6 апреля 2021 г. 22:37 Английский GNU GPL v3

Свободная система для проверки сайта на уязвимости, которая разработана так, чтобы пользователи могли создавать собственные настраиваемые сканеры безопасности. Хотя для использования системы в полной мере требуется опытный пользователь с опытом написания скриптов на Python / Ruby, многие функции инструмента достаточно просты, и их могут использовать даже начинающие веб-мастера.

IronWASP имеет систему плагинов, которая поддерживает Python и Ruby. Используемые в IronWASP версии Python и Ruby - это IronPython и IronRuby, которые синтаксически похожи на CPython и CRuby. Однако некоторые стандартные библиотеки могут быть недоступны, вместо этого авторы плагинов могут использовать API IronWASP.

Характеристики инструмента проверки веб-сайта на уязвимости

Вот несколько причин, почему IronWASP хорош:

  • свободный, бесплатный и имеет открытый исходный код;
  • имеет графический интерфейс пользователя и, при всей сложности направления, достаточно прост в использовании, не требует опыта в области безопасности и проверки сайтов на наличие уязвимостей;
  • мощный и эффективный механизм сканирования;
  • поддерживает запись последовательности входа в систему;
  • можно сгенерировать отчет и сохранить в HTML или RTF;
  • проверяет более 25 различных известных веб-уязвимостей;
  • поддерживает обнаружение ложных срабатываний;
  • может быть расширен благодаря плагинам ив Python, Ruby, C# и VB.NET;
  • в комплекте имеются модули, созданные исследователями из сообщества безопасности.

Модули:

  • WiHawk - сканер уязвимостей WiFi-роутера от Anamika Singh;
  • CSRF PoC Generator - утилита эксплойтов уязвимостей CSRF от Jayesh Singh Chauhan;
  • XmlChor - автоматическая утилита для инъекций XPATH от Harshal Jamdade;
  • SSL Security Checker - инструмент для обнаружения уязвимостей в настройках SSL Manish Saindane;
  • IronSAP - инструмент для сканирования безопасности SAP от Prasanna K;
  • OWASP Skanda - утилита для SSRF от Jayesh Singh Chauhan;
  • HAWAS - инструмент для автоматического обнаружения и декодирования закодированных строк и хэшей на веб-сайтах от Lavakumar Kuppan.

IronWASP тестирует на ряд уязвимостей, таких как:

  • XSS (межсайтовый скриптинг);
  • XFS;
  • CSRF (подделка межсайтовых запросов);
  • ClickJacking;
  • подделка запроса на стороне сервера;
  • PHP-инъекция;
  • небезопасная прямая ссылка на объект;
  • неограниченная загрузка файлов;
  • открытый редирект URL;
  • ошибки системы аутентификации и хранения сессий;
  • неправильная настройка безопасности;
  • незащищенность критичных данных;
  • переполнение буфера;
  • инъекция HTTP-заголовка;
  • отсутствие контроля доступа на уровне функций;
  • загрязнение параметров HTTP;
  • полное раскрытие пути;
  • раскрытие исходного кода;
  • атака полным перебором (Bruteforce Login);
  • подмена контента;
  • DoS (отказ в обслуживании);
  • утечка информации;
  • фингерпринтинг;
  • XML-инъекция;
  • SSL-инъекция;
  • XPath / XQuery инъекция;
  • SQL-инъекция;
  • инъекция LDAP;
  • инъекция команд;
  • внедрение кода;
  • подделка HTTP заголовков;
  • незавершение сессии;
  • ORM инъекция;
  • IMAP / SMTP инъекция;
  • инъекция Expression Language.

Характеристики

Ссылки на официальный сайт и загрузку
  • Язык: Английский
  • ОС: Windows 10, Windows 7
  • Лицензия: GNU GPL v3
  • Разработчик: Lavakumar Kuppan
  • Категория: Интернет - прочее
  • Видеообзор: Отсутствует
  • VirusTotal: отчет
  • Создано: 06.04.2021
  • Обновлено: 22.05.2021