Web Uygulamasını Test Etmek İçin En İyi 4 Açık Kaynak Güvenlik Test Aracı

top 4 open source security testing tools test web application

En Popüler Açık Kaynak Güvenlik Test Araçları:

Bu dijital dünyada Güvenlik testlerine duyulan ihtiyaç her geçen gün artmaktadır.

Kullanıcılar tarafından gerçekleştirilen çevrimiçi işlemlerin ve etkinliklerin sayısındaki hızlı artış nedeniyle, Güvenlik testi zorunlu hale geldi. Ve piyasada bulunan birkaç güvenlik testi aracı var ve her gün birkaç yeni araç ortaya çıkmaya devam ediyor.

Bu eğitici, size kolay anlamanız için piyasada bulunan en iyi açık kaynak araçlarıyla birlikte günümüzün mekanize dünyasında Güvenlik testi yapmanın anlamını, ihtiyacını ve amacını açıklayacaktır.

Ne öğreneceksin:

• Güvenlik Testi nedir?
• Güvenlik Testinin Amacı
• Güvenlik Testi İhtiyacı
• Güvenlik Testi için En İyi Açık Kaynak Araçları
  • # 1) Acunetix
  • # 2) Ağ parkeri
  • # 3) ZED Saldırı Proxy'si (ZAP)
  • # 4) Burp süiti
  • # 5) SonarQube
  • # 6) Klocwork
• Sonuç
• Önerilen Kaynaklar

Güvenlik Testi nedir?

Bir bilgi sistemindeki verilerin korunduğundan ve yetkisiz kullanıcılar tarafından erişilemediğinden emin olmak için güvenlik testi yapılır. Uygulamaları ciddi kötü amaçlı yazılımlara ve çökmesine neden olabilecek diğer beklenmedik tehditlere karşı korur.

Güvenlik testi, sistemin tüm boşluklarını ve zayıflıklarını ilk aşamada bulmaya yardımcı olur. Uygulamanın şifreli güvenlik kodu olup olmadığını ve yetkisiz kullanıcılar tarafından erişilemediğini test etmek için yapılır.

Güvenlik testi temel olarak aşağıdaki kritik alanları kapsar:

• Doğrulama
• yetki
• Kullanılabilirlik
• Gizlilik
• Bütünlük
• Reddetmeme

Güvenlik Testinin Amacı

Aşağıda, Güvenlik Testi gerçekleştirmenin başlıca amaçları verilmiştir:

• Güvenlik testinin birincil amacı, güvenlik sızıntısını tespit etmek ve bunu ilk aşamada düzeltmektir.
• Güvenlik testi, mevcut sistemin kararlılığını derecelendirmeye yardımcı olur ve ayrıca piyasada daha uzun süre durmaya yardımcı olur.

Aşağıdaki güvenlik hususlarının her aşamasında gerçekleştirilmesi gerekir. yazılım geliştirme yaşam döngüsü:

Güvenlik Testi İhtiyacı

Güvenlik testi şunlardan kaçınmaya yardımcı olur:

• Müşterinin güveninin kaybı.
• Önemli bilgilerin kaybı.
• Yetkisiz bir kullanıcı tarafından bilgi hırsızlığı.
• Tutarsız web sitesi performansı.
• Beklenmedik arıza.
• Bir saldırıdan sonra web sitelerini onarmak için gereken ek maliyetler.

Güvenlik Testi için En İyi Açık Kaynak Araçları

# 1) Acunetix

Acunetix çevrimiçi, denemeye değer birinci sınıf bir güvenlik test aracıdır. Acunetix'in deneme sürümünü buradan edinebilirsiniz.

Acunetix Online, 50.000'den fazla bilinen ağ güvenlik açıklarını ve yanlış yapılandırmaları algılayan ve raporlayan tam otomatik bir ağ güvenlik açığı tarayıcısı içerir.

Açık bağlantı noktalarını ve çalışan hizmetleri keşfeder; yönlendiricilerin, güvenlik duvarlarının, anahtarların ve yük dengeleyicilerin güvenliğini değerlendirir; zayıf parolalar, DNS bölge aktarımı, kötü yapılandırılmış Proxy Sunucuları, zayıf SNMP topluluk dizeleri ve TLS / SSL şifreleri için testler.

Acunetix web uygulaması denetiminin yanı sıra kapsamlı bir çevre ağ güvenliği denetimi sağlamak için Acunetix Online ile entegre olur.

# 2) Ağ parkeri

Netsparker açık kaynaklı CMS kullanılarak geliştirilenler de dahil olmak üzere web uygulamalarında ve web API'lerinde SQL Enjeksiyonu ve Siteler Arası Komut Dosyası gibi güvenlik açıklarını belirleyen tam hassas otomatik bir tarayıcıdır.

Netsparker, tanımlanmış güvenlik açıklarını gerçek olduklarını ve yanlış pozitif olmadıklarını kanıtlayarak benzersiz bir şekilde doğrular, böylece bir tarama bittiğinde tanımlanan güvenlik açıklarını manuel olarak doğrulamak için saatler harcamanıza gerek kalmaz. Windows yazılımı ve çevrimiçi hizmet olarak mevcuttur.

# 3) ZED Saldırı Proxy'si (ZAP)

Güvenlik uzmanlarının web uygulamalarında bulunan güvenlik açıklarını bulmalarına yardımcı olmak için özel olarak tasarlanmış açık kaynaklı bir araçtır. Windows, Unix / Linux ve Macintosh platformlarında çalışacak şekilde geliştirilmiştir. Bir web sayfasının tarayıcısı / filtresi olarak kullanılabilir.

Ana Özellikler:

• Önleme Proxy'si
• Pasif Tarama
• Otomatik Tarayıcı
• REST tabanlı API

Açık Web Uygulama Güvenliği Projesi (OWASP)

Uygulama, uygulama güvenliği hakkında bilgi sağlamaya adanmıştır.

Web uygulamalarında yaygın olarak bulunan OWASP ilk 10 web uygulaması güvenlik riski; Funct Access Control, SQL Injection, Broken Auth / Session, Direct Object Ref, Security Misconfig, Cross-Site Request Forgery, Savunmasız Bileşenler, Cross-Site Scripting, Doğrulanmamış Yönlendirmeler ve Veri İfşası.

Bu ilk on risk, verilerin çalınmasına izin verebileceği veya web sunucularınızı tamamen ele geçirebileceği için uygulamayı zararlı hale getirecektir.

OWASP'yi GUI ve komut istemini kullanarak çalıştırabiliriz:

• OWASP'yi CLI - zap-cli –zap-yolu “+ EVConfig.ZAP_PATH +” hızlı tarama - kendi kendine yeten –spider -r -s xss http: // ”+ EVConfig.EV_1_IP +” -l Bilgilendirici aracılığıyla tetikleme komutu.
• OWASP'yi GUI'den çalıştırma adımları:
  • Tarayıcıda yerel proxy'yi ayarlayın ve sayfaları kaydedin.
  • Kayıt tamamlandığında, OWASP aracındaki bağlantıya sağ tıklayın ve ardından 'aktif tarama' seçeneğine tıklayın.
  • Taramanın tamamlanmasının ardından raporu .html formatında indirin.

OWASP'yi yürütmek için diğer seçenekler:

1. Tarayıcıda yerel proxy'yi ayarlayın.
2. URL'yi 'Saldırılacak URL' metin kutusuna girin ve ardından 'Saldır' düğmesine tıklayın.
3. Ekranın sol tarafında, taranan site haritası içeriğini görüntüleyin.
4. Alt kısımda isteği, yanıtı ve hata önem derecesini göreceksiniz.

GUI Ekran Görüntüsü:

İndir ZED Saldırı Proxy'si (ZAP)

# 4) Burp süiti

Web uygulamalarının güvenlik testlerini yapmak için kullanılan bir araçtır. Hem profesyonel hem de topluluk sürümlerine sahiptir. 100'den fazla önceden tanımlanmış güvenlik açığı koşuluyla, uygulamanın güvenliğini sağlar, Burp paketi güvenlik açıklarını bulmak için bu önceden tanımlanmış koşulları uygular.

Kapsam:

SQL enjeksiyonu, siteler arası komut dosyası çalıştırma (XSS), Xpath enjeksiyonu gibi 100'den fazla genel güvenlik açığı. bir uygulamada performans gösteriyor. Tarama, hızlı veya normalden farklı bir hız seviyesinde gerçekleştirilebilir. Bu aracı kullanarak uygulamanın tamamını veya bir sitenin belirli bir şubesini veya tek bir URL'yi tarayabiliriz.

Açık Güvenlik Açığı Sunumu:

Burp süiti, sonucu ağaç görünümünde sunar. Bir dal veya düğüm seçerek tek tek öğelerin ayrıntılarına inebiliriz. Herhangi bir güvenlik açığı bulunursa, taranan sonuç kırmızı bir gösterge ile gelir.

Güvenlik açıkları, kolay karar verme için güven ve ciddiyetle işaretlenir. Bildirilen tüm güvenlik açıkları için, sorunun tam açıklaması, güven türü, sorunun ciddiyeti ve dosyanın yolu ile ayrıntılı özel öneriler mevcuttur. Keşfedilen güvenlik açıklarına sahip HTML raporları indirilebilir.

İndir bağlantı

# 5) SonarQube

Kaynak kodun kalitesini ölçmek için kullanılan açık kaynaklı bir araçtır.

Java ile yazılmış olmasına rağmen, yirmiden fazla farklı programlama dilini analiz edebilir. Jenkins sunucusu vb. Gibi sürekli entegrasyon araçlarıyla kolayca entegre edilebilir. Sonuçlar SonarQube sunucusuna 'yeşil' ve 'kırmızı ışıklar' ile doldurulacaktır.

Güzel grafikler ve proje düzeyinde sorun listeleri görüntülenebilir. Bunu GUI'den ve komut isteminden çağırabiliriz.

Talimatlar:

• Kod taramasını gerçekleştirmek için SonarQube Runner'ı çevrimiçi olarak indirin ve sıkıştırmasını açın.
• İndirilen bu dosyayı projenizin kök dizininde tutun.
• Yapılandırmayı .property dosyasında ayarlayın.
• Terminal / konsolda 'sonar-runner' / 'sonar-runnter.bat' komut dosyasını çalıştırın.

Başarılı bir yürütmeden sonra SonarQube, sonucu doğrudan HTTP: Ip: 9000 web sunucusuna yükler, bu URL'yi kullanarak birçok sınıflandırmayla detaylı bir sonuç görebiliriz.

Project wise Ana Sayfa:

Bu araç, hataları Hatalar, güvenlik açığı, kod kokuları ve kod çoğaltma gibi çeşitli koşullara göre sınıflandırır.

Konu listesi:

Proje panosundaki hata sayısına tıklarsak sorun listesi sayfasına yönlendiriliriz. Hatalar, ciddiyet, durum, atanan kişi, bildirilen süre ve sorunu gidermek için harcanan zaman gibi faktörlerle birlikte mevcut olacaktır.

Zor Sorunları Algıla:

Sorun kodu kırmızı bir çizgi ile işaretlenecek ve yakında sorunu çözmek için öneriler bulabileceğimiz bir yer olacak. Bu öneriler, sorunun hızlı bir şekilde çözülmesine gerçekten yardımcı olacaktır.

(Not:Büyütülmüş bir görünüm için aşağıdaki resme tıklayın)

Jenkins ile entegrasyon:

Jenkins'in sonar tarayıcı yapmak için ayrı bir eklentisi vardır, bu, test tamamlandığında sonucu sonarqube sunucusuna yükleyecektir.

İndir bağlantı

# 6) Klocwork

Bu bir kod analizi C, C ++, Java ve C # gibi programlama dillerinin güvenlik, emniyet ve güvenilirlik sorunlarını belirlemek için kullanılan araç. Bunu Jenkins gibi sürekli entegrasyon araçlarıyla kolayca entegre edebilir ve ayrıca yeni sorunlarla karşılaştığınızda Jira'da hatalar oluşturabiliriz.

Proje bilge Taranan Sonuç:

Araç kullanılarak sonucun çıktısı alınabilir. Ana sayfada, taranan tüm projeleri 'yeni' ve 'mevcut' sayılarıyla birlikte görüntüleyebiliriz. Sorunun aralığı ve oranı 'Bildir' simgesi tıklanarak görüntülenebilir.

(Not:Büyütülmüş bir görünüm için aşağıdaki resme tıklayın)

Ayrıntılı Sorun:

Sonucu, 'arama' metin kutusuna çeşitli arama koşulları girerek filtreleyebiliriz. Sorunlar önem derecesi, durum, durum ve taksonomi alanları ile sunulur. Sorunun üzerine tıklayarak, bir sorunun satırını bulabiliriz.

(Not:Büyütülmüş bir görünüm için aşağıdaki resme tıklayın)

Sorun Kodunu İşaretleyin:

Hızlı tanımlama için Klocwork, ortaya çıkan 'kod satırı' sorununu vurgular, sorunun nedenini belirtir ve aynı sorunun üstesinden gelmek için birkaç önlem önerir.

Jira'ya Aktar:

Klocwork sunucusundan 'Jira'ya Aktar' düğmesine tıklayarak doğrudan bir Jira oluşturabiliriz.

Jenkins ile entegrasyon:

Jenkins'in klocwork ile entegre etmek için bir eklentisi var, Öncelikle Jenkins yapılandırma sayfasında klocwork ayrıntılarını yapılandırmamız gerekiyor ve bundan sonra Jenkins yürütme tamamlandıktan sonra raporu klocwork sunucusuna yüklemekle ilgilenecek.

varsayılan bir ağ geçidim yok

Klocwork için Jenkins Yapılandırması:

İndir bağlantı .

Sonuç

Umarım en iyi açık kaynak güvenlik araçlarıyla birlikte Güvenlik Testinin anlamı hakkında net bir fikriniz olur.

Bu nedenle, güvenlik testine başlıyorsanız, uygulamalarınızı kusursuz hale getirmek için bu kritik açık kaynaklı araçları kaçırmadığınızdan emin olun.

Önerilen Kaynaklar

• Ağ Güvenliği Testi ve En İyi Ağ Güvenliği Araçları
• Web Uygulaması Güvenliği Test Kılavuzu
• 2021'de 10 En İyi Mobil Uygulama Güvenlik Test Aracı
• Profesyoneller Tarafından 2021'de Kullanılan 19 Güçlü Sızma Testi Aracı
• Acunetix Web Güvenlik Açığı Tarayıcısı (WVS) Güvenlik Test Aracı (Uygulamalı İnceleme)
• AppTrana Kullanarak Web Uygulaması Güvenlik Testi Nasıl Gerçekleştirilir
• Mobil Uygulama Güvenliği Test Yönergeleri
• Güvenlik Testi (Tam Kılavuz)
• En İyi 30 Güvenlik Testi Görüşme Soruları ve Cevapları
• Web Uygulamasını Test Etmek İçin En İyi 4 Açık Kaynak Güvenlik Test Aracı