Skanery stron WWW

Lista programów pomocnych w badaniu bezpieczeństwa systemów, ich audytowania czy też administracji opracowana została na podstawie opracowania SECTOOLS portalu INSECURE.ORG

Każde z narzędzi zostało opisane przy pomocy kilku atrybutów takich jak:

	Generalnie wersja płatna. Mogą być dostępne wersje darmowe limitowane/demo/trial
	Aplikacja dostępna dla systemów opartych o jądro Linux
	Aplikacja dostępna dla systemów opartych o OpenBSD, FreeBSD, Solaris lub inny wariant systemu UNIX
	Aplikacja dostępna dla systemów Apple Mac OS X
	Aplikacja dostępna dla systemów Microsoft Windows
	Narzędzie obługiwane z linii poleceń (command-line interface)
	Narzędzie obsługiwane poprzez graficzny interfejs - GUI (point and click)
	Dostępny kod źródłowy

#1	Nikto : Oparty na otwartym kodzie źródłowym (GPL) skaner sieci posiadający w swojej bazie ponad 3.200 potencjalnie niebezpiecznych plików/CGI, wersji na 625 typów serwerów oraz specyficznych problemów 230 serwerów. Posiada możliwośc regularnego uaktualnienia. Dla poprawienia swojej funkcjonalności używa także Whisker/libwhisker. Funkcjonalne narzędzie lecz jego minusem są rzadkie uaktualnienia oraz fakt, iż najnowsze krytyczne błędy nie są wykrywane.
#2	Paros proxy : Oparte na Javie narzędzie oceny zabezpieczeń w sieci Web. Wspiera edycje i bieżący podgląd wiadomości http/HTTPS z możliwością zmiany cookie i treści. Posiada rejestrator ruchu sieciowego, Web spiker, hash calculator oraz skaner do testowania ataków typu SQL injection i cross-site scripting.
#3	WebScarab : Struktura do analizowania aplikacji, które komunikują się za pomocą protokołów http i HTTPS. WebScarab rejestruje przepływ danych (wysyłane dane i odpowiedzi), które obserwuje pozwalając na ich późniejszą selekcje. Narzędzie to zostało zaprojektowane tak, aby monitorować aplikacje oparte na http, lub pozwolić na wykrycie innych problemów. Dla specjalisty ds. zabezpieczeń może służyć do identyfikacji podatności w zabezpieczeniach.
#4	WebInspect : Narzędzie firmy SPI Dynamice pozwalające zidentyfikować nieznane luki w zabezpieczeniach. Pozwala także sprawdzić, czy serwer jest prawidłowo skonfigurowany na próby takich ataków jak parameter injection, cross-site scripting, directory traversal i innych.
#5	Whisker/libwhisker : Libwhisker jest modułem w Perl nastawiony na testowanie zabezpieczeń serwerów HTTP. Whisker jest skanerem używającym libwhisker, który także jest używany przez Nikto.
#6	Burpsuite : Pozwala atakującemu łączyć manualne i automatyczne techniki, aby zliczać, analizować oraz atakować i wykorzystywać aplikacje sieci Web. Poprzez działające wspólnie narzędzia pozwala efektywnie zbierać informacje potrzebne do działania przez drugie narzędzie.
#7	Wikto : Narzędzie do sprawdzające przepływ na serwerach sieci Web. Funkcjonalnością jest zbliżony do Nikto, lecz posiada kilka własnych funkcjonalnych innowacji. Napisany w środowisku MS .NET i do ściągnięcia jego kodu binarnego/źródłowego wymagana jest rejestracja.
#8	Acunetix Web Vulnerability Scanner : Automatycznie sprawdza aplikacje Web w celu określenia podatności na ataki typu SQL Injection, cross site scripting, oraz hasła niskiego stopnia na stronach wymagających autoryzacji. Acunetix WVS posiada komfortowy GUI i możliwość tworzenia profesjonalnych raportów audytowych odnośnie zabezpieczeń stron.
#9	Watchfire AppScan : Pozwala na testowanie zabezpieczeń aplikacji w trakcie rozwoju, pozwalając odciążyć testowaną jednostkę w fazie jej rozwoju. Appscan skanuje wiele powszechnych podatności, takich jak cross site scripting, HTTP response splitting, parameter tampering, hidden field manipulation, backdoors/debug options, buffer overflows i inne.
#10	N-Stealth : Komercyjny skaner do testowania serwerów sieci Web. Jest on częściej uaktualniany niż darmowe skanery Whisker/libwhisker i Nikto. Generalnie narzędzia Nessus, ISS Internet Scanner, Retina, SAINT i Sara zawierają skanowanie komponentów sieci Web.

Dodaj komentarz

Please update your Flash Player to view content.
QUBER - get it free

Video

Aktualności

Luki, błędy, podatności

Najpopularniejsze narzędzia dostępne w sieci

Baza wiedzy

Bezpieczeństwo fizyczne

Porady inne

Organizacje

Reklama

Logowanie
Nazwa użytkownika Hasło Zapamiętaj Nie pamiętasz hasła? Nie pamiętasz nazwy? Załóż swoje konto!

Popularne tagi
Atak Audyt Chiny Cisa Computerworld Cyberprzestępca Dane EXPLORER Google Ie Kaspersky Luka Malware Mcafee Microsoft Oszustwo Phishing Piractwo Policja Prasa Prawo Raport Spam Sąd Update

Redaktorzy portalu
Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, ISO 27001, biegły sądowy, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA International a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej e-mail: pb@locos.pl www.piotr.blaszczec.pl Adam Kuczyński - zajmuje się bezpieczeństwem IT i ochroną informacji, audytor IT, ISO 27001, na co dzień Naczelnik Wydziału Audytu Systemów Informatycznych w jednej z największych korporacji w Polsce e-mail: adam@locos.pl

Redaktorzy portalu

Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, ISO 27001, biegły sądowy, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA International a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej
e-mail: pb@locos.pl
www.piotr.blaszczec.pl

Adam Kuczyński - zajmuje się bezpieczeństwem IT i ochroną informacji, audytor IT, ISO 27001, na co dzień Naczelnik Wydziału Audytu Systemów Informatycznych w jednej z największych korporacji w Polsce e-mail: adam@locos.pl

Oficjalni partnerzy firmy LOCOS i portalu LOCOS.PL: