вразливостей, виявити помилкові спрацьовування і помилкові заперечення. Даний інструмент написаний на Python і Ruby і генерує HTML і RTF звіти;
  • SQLMap — це засіб автоматизації тестування сайтів виявляє дефект у вигляді SQL-ін’єкцій в базі даних сайту. Він може використовуватися для широкого кола баз даних і підтримує 6 видів технік SQL-ін’єкцій: «сліпі» ін’єкції на основі часу, «сліпі» ін’єкції на основі булевої алгебри, ін’єкції, що базуються на помилки, запити UNION, стекові запити і внеполосные ін’єкції. Інструмент може безпосередньо підключатися до бази даних без використання SQL-ін’єкцій. А також має функції для створення цифрового відбитка бази даних;
  • Google Nogotofail – засіб тестування безпеки мережевого трафіку. Перевіряє додаток на наявність відомих вразливостей TLS/SSL і неправильних конфігурацій. Сканує SSL/TLS-зашифровані з’єднання і перевіряє, чи є вони уразливими для атак типу «людина посередині» (man-in-the-middle – MiTM). Може бути налаштований як маршрутизатор, VPN-сервер або проксі-сервер;
  • BeEF (Browser Exploitation Framework) дозволяє виявити слабкі місця програми, використовуючи уразливості браузера. Даний інструмент автоматизації тестування додатків використовує вектори атак на стороні клієнта для перевірки безпеки. Може викликати команди браузера, такі як перенаправлення, зміна URL-адрес, створення діалогових вікон і т. д.

Переклад статті «8 Open source security testing tools to test your website» був підготовлений дружною командою проекту Сайтостроение від А до Я.