InfoHack Голосов: 0 Адрес блога: http://infohack.ru/ Добавлен: 2016-11-19 21:16:46

IronWASP 2015beta

2016-11-18 18:18:04 (читать в оригинале)

IronWASP — это бесплатная программа с открытым исходным кодом для сканирования безопасности веб-приложений. Её автором является Lavakumar Kuppan. Сам автор не скромничает и называет свой автоматический инструмент по поиску проблем с безопасностью на веб-сайтах одним из лучших в Мире сканеров безопасности веб-сайтов и веб-приложений.

Самой большой его особенностью является то, что написан специально под Windows. Он абсолютно бесплатен, у него открыт исходный код, программа открыта для добавления новых плагинов и модулей.

Встроенные модули:

• WiHawk — сканерт уязвимостей WiFi роутеров
• XmlChor — инструмент автоматической эксплуатации XPATH инъекции
• IronSAP — сканер безопасности SAP
• SSL Security Checker — сканер для обнаружения уязвимостей SSL установок
• OWASP Skanda — Автоматический инструмент эксплуатации SSRF
• CSRF PoC Generator — Инструмент для автоматической генерации эксплойтов для уязвимостей CSRF
• HAWAS — Инструмент для автоматического выявления и декодирования закодированных строк и хешей на веб-сайтах

Встроенные инструменты:

• Основанный на браузере паук
• Анализатор DOM XSS
• Кодирование/Декодирование
• Поиск различий в двух текстах
• Визуализация HTML
• Сканер потока
• Извлекатель сообщений веб-сокета
• Клиент веб-сокета

Инструменты по записи последовательностей:

• Запись входа, токена последовательности CSRF (межсайтовой подделки зарпоса)

Интерактивные инструменты тестирования:

• Тест на защиту от CSRF
• Тест сломанной аутентификации
• Тест на скрытые параметры
• Тест на повышение привилегий

Инструменты разработчика

Они позволят вам создать собственные помощники, скрипты, плагины на нескольких доступных языках программирования. В том числе и с графическим интерфейсом.

IronWASP, пожалуй, самый простой инструмент для тестирования безопасности веб-приложений. При этом очень мощный и эффективный.

Тем не менее, представляется, что без понимания сути найденных потенциальных уязвимостей, тот, кто запустил этот инструмент, не смогут:

а) проверить, не является ли найденная уязвимость ложной тревогой

б) самостоятельно ликвидировать брешь в безопасности

в) эксплуатировать найденные уязвимости.


ВТ