Тестирование веб-приложений на проникновение — это процесс тестирования веб-приложений с целью поиска уязвимостей в системе безопасности, которыми может воспользоваться злоумышленник. Специалисты по тестированию на проникновение используют различные инструменты проникновения в Интернет для выявления и исправления этих уязвимостей
BurSuite
Как универсальная платформа для тестирования безопасности веб-приложений, BurSuite может использоваться на каждом этапе процесса тестирования, включая разведку, анализ, перечисление, подбор и эксплуатацию. Некоторые из его ключевых функций включают инструменты вторжения для выполнения автоматических атак, инструмент повтора для воспроизведения и изменения запросов, а также инструмент прокси для перехвата трафика. Все эти инструменты можно использовать для поиска широкого спектра уязвимостей, таких как SQL-инъекция, межсайтовый скриптинг и уязвимости XXE-инъекций. Burp Suite прост в использовании и интуитивно понятен даже для начинающих пентестеров и объединяет множество других инструментов, что делает процесс тестирования более плавным. Более плавный процесс означает меньшее время тестирования с лучшими результатами. Основным компонентом Burp Suite является Burp Proxy, который действует как посредник между браузером и целевыми веб-приложениями.
Прокси-сервер Zed Attack (ZAP)
ZAP или Zed Attack Proxy — это инструмент тестирования безопасности веб-приложений, который используется для поиска нескольких уязвимостей безопасности на этапе разработки и тестирования. Это кроссплатформенный инструмент с открытым исходным кодом и удобным графическим интерфейсом. Его легко могут использовать как эксперты, так и новички. ZAP поддерживает доступ к командной строке для более продвинутых пользователей. Как один из самых известных проектов OWASP, ZAP также получил статус флагмана. ZAP написан на Java и может использоваться для перехвата прокси-сервера для ручного тестирования веб-страниц. Некоторые из уязвимостей, которые он определяет, включают раскрытие ошибок приложения, файлы cookie, в которых отсутствует флаг HttpOnly, токены защиты от CSRF и отсутствующие заголовки безопасности, раскрытие частного IP-адреса, сеанс идентификатора при перезаписи URL-адресов, внедрение SQL и внедрение XSS. Его основные функции включают автоматический анализ, простоту использования, кросс-платформенную поддержку, API на основе отдыха, поддержку аутентификации и использование традиционных и мощных AJAX.
SQLMap
Автоматизируя процесс обнаружения и использования уязвимости SQL-инъекций в базе данных веб-сайта, SQLMap совершенно бесплатен. Инструмент тестирования безопасности поставляется с мощным механизмом тестирования, способным поддерживать 6 типов методов SQL-инъекций, включая слепые, основанные на ошибках, внеполосные, стекированные, слепые логические запросы, время и типы запросов UNION. Среди своих основных преимуществ SQLMap автоматизирует процесс поиска уязвимостей SQL-инъекций, может использоваться для тестирования безопасности на веб-сайте и имеет надежный механизм обнаружения. SQLMap также может тестировать безопасность веб-сайта и поддерживает ряд баз данных, включая MySQL, Oracle и PostgreSQL.
Nikto
Будучи веб-сервером с открытым исходным кодом и сканером веб-приложений, Nikto представляет собой очень комплексный инструмент. Он сканирует более 6 700 потенциально опасных файлов и CGI, а также более 12 500 версий серверов. Он также может определять устаревшие версии более 1200 серверов и обнаруживать наличие более 3600 уязвимых CGI. Его ключевые функции включают в себя возможность сканирования нескольких портов одновременно, поддержку SSL, методы обхода IDS и уменьшение количества ложных срабатываний. В целом, Nikto — очень мощный и универсальный инструмент, который можно использовать для широкого круга задач по тестированию безопасности веб-приложений, начиная от простой разведки и заканчивая более сложными задачами.
DirBuster
DirBuster — это основанный на Java инструмент перебора каталогов и файлов, который можно использовать для поиска ресурсов, которые не связаны или не известны (т. е. скрыты) веб-приложению. Для этого он ищет каталоги и файлы в корневом каталоге документов веб-сервера.
GoBuster
GoBuster — это инструмент для перебора URL-адресов (то есть каталогов и файлов) на веб-сервер. Он написан на Go и поставляется с двумя режимами работы: режим каталогов, который перебирает каталоги на веб-сервере, и файловый режим, который перебирает файлы на веб-сервере. GoBuster также имеет возможность перебора субдоменов DNS. Некоторые из ключевых функций GoBuster включают поддержку многопоточности, рекурсивный подбор, поддержку прокси и возможность настраивать списки слов. В целом, GoBuster — очень полезный инструмент для тестирования безопасности веб-приложений, который можно использовать для поиска скрытых ресурсов на веб-сервере. Другие ключевые особенности включают скорость, портативность и простоту использования. Nikto можно использовать со всеми веб-серверами (Apache, Nginx, IHS, OHS, Litespeed и т. д.) и он поддерживает все платформы веб-приложений (PHP, ASP.NET, Java и т. д.).
Fiddler
Fiddler — это прокси-сервер веб-отладки, который можно использовать для регистрации, проверки и изменения трафика из любого веб-браузера или приложения. Основные функции Fiddler включают в себя возможность отслеживать и отлаживать веб-трафик, одновременно захватывать его из нескольких сеансов, воспроизводить для тестовых приложений и изменять запросы и ответы. В целом, Fiddler — очень мощный и универсальный инструмент для тестирования безопасности веб-приложений. Fiddler в основном используется для тестирования безопасности, но его также можно использовать для других задач, таких как тестирование производительности и мониторинг сети.
Wappalyzer
Wappalyzer — это кроссплатформенная утилита, которая идентифицирует технологии, используемые на веб-сайтах. Он обнаруживает системы управления контентом, платформы электронной коммерции, веб-серверы, фреймворки JavaScript, инструменты аналитики и многие другие программные продукты, используемые в Интернете. Wappalyzer идентифицирует более 500 различных программных продуктов, может интегрироваться в широкий спектр веб-браузеров и предлагает широкий спектр плагинов и расширений. Wappalyzer также может быть полезен для других задач, включая конкурентную разведку, лидогенерацию и исследование рынка. В целом, Wappalyzer — очень полезный инструмент для веб-разработчиков, веб-дизайнеров и специалистов по безопасности.
wfuzz
Wfuzz — это инструмент для тестирования веб-приложений на проникновение на основе Python. Он не имеет графического интерфейса и может использоваться только через командную строку. Некоторые из уязвимостей, которые может выявить Wfuzz, включают SQL-инъекцию, LDAP и XSS. Основные функции этого инструмента включают поддержку аутентификации, несколько точек внедрения, фаззинг файлов cookie, поддержку прокси и SOCK, а также многопоточность. Wfuzz — популярный инструмент для тестирования на проникновение веб-приложений, известный своей эффективностью. Поскольку полезная нагрузка является источником данных в Wfuzz, она позволяет вводить любые данные в любое требуемое поле HTTP-запроса.
Invicti
Как система управления веб-уязвимостями, Invicti представляет собой удобный и высокоточный сканер безопасности веб-приложений. Он используется для автоматического выявления уязвимостей безопасности, таких как межсайтовый скриптинг (XSS), на веб-сайтах, веб-приложениях и веб-службах. Его технология сканирования на основе фактических данных не только позволяет вам сообщать об уязвимостях, но и создает доказательство концепции, подтверждающее, что они не являются ложными срабатываниями, экономя ваше время при ручной проверке уязвимостей. Среди основных преимуществ Invicti — оценка уязвимостей, расширенное веб-сканирование, технология сканирования на основе фактических данных, полная поддержка HTML5, сканирование веб-сервисов.