Свободно распространяемые программы для Windows

Rss рассылка

Хотите подписаться на обновления?

Введите email адрес:

rss-лента

Форма входа

Поддержите нас

Обратите, пожалуйста, ваше внимание на нашу книгу на ЛитРес:

Книга "Легальность программного обеспечения в организациях" на ЛитРес

Система проверки веб-сайта на уязвимости

Свободная система для проверки сайта на уязвимости, которая разработана так, чтобы пользователи могли создавать собственные настраиваемые сканеры безопасности. Хотя для использования системы в полной мере требуется опытный пользователь с опытом написания скриптов на Python / Ruby, многие функции инструмента достаточно просты, и их могут использовать даже начинающие веб-мастера.

IronWASP имеет систему плагинов, которая поддерживает Python и Ruby. Используемые в IronWASP версии Python и Ruby - это IronPython и IronRuby, которые синтаксически похожи на CPython и CRuby. Однако некоторые стандартные библиотеки могут быть недоступны, вместо этого авторы плагинов могут использовать API IronWASP.

Характеристики инструмента проверки веб-сайта на уязвимости

Вот несколько причин, почему IronWASP хорош:

  • свободный, бесплатный и имеет открытый исходный код;
  • имеет графический интерфейс пользователя и, при всей сложности направления, достаточно прост в использовании, не требует опыта в области безопасности и проверки сайтов на наличие уязвимостей;
  • мощный и эффективный механизм сканирования;
  • поддерживает запись последовательности входа в систему;
  • можно сгенерировать отчет и сохранить в HTML или RTF;
  • проверяет более 25 различных известных веб-уязвимостей;
  • поддерживает обнаружение ложных срабатываний;
  • может быть расширен благодаря плагинам ив Python, Ruby, C# и VB.NET;
  • в комплекте имеются модули, созданные исследователями из сообщества безопасности.

Модули:

  • WiHawk - сканер уязвимостей WiFi-роутера от Anamika Singh;
  • CSRF PoC Generator - утилита эксплойтов уязвимостей CSRF от Jayesh Singh Chauhan;
  • XmlChor - автоматическая утилита для инъекций XPATH от Harshal Jamdade;
  • SSL Security Checker - инструмент для обнаружения уязвимостей в настройках SSL Manish Saindane;
  • IronSAP - инструмент для сканирования безопасности SAP от Prasanna K;
  • OWASP Skanda - утилита для SSRF от Jayesh Singh Chauhan;
  • HAWAS - инструмент для автоматического обнаружения и декодирования закодированных строк и хэшей на веб-сайтах от Lavakumar Kuppan.

IronWASP тестирует на ряд уязвимостей, таких как:

  • XSS (межсайтовый скриптинг);
  • XFS;
  • CSRF (подделка межсайтовых запросов);
  • ClickJacking;
  • подделка запроса на стороне сервера;
  • PHP-инъекция;
  • небезопасная прямая ссылка на объект;
  • неограниченная загрузка файлов;
  • открытый редирект URL;
  • ошибки системы аутентификации и хранения сессий;
  • неправильная настройка безопасности;
  • незащищенность критичных данных;
  • переполнение буфера;
  • инъекция HTTP-заголовка;
  • отсутствие контроля доступа на уровне функций;
  • загрязнение параметров HTTP;
  • полное раскрытие пути;
  • раскрытие исходного кода;
  • атака полным перебором (Bruteforce Login);
  • подмена контента;
  • DoS (отказ в обслуживании);
  • утечка информации;
  • фингерпринтинг;
  • XML-инъекция;
  • SSL-инъекция;
  • XPath / XQuery инъекция;
  • SQL-инъекция;
  • инъекция LDAP;
  • инъекция команд;
  • внедрение кода;
  • подделка HTTP заголовков;
  • незавершение сессии;
  • ORM инъекция;
  • IMAP / SMTP инъекция;
  • инъекция Expression Language.

Язык: Английский
Лицензия:
GNU GPL v3

Протестировано на ОС: Windows 7 x64, Windows 10 x64

Официальный сайт: www.ironwasp.org (веб-архив)

Скачать

Внимание, резервная копия обновляется очень редко, так как нужна на случай удаления дистрибутива с официального сайта.

Резервная копия на Google Диске, версия 0.9.8.6

Похожие материалы:

Добавить комментарий