Sem categoria

Ferramentas para Testes de Segurança em Sites

Mais uma excelente postagem que obtive do blog abaixo referenciado. Muito bom! Vamos brincar um pouco? rsrsr

Web sites estão ficando mais e mais complexos a cada dia e quase não há mais sites estáticos sendo desenvolvidos. Hoje, o site mais simples tem pelo menos um formulário de contato ou newsletter e muitos são construídos com CMSs ou usam plugins ou serviços de terceiros, que nem sempre oferecem 100% de controle.

Mesmo se o site é 100% “feito à mão”, quando nós confiamos em nosso próprio trabalho e pensamos que tudo está seguro, é possível que um caractere especial não tenha sido tratado ou não tenhamos conhecimento sobre novas técnicas de ataque.

Então, é realmente difícil dizer “meu site é seguro”, sem realizar alguns testes de segurança. A parte boa é que há ferramentas robustas e grátis para testes de segurança para ajudar a identificar quaisquer possíveis falhas.

1. Netsparker Community Edition

Netsparker: ferramenta gratuita para testes de segurança em sites

Esta é a edição gratuita, Netsparker Community Edition, para Windows XP, 7, Vista e 2003/2008. O aplicativo pode detectar SQL Injection + cross-site scripting. Depois de realizar uma varredura no site, apresenta as soluções para as possíveis questões apresentadas e permite que você veja a renderização do browser e requisições/respostas HTTP.

2. Websecurify

Websecurity: ferramenta gratuita para testes de segurança em sites

Websecurify (para Windows, Linux, Mac OS X) é uma ferramenta open source muito fácil de usar que identifica automaticamente as vulnerabilidades de aplicações web. Ele pode criar relatórios simples (que pode ser exportado em vários formatos). A ferramenta tem suporte a vários idiomas e é extensível, apresentando suporte a plugins.

3. Wapiti

Wapiti: ferramenta gratuita para testes de segurança em sites

Wapiti (Windows, Linux, Mac OS X) é uma ferramenta web open source que verifica as páginas de sites e aplicativos web procurando por scripts e formulários que podem injetar dados. É feito em Python e consegue detectar, dentre outros:

  • File Handling Errors (include/require locais e remotos, fopen e readfile)
  • Database, XSS, LDAP e CRLF injections (HTTP response splitting e session fixation)
  • Command Execution Detection (eval(), system() e passtru())

4. N-Stalker

N-Stalker: ferramenta gratuita para testes de segurança em sites

A edição gratuita do N-Stalker para Windows realiza pode verificar até 100 páginas de uma só vez para realização de vários testes de segurança, incluindo cross-site scripting.

5. skipfish

skipfish: ferramenta gratuita para testes de segurança em sites

skipfish (que funciona em Windows, Linux e Mac OS X) é ferramenta para teste de segurança em sites totalmente automatizada e é muito leve e muito rápido (podendo executar 2.000 pedidos por segundo). O software aprende sozinho sobre o que está analisando, sendo capaz de geração de wordlists em tempo real e autocompletar formulários. Assim como as demais ferramentas de segurança, possui diversos tipos de testes de segurança, incluindo Blind SQL Injection.

6. Scrawlr

Scrawlr: ferramenta gratuita para testes de segurança em sites

Scrawlr (roda no Windows) é um software gratuito para escanear vulnerabilidades de SQL Injection em aplicações web. É desenvolvida pelo HP Web Security Research Group juntamente com o Microsoft Security Response Center.

7. Watcher

Watcheri: ferramenta gratuita para testes de segurança em sites

Watcher, para Windows, é um plugin para o Fiddler e funciona como uma ferramenta de análise passiva para aplicações web baseadas em HTTP. Ele é executado em segundo plano e interage com a aplicação web realizando mais de 30 testes (novos podem ser adicionados) enquanto você navega. Ele identifica questões como POSTs cross-domain, comutação perigosa entre HTTP e HTTPS, dentre outros.

8. x5s

x5s: ferramenta gratuita para testes de segurança em sites

X5s é outro plugin para o Fiddler, assim como o Watcher também é para Windows, projetado para trabalhar com falhas de segurança relativas à vulnerabilidades de XSS. Ele realiza testes de input com caracteres especiais como “<” e “>” e analisa como é o output resultante.

9. Exploit-Me

Exploit-Me: ferramenta gratuita para testes de segurança em sites

Ao invés de usar um proxy, como a maioria das ferramentas de teste de segurança, o Exploit-me é um plugin para o Firefox que realiza os testes pelo próprio browser. Na verdade ele é um “combinado” de 3 plugins de segurança:

  • XSS-Me: para testes de XSS
  • SQL Inject Me: testes de vulnerabilidades com SQL injection
  • Access-Me: testes de segurança com vulnerabilidades de acesso

10. Acunetix

Acunetix: ferramenta gratuita para testes de segurança em sites

Esta é a versão gratuita do Acunetix, programa para Windows que executa verificação através de testes de segurança para identificar vulnerabilidades de Cross Site Scripting (XSS).

Traduzido de http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/

Fonte: http://runlevelsecurity.wordpress.com/2013/12/20/ferramentas-para-testes-de-seguranca-em-sites/

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s