С развитием все более и более интерактивных и сложных веб-сайтов, владельцам таких сайтов стало принципиально важно следить за уровнем безопасности. Поэтому растет и количество инструментов и приложений для тестирования с веб-интерфейсом, размещенных в интернете. Никто не может быть уверенным в том, что его веб-сайт полностью защищен, если он не воспользуется данными инструментами для тестирования. Следовательно, эти инструменты считаются очень важными в нашем с вами деле.
В сегодняшней подборке мы предлагаем вам несколько бесплатных веб-приложений для тестирования уровня безопасности. Эти инструменты помогут вам провести тесты и позволят вам определить любые возможные проблемы, связанные с безопасностью вашего сайта. Посредством поля для комментариев вы можете высказать свое мнение, а также посоветовать другие удобные инструменты.
1. Wapiti
Wapiti позволяет вам провести аудит на предмет безопасности ваших веб-приложений. Приложение проведет сканирование с позиции злоумышленника. То есть, оно не будет проверять исходный код, но просканирует страницы веб-приложения на наличие скриптов или форм, через которые можно провести взлом.
2. Netsparker Community Edition
Netsparker Community Edition представляет собой сканер на предмет SQL Injection. Это бесплатная версия сканера веб-уязвимости, так что вы можете начать сканировать свой веб-сайт прямо сейчас. Сканер очень удобен в использовании, быстрый и довольно продуманный, и поэтому вам не стоит беспокоиться о ложных тревогах.
3. N-Stalker Free Version
N-Stalker Web Application Security Scanner 2012 Free Edition предоставляет вам ограниченное количество проверок Web Security Assessment, которые помогут вам повысить общий уровень безопасности инфраструктуры вашего веб-сайта. Инструмент использует самую полную базу сигнатур веб-атак, на сегодняшний день доступную – «N-Stealth Web Attack Signature Database».
4. WebsecurifyWebsecurify – это продвинутый инструмент для тестирования, разработанный специально для быстрого и точного обнаружения уязвимостей в веб-приложении.
5. Skipfish
Skipfish – это инструмент для проверки активных веб-приложений на предмет уровня безопасности. Он подготавливает интерактивную карту для указанного веб-сайта путем рекурсивного сканирования. Позже полученная в результате карта покрывается описаниями результатов нескольких проверок на предмет безопасности. Финальный отчет, сгенерированный инструментом, послужит профессионалу в качестве основы для построения безопасности собственного веб-приложения.
6. Exploit-Me
Exploit-Me – это Firefox-набор для тестирования веб-приложений на предмет безопасности, в разработке которого специально учитывались вес и простота в использовании. Серия Exploit-Me изначально была представлена на конференции SecTor в Торонто. Слайды презентации доступны для скачивания. К тому же, вы можете скачать и аудиозапись с конференции.
7. Проект OWASP WebScarab
WebScarab представляет собой платформу для анализа приложений, которые взаимодействуют при помощи HTTP и HTTPS-протоколов. Она написана на Java, и поэтому ее можно использовать на многих платформах. WebScarab имеет несколько режимов работы, подкрепленных набором плагинов. В большинстве случаев WebScarab работает в качестве перехватчика прокси, позволяя оператору рассматривать и изменять запросы, создаваемые браузером перед тем, как отправить их на сервер, а также рассматривать и изменять ответы, возвращенные сервером перед тем, как они будут получены браузером.
8. X5s
x5s – это дополнение к Fiddler, направленное на оказание помощи тестировщикам возможных межсайтовых уязвимостей. Этим инструментом не так и просто воспользоваться, так как нужно понимать принцип того, каким образом проблемы с шифрованием могут привести к XSS, и к тому же инструментом нужно полностью управлять вручную. Для того чтобы проделать хоть какую-то работу, обратитесь к руководству пользователя.