10 ingyenes és nyílt forráskódú eszköz biztonsági teszteléshez

Számos cég anyagi keretei nem engedik meg, hogy piacvezető biztonsági tesztelésre alkalmas programokat vásároljanak. De ez természetesen nem lehet akadálya annak, hogy ne használjunk megfelelő alkalmazásokat. Az open source programok között természesen a biztonsági teszteléshez szükséges termékeket is megtaláljuk. Nézzük, melyek ezek!

Könnyedén lehet napi szinten számos kéretlen, rosszindulatú botot találni, melyek megpróbálnak belógni az oldalunkra. Mint weboldal-üzemeltető eléggé idegesítenek az effajta próbálkozások, ám arra is rájöttem, hogy a weboldal kódjának bővítése során a kódnak kellően terjedelmesnek kell lennie, és alaposan le kell tesztelni, hogy elkerüljek minden biztonsági kockázatot. Nemrég elkezdtünk olyan ingyenes és nyílt forráskódú eszközöket keresni, amik elérhetőek a fejlesztők és a tesztelői közösségek számára, hogy ezekkel biztonsági réseket kereshessenek. Ha Ön is hasonló cipőben jár, tekintse meg az alábbiakat.

Watcher (http://websecuritytool.codeplex.com/)

A Watcher egy futásidejű passzív-analizáló eszköz HTTP-alapú webalkalmazásokhoz. Passzív eszköz révén nem fog kárt tenni a rendszerben, biztonsággal használható a felhőben megosztott hosztinggal és dedikált hosztingkörnyezetben is. 

A Watcher érzékeli a webalkalmazásoknál fellépő biztonsági hibákat és a konfigurációs hibákat is. A biztonsági tesztelők számára hot-spot érzékelést biztosít a sebezhetőségekhez, a fejlesztőknek gyors alapvető teszteket és PCI megfelelési vizsgálatot is biztosít. Olyan pontokat keres, melyek összefügghetnek a mashupokkal, a felhasználó által irányított payload-dal (potenciális XSS), sütikkel, kommentekkel, HTTP-fejlécekkel, vagy köze lehet az SSL-hez, Flash-hez, Silverlighthoz, felfedezett résekhez, közzétett információkhoz, Unicode-hoz, és még sok máshoz.

Wapiti (http://wapiti.sourceforge.net/)

A Wapiti lehetőséget ad a webes alkalmazásaink biztonsági tesztelésére.

„Fekete doboz” keresést végez, ami annyit tesz, hogy nem az alkalmazás forráskódját vizsgálja, hanem a kész weboldalt, hogy hová lehet kártékony adatokat beszúrni (szkriptek, űrlapok). Miután megvan a lista, a Wapiti megpróbál kódokat bejuttatni a szkriptekbe, hogy lássa, mennyire sebezhető. A Wapiti támogatja az adatbázis, az XSS-, az LDAP- és a CRLF-injecitont, és még sok minden mást.

WebSecurify (http://www.websecurify.com/)

A Websecurify egy olyan integrált webbiztonsági tesztelői környezet, amely képes azonosítani a webes sebezhetőségeket fejlett böngészőautomatizációt, felderítést és fuzzing-eljárást használva.

A platformot úgy tervezték, hogy alkalmas legyen automatizált és manuális sebezhetőségi tesztek végrehajtására is. Egy világklasszis webalkalmazásbiztonságot tesztelő csapat fejleszti és finomhangolja napról-napra az aktív, nyílt forráskódú közösségtől érkező visszajelzések alapján. A WebSecurify többek közt támogatja az SQL-injecitontt, az XSS-t, a kéréshamisítást.

Nikto2 (http://www.cirt.net/nikto2)

A Nikto egy nyílt forráskódú (GPL) webszervervizsgáló, amely átfogó teszteket végez a webszervereken több területet is lefedve, mint például több, mint 6400 potenciálisan veszélyes fájl/CGI keresése, elavult verziók ellenőrzése több, mint 1200 szerveren, és verzióspecifikus problémák feltárása több, mint 270 szerveren. Emellett ellenőrzi még a konfigurációs beállításokat is, például több indexfájl megléte, HTTP-szerver beállítása, és megpróbálja beazonosítani a telepített webszervereket és szoftvereket. 

A keresési kritériumokat és kiegészítőket rendszeresen frissítik, és lehetőség van automatikus frissítésre is.

Skipfish (http://code.google.com/p/skipfish/)

A Skipfish egy aktív webalkalmazás-biztonsági hitelesítő eszköz.

Egy interaktív oldaltérképet készít a kiválasztott oldalról rekurzív és szótáralapú bejárással. Ezt követően az elkészült oldaltérképet ellátja számos aktív (de lehetőleg nem zavaró) biztonsági megjegyzéssel. A vizsgálat végén kiadott jelentés a webes alkalmazásbiztonsági szempontból való megfelelését hivatott alátámasztani. A Skipfish funkcióinak széles repertoárja mellett számtalan sebezhetőséget képes felismerni, hogy csak néhányat említsek: SQL, PHP, XML/Xpath-injection, String/Integer-sebezhetőségek, szkript/CSS-sebezhetőségek, jelszó/MIME-alapú sebezhetőségek, SSL/HTTP/HTML űrlapokra vonatkozó sebezhetőségek.

Ettercap (http://ettercap.sourceforge.net/)

Az Ettercap egy alkalmazáscsomag LAN-os “man in the middle”-támadásokhoz.

Támogatja az aktív kapcsolatok lehallgatását, a valós idejű tartalomszűrést és még számos érdekes trükköt. Támogatja számos protokoll (még a titkosítottakét is) aktív és passzív szétbontását, és számos lehetőséget biztosít a hálózat és a hostok elemzésére. Könnyen telepíthető Linux-ra, Mac-re, Windows-ra, Solaris-ra is.

Flawfinder (http://www.dwheeler.com/flawfinder/)

A Flawfinder átnézi a C/C++ forráskódot potenciális biztonsági réseket keresve.

A programot Python-ban írták, és támadások (potenciális biztonsági rések) egy listáját adja ki veszélyesség szerint rendezve, kezdve a legveszélyesebbekkel. A veszélyességi szinteket szögletes zárójelekben jelöli, amik 0-tól (kis veszély) 5-ig (nagy veszély) terjednek. Ezek a veszélyességi szintek nemcsak a függvénytől függenek, hanem a függvény paramétereinek az értékeitől is. Például sok kontextusban a konstans stringek gyakran kevésbé veszélyesek, mint a teljesen változóak, így azokban a kontextusokban kisebb lesz a veszélyességi szint.

Honeyd (http://www.honeyd.org/)

A Honeyd egy kicsi, háttérben futó alkalmazás, amellyel virtuális hostokat lehet létrehozni a hálózaton.

A hostok beállíthatóak úgy, hogy tetszőleges folyamatokat futtassanak, a személyiségük pedig alakítható, így úgy tűnhet, hogy bizonyos operációs rendszereket futtatnak. A Honeyd lehetővé teszi egyetlen host számára, hogy több címmel rendelkezzen. Javítja a kiberbiztonságot úgy, hogy eljárásokat biztosít a veszélyek felderítésére és értékelésére. Mivel lehetséges valódi rendszereket rejteni a virtuális rendszerek közepébe, ez elriaszthatja a támadókat is.

Wireshark (http://www.wireshark.org/)

A Wireshark-ot – korábban Ethereal – hálózati szakértők használják világszerte hibakeresésre, analizálásra, szoftver- és protokollfejlesztésre és oktatásra.

Rendelkezik minden olyan alapvető funkcióval, ami elvárható egy protokollelemző esetén, és további számos funkcióval, ami más termékeknél nem elérhető. A Wireshark több platformot is támogat, futtatható Windows-on, Linux-on, OSX-en, Solaris-on, FreeBSD-n, NetBSD-n, stb. A begyűjtött hálózati adatok megtekinthetőek GUI-n keresztül, vagy a TShark utility-vel.

BFBTester (http://bfbtester.sourceforge.net/)

A BFBTester kiváló gyors, proaktív biztonsági ellenőrzések futtatására bináris programok esetén.

A BFBTester egy- és többparaméteres parancssor-túlcsordulási és környezetiváltozó-túlcsordulási vizsgálatokat tud végezni. Alkalmas lehet még az ideiglenes fájlok létrehozásának figyelésére is, és figyelmeztetheti a felhasználót, ha bármelyik program nem biztonságos ideiglenes fájlnevet használ.

Szerző: ToolsJournal