Свободная система для проверки сайта на уязвимости, которая разработана так, чтобы пользователи могли создавать собственные настраиваемые сканеры безопасности. Хотя для использования системы в полной мере требуется опытный пользователь с опытом написания скриптов на Python / Ruby, многие функции инструмента достаточно просты, и их могут использовать даже начинающие веб-мастера.
IronWASP имеет систему плагинов, которая поддерживает Python и Ruby. Используемые в IronWASP версии Python и Ruby - это IronPython и IronRuby, которые синтаксически похожи на CPython и CRuby. Однако некоторые стандартные библиотеки могут быть недоступны, вместо этого авторы плагинов могут использовать API IronWASP.
Характеристики инструмента проверки веб-сайта на уязвимости
Вот несколько причин, почему IronWASP хорош:
- свободный, бесплатный и имеет открытый исходный код;
- имеет графический интерфейс пользователя и, при всей сложности направления, достаточно прост в использовании, не требует опыта в области безопасности и проверки сайтов на наличие уязвимостей;
- мощный и эффективный механизм сканирования;
- поддерживает запись последовательности входа в систему;
- можно сгенерировать отчет и сохранить в HTML или RTF;
- проверяет более 25 различных известных веб-уязвимостей;
- поддерживает обнаружение ложных срабатываний;
- может быть расширен благодаря плагинам ив Python, Ruby, C# и VB.NET;
- в комплекте имеются модули, созданные исследователями из сообщества безопасности.
Модули:
- WiHawk - сканер уязвимостей WiFi-роутера от Anamika Singh;
- CSRF PoC Generator - утилита эксплойтов уязвимостей CSRF от Jayesh Singh Chauhan;
- XmlChor - автоматическая утилита для инъекций XPATH от Harshal Jamdade;
- SSL Security Checker - инструмент для обнаружения уязвимостей в настройках SSL Manish Saindane;
- IronSAP - инструмент для сканирования безопасности SAP от Prasanna K;
- OWASP Skanda - утилита для SSRF от Jayesh Singh Chauhan;
- HAWAS - инструмент для автоматического обнаружения и декодирования закодированных строк и хэшей на веб-сайтах от Lavakumar Kuppan.
IronWASP тестирует на ряд уязвимостей, таких как:
- XSS (межсайтовый скриптинг);
- XFS;
- CSRF (подделка межсайтовых запросов);
- ClickJacking;
- подделка запроса на стороне сервера;
- PHP-инъекция;
- небезопасная прямая ссылка на объект;
- неограниченная загрузка файлов;
- открытый редирект URL;
- ошибки системы аутентификации и хранения сессий;
- неправильная настройка безопасности;
- незащищенность критичных данных;
- переполнение буфера;
- инъекция HTTP-заголовка;
- отсутствие контроля доступа на уровне функций;
- загрязнение параметров HTTP;
- полное раскрытие пути;
- раскрытие исходного кода;
- атака полным перебором (Bruteforce Login);
- подмена контента;
- DoS (отказ в обслуживании);
- утечка информации;
- фингерпринтинг;
- XML-инъекция;
- SSL-инъекция;
- XPath / XQuery инъекция;
- SQL-инъекция;
- инъекция LDAP;
- инъекция команд;
- внедрение кода;
- подделка HTTP заголовков;
- незавершение сессии;
- ORM инъекция;
- IMAP / SMTP инъекция;
- инъекция Expression Language.
Характеристики
Ссылки на официальный сайт и загрузку- Язык: Английский
- ОС: Windows 10, Windows 7
- Лицензия: GNU GPL v3
- Разработчик: Lavakumar Kuppan
- Категория: Интернет - прочее
- Видеообзор: Отсутствует
- VirusTotal: отчет
- Подтверждение лицензии: Отсутствует
- Создано: 06.04.2021
- Обновлено: 22.05.2021
Форма для добавления комментария отключена навсегда из-за большого количества спама.