Bloggen

30+ gratis tools om de veiligheid van uw website en uw bezoekers te verbeteren

Gratis websitebeveiligingstools



Cyberaanvallen zijn aan de orde van de dag en de daarmee gepaard gaande kosten voor organisaties escaleren. U kunt cyberrampen echter beperken met gratis websitebeveiligingstools die u helpen kwetsbaarheden op websites te identificeren en uw bezoekers veilig te houden, of beter gezegd... veiliger.

Je zou denken dat grote ondernemingen de middelen en mogelijkheden hebben om hun applicaties te monitoren op kwetsbaarheden in websites. Maar blijkbaar niet. Een paar voorbeelden:



  • Het ego-leeglopende 2013 Yahoo De inbreuk vond plaats als gevolg van een aanval met het vervalsen van cookies, waardoor hackers zich zonder wachtwoord konden identificeren als elke andere gebruiker. Analisten beweren dat Yahoo de schade had kunnen voorkomen als het sneller actie had ondernomen tegen de indringers.
  • De kop grijpen Panamapapieren De aanval was het resultaat van ten minste twee mislukkingen om de software up-to-date te houden:
    • Een verouderde versie voor hun plug-in voor afbeeldingsschuifregelaars op WordPress
    • Een drie jaar oude versie van Drupal die verschillende bekende kwetsbaarheden bevatte
  • Er was een 17-jarige programmeur voor nodig om een ​​Cross-Site Request Forgery aan te wijzen Flickr . Nadat Flikr op de hoogte was gesteld, kostte het slechts 12 uur om de fout te verhelpen.

Zie ook: De grootste datalekken uit de geschiedenis

Hoewel geen enkel beveiligingssysteem (zelfs de beveiliging van uw huis) onfeilbaar is, kunnen regelmatige websitescans een grote bijdrage leveren aan de bescherming tegen opportunistische aanvallen op uw virtuele activa. Nemen Amerikaanse Fuzzy Lop (AFL) , een open source donder ontwikkeld door Michał Zalewski van Google. Het heeft geholpen bij het vinden van kwetsbaarheden in verschillende populaire webapplicaties, waaronder Firefox, Flash, LibreOffice, Internet Explorer en Apple Safari.



Inhoud [ verbergen ]

Tips voor het gebruik van gratis websitebeveiligingstools

Veel van de hier besproken gratis websitebeveiligingstools hebben vergelijkbare kenmerken en functionaliteit. Vaak is het een kwestie van appels met peren vergelijken. Niet beledigend voor topbeveiligingsleverancier Sucuri, maar zelfs zij hebben moeite om hun product van anderen te onderscheiden:

'Een paar andere beveiligingsplug-ins bieden functies voor het monitoren van activiteiten, maar weinigen doen dit goed. We hebben de belangrijkste functies beperkt waarvan we vonden dat ze het meest relevant waren voor elke website-eigenaar.'

Om deze reden hebben we deze tools gecategoriseerd en de belangrijkste voor- en nadelen van elk ervan genoteerd. Sommige categorieën overlappen elkaar; met name de tools voor het scannen op kwetsbaarheden en penetratietesten.

U zult merken dat de lijst met gratis tools enkele bevat die specifiek worden gebruikt om webapplicaties te scannen. Wat is het verschil tussen een website en een applicatie? Ben Shapiro van Sege-technologieën geeft het uitgebreide lange antwoord. Als je het korte antwoord wilt, stapeloverloop stelt het kort en bondig:

“[Een website] is een verzameling documenten die via internet toegankelijk zijn via een webbrowser. Websites kunnen ook webapplicaties bevatten waarmee bezoekers online taken kunnen uitvoeren, zoals: zoeken, bekijken, kopen, afrekenen en betalen.”

Het belangrijkste is dat u een holistische benadering moet hanteren bij het testen van uw website. Bij twijfel gewoon alles testen. Gratis websitebeveiligingstools maken het gemakkelijk en kosten u alleen maar tijd.

  • Ontwikkel een teststrategie: De meeste beveiligingstools voor websites werken het beste met andere soorten beveiligingstools. Een goed voorbeeld is het gebied van penetratietesten. Beheerders maken normaal gesproken gebruik van kwetsbaarheidsscanners voordat ze een penetratietesttool gebruiken voor specifieke doelen, b.v. netwerkpoorten of applicaties. Wireshark is bijvoorbeeld zowel een netwerkanalysator als een tool voor penetratietesten.

    Een universele kwetsbaarheidsscanner is waarschijnlijk de beste plek om te beginnen. Maar als u vooral geïnteresseerd bent in het scannen van de code van uw ontwikkelaars, ga dan naar het gedeelte over statische broncode-analysers hieronder. Wilt u controleren hoe veilig uw wachtwoorden zijn? We hebben ook een aantal gratis tools voor het kraken van wachtwoorden voor u gevonden.
  • Eén maat past niet allemaal: Alle gratis websitebeveiligingstools hebben voor- en nadelen en er bestaat zelden een pasklare oplossing. Als analysetool doet de hoogwaardige netwerkscantool Wireshark bijvoorbeeld hetzelfde werk als de Fiddler-tool, en effectiever. Wireshark kan echter geen verkeer opsnuiven binnen dezelfde machine (localhost) op Windows. Als u lokaal verkeer op Windows wilt opsnuiven, moet u Fiddler gebruiken.
  • Resultaten analyseren: Vertrouw de resultaten van één scan niet! We hebben een aantal scanners getest op zowel veilige als onveilige locaties en de resultaten waren duidelijk verschillend. Dat brengt ons bij valse positieven. Deze kunnen vervelend zijn, maar houd er rekening mee dat ze beter zijn dan valse negatieven. Iets eenvoudigs als een configuratiewijziging of een software-update kan een waarschuwing activeren die moet worden uitgecheckt.
  • Ontvang gratis ondersteuning: Als u gratis tools wilt gebruiken, moet u idealiter over enige beveiligingskennis beschikken, aangezien de meeste gratis tools geen klantenondersteuning bieden; je moet al het vuile werk zelf doen. Bezoek anders eens De Joomla! Forum , Gratis forums , ASP.NET , MBSA , of Piepende computer om uw vragen te stellen en naar oplossingen te zoeken.
  • Houd het vers: Het nadeel van gratis tools is dat ze mogelijk niet regelmatig worden bijgewerkt met de laatst bekende kwetsbaarheden. Controleer altijd de datum van de laatst uitgebrachte versie.

Wat u moet weten over gratis websitebeveiligingstools

Testmethoden

Er zijn drie hoofdtypen tools die verband houden met de detectie van kwetsbaarheden in applicaties:

  • Black Box-testen – Methode voor het testen van software waarbij de functionaliteit van een applicatie wordt onderzocht zonder de interne structuren ervan te onderzoeken. Testen richt zich op wat de software moet doen, niet op hoe. Inbegrepen in deze categorie zijn kwetsbaarheidsscanners, beveiligingsscanners voor webapplicaties en tools voor penetratietests.
  • White Box-testen – Methode voor het testen van software die zich richt op de interne structuren van een applicatie op broncodeniveau, in tegenstelling tot de functionaliteit ervan. Statische broncode-analyzers en penetratietesttools vallen in deze categorie. Met penetratietesten White Box-testen verwijst volgens Wikipedia naar een methodologie waarbij een White Hat-hacker volledige kennis heeft van het systeem dat wordt aangevallen. Het doel van een White Box-penetratietest is het simuleren van een kwaadwillende insider die kennis heeft van en mogelijk basisreferenties heeft voor het doelsysteem.
  • Grijze doos testen – In cyberspace is de grens tussen de categorieën vervaagd, waardoor dit nieuwe testmodel is ontstaan ​​dat elementen van zowel Black- als White Box-methoden combineert.

Veelvoorkomende kwetsbaarheden op websites

Het gerespecteerde Open Web Application Security Project (OWASP) is een open community die organisaties in staat stelt betrouwbare applicaties te ontwikkelen, aan te schaffen en te onderhouden. Het is de opkomende standaardenorganisatie voor de beveiliging van webapplicaties en publiceert jaarlijks een lijst met Top 10 kwetsbaarheden op websites voor een bepaald jaar.

Voor elke kwetsbaarheid hebben we een link toegevoegd naar een site die u meer technische details geeft als u hierin geïnteresseerd bent.

  1. SQL injectie – Code-injectietechniek waarbij kwaadaardige SQL-instructies in een invoerveld worden ingevoegd om te worden uitgevoerd. De techniek wordt gebruikt om gegevens te manipuleren (bijvoorbeeld downloaden) of te corrumperen. Het richt zich op gebruikersinvoer die niet goed is gevalideerd en ontsnapt . Een aanvaller kan misbruik maken van dit beveiligingslek door gebruikersinvoer te vervangen door eigen opdrachten, die rechtstreeks naar de database worden verzonden.Voorbeeld: De Filippijnse verkiezingscommissie schendt .
  2. Gebroken authenticatie en sessiebeheer – Applicatiefuncties met betrekking tot authenticatie en sessiebeheer worden vaak onjuist geïmplementeerd, waardoor aanvallers wachtwoorden, sleutels of sessietokens kunnen compromitteren, of andere implementatiefouten kunnen misbruiken om de identiteit van andere gebruikers aan te nemen (tijdelijk of permanent).Voorbeeld: De 17 mediabreuken .
  3. Crosssite-scripting (XSS) – Deze aanval is er in meerdere smaken. In de meest elementaire vorm stelt het aanvallers in staat scripts aan de clientzijde te injecteren in webpagina's die door andere gebruikers worden bekeken. Het is gebaseerd op een onderliggend concept van vertrouwen dat bekend staat als het same-origin-beleid, dat zegt dat als inhoud van de ene site toestemming krijgt om toegang te krijgen tot bronnen op een systeem, alle inhoud van die site deze toestemmingen zal delen. Na het binnendringen van een vertrouwde site kunnen aanvallers hun kwaadaardige inhoud opnemen in de inhoud die wordt geleverd aan de site aan de clientzijde en zo toegang krijgen tot de informatieschatten ervan.Voorbeeld: EBay's opgeslagen XSS .
  4. Kapotte toegangscontrole – Aanvallers kunnen lekken of fouten in de authenticatie- of sessiebeheerfuncties (bijvoorbeeld blootgestelde accounts, wachtwoorden, sessie-ID's) gebruiken om zich voor te doen als gebruikers.Voorbeeld: Schending van de Adult Friend Finder .
  5. Fouten in de beveiligingsconfiguratie – Dit is het gevolg van het “op een onjuiste wijze monteren van de beveiligingen van de webapplicatie”, waardoor er een beveiligingslek ontstaat in een server, database, raamwerk of code.Voorbeeld: De Mexicaanse kiezers breken .
  6. Blootstelling aan gevoelige gegevens – Veel webapplicaties en API's beschermen gevoelige informatie, zoals financiële of gezondheidszorggegevens, niet goed. Aanvallers kunnen zwak beveiligde gegevens stelen of wijzigen om creditcardfraude, identiteitsdiefstal of andere misdaden uit te voeren. Gevoelige gegevens verdienen extra bescherming, zoals versleuteling in rust of onderweg, evenals speciale voorzorgsmaatregelen bij uitwisseling met de browser.Voorbeeld: De inbreuk op het Indian Institute of Management .
  7. Onvoldoende aanvalsbescherming – Bij de meeste applicaties en API’s ontbreekt het basisvermogen om zowel handmatige als geautomatiseerde aanvallen te detecteren, te voorkomen en erop te reageren. Bescherming tegen aanvallen gaat veel verder dan de basisinvoervalidatie en omvat het automatisch detecteren, loggen, reageren en zelfs blokkeren van exploitpogingen. Applicatie-eigenaren moeten ook snel patches kunnen implementeren om zich tegen aanvallen te beschermen.Voorbeeld: De Drie-breuk .
  8. Vervalsing van cross-siteverzoeken (CSRF) – Dwingt een eindgebruiker om ongewenste acties uit te voeren op een webapplicatie waarin hij momenteel is geverifieerd zonder dat hij het weet. Door een gebruiker naar een door een aanvaller bestuurde website te lokken, kan een hacker de verzoeken van een gebruiker aan de server wijzigen.Voorbeeld: Facebook-aanval .
  9. Gebruik maken van componenten met bekende kwetsbaarheden – Componenten, zoals bibliotheken, raamwerken en andere softwaremodules, werken met dezelfde rechten als de applicatie. Als een kwetsbaar onderdeel wordt uitgebuit, kan een dergelijke aanval ernstig gegevensverlies of serverovername in de hand werken. Applicaties en API's die componenten met bekende kwetsbaarheden gebruiken, kunnen de verdediging van applicaties ondermijnen en verschillende aanvallen en gevolgen mogelijk maken.Voorbeeld: Mossack Fonesca (Panama Papers) heeft inbreuk gemaakt .
  10. Onderbeveiligde API's – Bij moderne applicaties zijn vaak rijke clientapplicaties en API’s betrokken, zoals JavaScript in de browser en mobiele apps die verbinding maken met een of andere API (SOAP/XML, REST/JSON, RPC, GWT, etc.). Deze API’s zijn vaak onbeschermd en kunnen talloze kwetsbaarheden bevatten.Voorbeeld: McDonalds lekt .

Kwetsbaarheidsscanners

Een kwetsbaarheidsscanner is gespecialiseerde software die uw netwerk, systeem of servers scant om bugs, beveiligingslekken en gebreken te identificeren. Het test automatisch een systeembekendkwetsbaarheden. Het identificeert eerst open poorten; actieve Internet Protocol (IP)-adressen en aanmeldingen; en besturingssystemen, software en actieve diensten. Vervolgens vergelijkt het de gevonden informatie met bekende kwetsbaarheden in de database of een database van derden. Voor de man in de straat werkt het ongeveer zoals antivirussoftware voor tuinvarianten, maar dan een stuk geavanceerder. De beste kwetsbaarheidsscanners zijn bijvoorbeeld slim genoeg om componenten voor patchbeheer en penetratietests te bevatten. Er bestaat enige overlap tussen kwetsbaarheidsscanners En penetratietestinstrumenten . Deze laatste gebruiken de door de scanners ontdekte kwetsbaarheden om inbreuken uit te voeren en te bewijzen dat ze de kwetsbaarheid kunnen compromitteren. De volgende zijn allemaal volledig gratis tools.

Open Vulnerability Assessment System (OpenVAS)

OpenVAS is een scanbeveiligingskit die bestaat uit verschillende services en tools. De scanner zelf werkt niet op Windows-machines, maar er is een client voor Windows. Het ontvangt een feed, die dagelijks wordt bijgewerkt, van meer dan 30.000 netwerkkwetsbaarheidstests (NVT). De tool is afgeleid van de laatste gratis versie van Nessus, een andere kwetsbaarheidsscanner, nadat deze in 2005 bedrijfseigen werd. Het Duitse Federale Bureau voor Informatiebeveiliging (BSI) gebruikt OpenVAS als onderdeel van hun IT-beveiligingsframework.

Pro:

  • Enorme database met kwetsbaarheden
  • Mogelijkheid voor gelijktijdige scantaken
  • Geplande scans
  • Vals positief management
  • Gratis voor onbeperkte IP's
  • Goede allrounder

Met:

  • Niet de gemakkelijkste tool om te installeren voor nieuwkomers
  • Voor het hoofdonderdeel – de scanengine – is Linux vereist

Microsoft Baseline Security Analyzer (MBSA)

MBSA scant Microsoft-desktops en -servers op ontbrekende beveiligingsupdates, beveiligingspatches en veelvoorkomende verkeerde beveiligingsconfiguraties.

Pro:

  • Dankzij de gebruiksvriendelijke interface kunt u lokale of externe machines scannen; selecteer één machine om te scannen, of kies een heel domein of specificeer een IP-adresbereik; en kies precies waarvoor u wilt scannen, b.v. zwakke wachtwoorden of Windows-updates
  • Biedt specifieke herstelsuggesties wanneer er kwetsbaarheden worden gevonden
  • Actief forum biedt kwaliteitsondersteuning

Met:

  • Scant geen niet-Microsoft-software
  • Scant niet op netwerkspecifieke kwetsbaarheden

Nexpose Community-editie

Nexpose is gericht op kleine bedrijven en particulieren die meerdere computers gebruiken die op een lokaal netwerk zijn aangesloten en kan netwerken, besturingssystemen, webapplicaties, databases en virtuele omgevingen scannen. Het integreert met het populaire Metasploit-framework , een hulpmiddel voor het ontwikkelen en uitvoeren van exploitcode tegen een externe doelmachine. Betrokken is een zeer actieve gemeenschap van penetratietesters en beveiligingsonderzoekers die de ontwikkeling van deze exploits aansturen, die vervolgens worden omgezet in definities van kwetsbaarheden.

Pro:

  • Bevat een leuke optie om beleid in te stellen om de vereiste nalevingsnormen te definiëren en bij te houden
  • Maakt gedetailleerde visualisaties van gescande gegevens mogelijk
  • Kan worden geïnstalleerd op Windows, Linux of virtuele machines

Met:

  • De gratis versie is beperkt tot 32 IP's tegelijk

SecureCheq

TripWire noemt zijn SecureCheq een hulpprogramma voor configuratie-evaluatie. Het test ongeveer twintig kritieke maar veel voorkomende configuratiefouten met betrekking tot OS-harding, gegevensbescherming, communicatiebeveiliging, gebruikersaccountactiviteit en auditlogboekregistratie. Deze gratis tool werkt het beste in combinatie met een robuustere scanner, zoals de Microsoft Baseline Security Analyzer (MBSA).

Pro:

  • Gemakkelijk te gebruiken voor beginners
  • Geeft gedetailleerd herstel- en reparatieadvies

Met:

  • Voert alleen lokale scans uit op Microsoft-machines
  • De gratis versie van deze tool biedt slechts ongeveer een kwart van de instellingen van de betaalde versie

Qualys FreeScan

Lichtgewicht scanner die kan worden gebruikt om de status van de kwetsbaarheid van uw website te evalueren en u te helpen een beslissing te nemen over welk beschermingsniveau u in de toekomst nodig heeft. Qualys, een vertrouwde naam, was het eerste bedrijf dat oplossingen voor kwetsbaarheidsbeheer als applicaties via internet leverde met behulp van een ‘software as a service’ (SaaS)-model.

Pro:

  • Perimeterscannen Scannen van webapplicaties
  • Malware-detectie

Met:

  • Beperkt tot tien unieke beveiligingsscans van internettoegankelijke activa

Grijper

Eenvoudige, lichtgewicht tool die scant op basiskwetsbaarheden in webapplicaties. Het is bedoeld voor ontwikkelaars die tijdens het codeerproces kleine scans willen aanpassen.

Pro:

  • Handig voor kleine websites

Met:

  • Geen GUI
  • Rapporten alleen in XML
  • Heeft de neiging een beetje traag te zijn

Kom langs

Voert Black Box-testen uit van webapplicaties. Het controleert niet de broncode van de applicatie, maar scant de webpagina's van een geïmplementeerde applicatie, op zoek naar scripts en formulieren waarin het gegevens kan injecteren. Gewapend met deze gegevens fungeert het als een fuzzer en injecteert het payloads om te zien of een script kwetsbaar is.

Pro:

  • Genereert kwetsbaarheidsrapporten in verschillende formaten (bijv. HTML, XML, JSON, TXT)
  • Kan een scan of aanval onderbreken en hervatten
  • Kan kwetsbaarheden met kleur in de terminal markeren

Met:

  • Commandoregelinterface
  • Kan meerdere valse positieven opleveren

w3af

Dit is een aanvals- en auditframework voor webapplicaties dat kan worden gebruikt in combinatie met penetratietesttools. Sponsors zijn onder meer Openware (nu Globant), Cybsec, Bonsai en Rapid7. Het bedrijf levert enthousiaste bijdragen aan T2 Infosec-conferenties, bedoeld voor diegenen die geïnteresseerd zijn in de technische aspecten van informatiebeveiliging.

Pro:

  • Populaire, goed ondersteunde open-source applicatie
  • Eenvoudig te gebruiken GUI
  • Gemakkelijk uitbreidbaar
  • Identificeert meer dan 200 kwetsbaarheden
  • Maakt gebruik van w3af-plug-ins, dit zijn stukjes Python-code die de functionaliteit van het raamwerk uitbreiden door nieuwe manieren te bieden om URL's te extraheren of kwetsbaarheden te vinden
  • Compatibel met alle door Python ondersteunde platforms

Met:

  • Ondersteunt Windows, maar niet officieel

Penetratietestsoftware

Een penetratietest (pentest) is een geautoriseerde gesimuleerde aanval op een computersysteem die zoekt naar onbekende beveiligingszwakheden. Een pentesttool emuleert in wezen een hacker met als uiteindelijk doel het testen van de verdedigingscapaciteiten van de organisatie tegen de gesimuleerde aanval. Tijdens een pentest wordt gebruik gemaakt van een mix van geautomatiseerde scans en handmatige exploitatietechnieken. Een geautomatiseerde tool zoals Nmap, die basisnetwerkdetectie biedt, kan bijvoorbeeld worden gebruikt binnen een exploitatieframework (bijvoorbeeld Metasploit).

Pentesten vereisen zeer gespecialiseerde vaardigheden. Starten, PentesterLabs biedt gratis trainingsoefeningen en hieronder vindt u een lijst met open source en gratis tools om u op weg te helpen.

Zed-aanvalsproxy (ZAP)

Geïntegreerde pentesttool voor het vinden van kwetsbaarheden in webapplicaties. Het functioneert als een proxy tussen de webbrowser van een gebruiker en een applicatie om zowel geautomatiseerde als handmatige beveiligingstests van webapplicaties mogelijk te maken. Kan ontwikkelaars helpen automatisch beveiligingskwetsbaarheden in webapplicaties te vinden terwijl ze deze ontwikkelen. Wordt ook gebruikt door pentesters voor handmatige beveiligingstests door een URL in te voeren om te scannen, of door de tool te gebruiken als onderscheppende proxy. Tussen 2013 en 2016 werd Zap elk jaar als eerste of tweede verkozen in de ToolsWatch Annual Best Free/Open Source Security Tool Survey.

Pro:

  • Helemaal gratis
  • Makkelijk te installeren
  • Wordt doorgaans uitgevoerd als een interactieve gebruikersinterface en fungeert als onderscheppende proxy, zodat u aanvragen dynamisch kunt wijzigen

Met:

  • Hoofdzakelijk ontworpen om u te helpen beveiligingsproblemen handmatig te vinden
  • Niet echt bedoeld om als puur geautomatiseerde scanner te functioneren

Fiddler

Deze tool is gecategoriseerd als een proxyservertoepassing. Het wordt voornamelijk gebruikt om HTTPS-verkeer te onderscheppen en te decoderen. Gebruikers kunnen dat verkeer manipuleren en inspecteren om kwetsbaarheden in de applicatie te identificeren. Waarnemer is een Fiddler-add-on, ontworpen om penetratietesters te helpen bij het passief vinden van kwetsbaarheden in webapplicaties.

Pro :

  • Debug verkeer van pc-, Mac- of Linux-systemen en mobiele (iOS en Android) apparaten
  • Kan lokaal verkeer vastleggen door de naam van de machine als hostnaam te gebruiken in plaats van ‘localhost’

Met:

  • Alleen ondersteund op Windows

Metasploit

Framework waarmee pentesters toegang kunnen krijgen tot bewezen exploits en deze kunnen uitvoeren, die zijn opgeslagen in de database van Metasploit. Het raamwerk beschikt over de grootste database ter wereld met openbare, geteste exploits. Het staat sinds de oprichting consequent in de top tien van beveiligingsapplicatietools. De Meterpreter geeft de resultaten weer nadat een exploit heeft plaatsgevonden.

Pro:

  • Grote database met exploits
  • Uitgebreide verzameling tools om tests uit te voeren

Met:

  • Commandoregelinterface

Kali Linux

Kali Linux is de ultieme tool voor offensieve pentests en een van de meest populaire beveiligingsframeworks in de branche. Volgens de ontwikkelaars is het echter “GEEN aanbevolen distributie als je niet bekend bent met Linux of op zoek bent naar een Linux-desktopdistributie voor algemene doeleinden voor ontwikkeling, webontwerp, gaming, enz.”

Pro:

  • Bevat meer dan 300 penetratietest- en beveiligingsauditprogramma's

Met:

  • Werkt niet in een VM, tenzij u een externe draadloze USB-dongle gebruikt

Netwerkscanners

Netwerkscanners breng je hele netwerk in kaart en bepaal wat erop is aangesloten. Ze kunnen zoeken naar hosts en open poorten en alle gebruikte software- en hardwareversies identificeren. Bekijk de volgende gratis tools.

Netwerktoewijzer (NMap)

Gebruikt voor netwerkdetectie en beveiligingsaudit. Maakt op nieuwe manieren gebruik van onbewerkte IP-pakketten om te bepalen welke hosts beschikbaar zijn op het netwerk, welke diensten ze aanbieden, welke besturingssystemen ze gebruiken en welk type pakketfilters/firewalls er worden gebruikt. Het kan worden gebruikt om informatie te verstrekken om pentestaanvallen te plannen. Leuk weetje: Nmap was (blijkbaar) te zien in twaalf films, waaronder The Matrix Reloaded, Die Hard 4, Girl With the Dragon Tattoo en The Bourne Ultimatum.

Pro:

  • Inclusief opdrachtregel- en GUI-versies
  • Draait op alle belangrijke besturingssystemen zoals Windows, Linux en Mac OS X
  • Zenmap is de officiële Nmap GUI, waardoor het voor beginners gemakkelijker wordt om aan de slag te gaan

Met:

  • Geen proxyscannen
  • Als poortscanner kan hij “luid” zijn. Poortscanners vereisen het genereren van veel netwerkverkeer. Er is een omgekeerde relatie tussen stealth en snelheid, zodat poortscanners een netwerk kunnen vertragen en/of opvallen op het netwerk als de spreekwoordelijke olifant in de kamer, dat wil zeggen ‘luid’ zijn.

Draadhaai

Netwerkprotocol- en datapakketanalysator en pentesttool met een krachtig filtersysteem. Wireshark heeft een enorm leger van vrijwillige netwerkexperts over de hele wereld.

Pro:

  • Hiermee kunnen gebruikers opgeven welk soort verkeer ze willen zien, b.v. alleen TCP-pakketten
  • Kan pakketten vastleggen van VLAN, Bluetooth, USB en andere soorten netwerkverkeer Beschikbaar voor vrijwel elk platform, inclusief Linux, Windows, Mac, Solaris en OpenBSD
  • Krachtige filteropties in een gebruiksvriendelijke GUI

Met:

  • Steile leercurve, tenzij je enig begrip hebt van TCP/IP-netwerken

Statische broncode-analyzers

Statische code-analysatoren automatiseren het snel controleren van code zonder de code daadwerkelijk uit te voeren. Omdat ze alleen naar de broncode van een applicatie kijken, hoef je niet je hele applicatiestack in te richten om ze te gebruiken. Deze tools zijn meestal taalspecifiek en kunnen ontwikkelaars helpen bij het identificeren van beveiligingsproblemen. Unittests en codebeoordelingen vormen een aanvulling op de statische codeanalyse. Het grootste nadeel van deze gratis tools is dat ze vaak veel valse positieven genereren.

VisualCodeGrepper

Werkt met C++ , C# , V.B , PHP , PL/SQL , En Java .

Pro:

  • Zoekt naar specifieke schendingen van OWASP-aanbevelingen
  • Maakt aangepaste queryconfiguraties mogelijk, zodat u extra functies kunt toevoegen

Met:

  • Heeft een vaste lijst met kwetsbaarheden die niet kunnen worden gewijzigd

Lichtgewicht analyse voor programmabeveiliging in Eclipse (LAPSE+)

Eclipse-plug-in die kwetsbaarheden van niet-vertrouwde gegevensinjectie in Java EE-toepassingen. Het werkt door te zoeken naar een ‘kwetsbaarheidsput’ van een kwetsbaarheidsbron. De bron van een kwetsbaarheid verwijst naar de injectie van niet-vertrouwde gegevens, b.v. in de parameters van een HTTP-verzoek of een cookie. De term ‘sink’ verwijst naar het proces van gegevenswijziging om het gedrag van een applicatie te manipuleren. een HTML-pagina.

Pro:

  • Test validatielogica zonder de code te compileren

Met:

  • Identificeert geen compilatiefouten
  • Beperkt tot Eclipse IDE's

Remmenaar

Ondervraagt Robijn op rails code. Het wordt gebruikt door Twitter, GitHub en Groupon.

Pro:

  • Eenvoudige installatie en configuratie
  • Snelle scans

Met:

  • Kan een hoog percentage valse positieven vertonen

RIPS

Volgens RIPS: “Door tokeniseren en door alle broncodebestanden te parseren, kan RIPS transformeren PHP broncode in een programmamodel te verwerken en om gevoelige sinks (potentieel kwetsbare functies) te detecteren die kunnen worden besmet door gebruikersinvoer (beïnvloed door een kwaadwillende gebruiker) tijdens het programmaverloop. Naast de gestructureerde output van gevonden kwetsbaarheden, biedt RIPS een geïntegreerd code-auditframework.” In 2016 werd een herschreven versie van RIPS als commercieel product uitgebracht door RIPS Technologies, een hightechbedrijf gevestigd in Duitsland.

Pro:

  • Eenvoudige installatie en configuratie
  • Snelle scans

Met:

  • De gratis versie is beperkt en ondersteunt slechts 15 soorten kwetsbaarheden

FxCOP

Analyseert beheerde codeassemblages (code die gericht is op de .NETTO Framework gemeenschappelijke taalruntime.) Dit is een goed voorbeeld van hoe u aanvullende hulpmiddelen in uw gereedschapskist kunt gebruiken. FxCOP, volgens excell , werkt het beste in combinatie met een statische code-analysetool zoals StyleCop, omdat beide tools verschillende code-analysebenaderingen hebben. “StyleCop werkt tegen de C#-broncode, maar kan de broncode van VB.NET of een andere .NET-taal niet analyseren. FxCop werkt tegen .NET-gecompileerde binaire bestanden, maar kan de broncode en aspecten zoals het juiste gebruik van accolades, witruimte of commentaar niet analyseren.

Pro:

  • Assembly-metagegevens werken met code die in elke .NET-taal is gemaakt
  • Uitgebreide set regels direct beschikbaar

Met:

  • Beperkt tot metadata van de assemblage
  • Produceert slechts één type rapport

Bandiet

Bandit is een beveiligingslinter (een programma dat de broncode scant en eventuele constructies markeert die waarschijnlijk bugs zijn) voor de broncode van Python, waarbij gebruik wordt gemaakt van de ast-module uit de standaardbibliotheek van Python. De as-module wordt gebruikt om de broncode om te zetten in een geparseerde boom van Python-syntaxisknooppunten. Met Bandit kunnen gebruikers aangepaste tests definiëren die op die knooppunten worden uitgevoerd.

Pro:

  • Extreem aanpasbaar, b.v. verschillende plug-ins kunnen worden uitgeschakeld of bepaalde mappen kunnen worden uitgesloten van scans
  • Gebruikers kunnen ook hun eigen aangepaste plug-ins schrijven

Met:

  • Geen GUI

Fuzzende hulpmiddelen

Fuzz-testen (fuzzing) worden gebruikt om codeerfouten en beveiligingsproblemen te identificeren. Het gaat om het invoeren van grote hoeveelheden willekeurige gegevens in een poging een applicatie of netwerk te laten crashen.

Amerikaanse Fuzzy Lop (AFL)

Een open source, dekkingsondersteunde fuzz-testtool ontwikkeld door Michał Zalewski van Google. Hij beschrijft zijn tool als “een fuzzer met brute kracht, gekoppeld aan een buitengewoon eenvoudig maar oerdegelijk, instrumentatiegestuurd genetisch algoritme.” AFL heeft kwetsbaarheden gevonden in verschillende populaire webapps, waaronder Firefox, Flash, LibreOffice, Internet Explorer en Apple Safari.

Pro:

  • Wat Zalewski een ‘hippe gebruikersinterface in retrostijl’ noemt
  • Bewezen werkzaamheid

Met:

  • Je moet zelf een beetje retro zijn om de (ouderwetse) GUI echt te kunnen waarderen

Sulley Fuzzing-framework

Een populaire fuzzing-engine en fuzz-testframework bestaande uit meerdere uitbreidbare componenten. Wat het anders maakt dan andere fuzzers, is dat het niet louter een hulpmiddel voor het genereren van gegevens is. Het detecteert, volgt en categoriseert gedetecteerde fouten; kan parallel fuzzen, waardoor de testsnelheid aanzienlijk toeneemt; en kan automatisch bepalen welke unieke reeks testgevallen fouten veroorzaakt. Boofuzz is een vork van het Sulley fuzzing-framework.

Pro:

  • Volledig geautomatiseerd – na het veroorzaken van een storing kan het systeem het systeem automatisch terugzetten naar een normale toestand en vervolgens doorgaan met het fuzzen van een nieuwe testcase

Met:

  • Geen recente versie-updates

Hulpprogramma's voor het kraken van wachtwoorden

Deze gratis tools worden door beveiligingsbeheerders gebruikt om zwakke en kwetsbare wachtwoorden te vinden die gemakkelijk door een hacker kunnen worden gecompromitteerd. De drie meest voorkomende wachtwoordaanvallen zijn:

  • Woordenboek : gebruikt een bijgeleverd bestand dat een lijst met woordenboekwoorden bevat.
  • Brute kracht : Met behulp van een woordenboeklijst probeert u systematisch alle mogelijke combinaties voor een wachtwoord. Tenzij de aanvaller geluk heeft, kan dit proces enige tijd duren, vooral bij lange wachtwoorden die een combinatie van letters, cijfers en symbolen gebruiken.
  • Regenboog tafel : De meeste databases slaan cryptografische hashes van de wachtwoorden van gebruikers op in een database. Niemand kan het wachtwoord van een gebruiker bepalen door simpelweg naar de waarde te kijken die in de database is opgeslagen. Wanneer een gebruiker zijn of haar wachtwoord invoert, wordt het gehasht en wordt die uitvoer vergeleken met de opgeslagen invoer voor die gebruiker. Als de twee hashes overeenkomen, wordt toegang verleend. Een hashtabel is een soort referentietabel die door hackers wordt gebruikt. Deze vooraf berekende wachtwoord-hashes worden in de tabel opgeslagen om de tijd die nodig is om een ​​wachtwoord te kraken te verkorten. Rainbow-tafels gaan nog een stap verder door de hash-tafel kleiner te maken, waardoor ze efficiënter worden.”

THC Hydra

THC Hydra is een tool voor het hacken van netwerkaanmeldingen die woordenboek- of brute-force-aanvallen gebruikt om verschillende wachtwoord- en inlogcombinaties op een inlogpagina uit te proberen.

Pro:

  • Ondersteunt een breed scala aan protocollen, waaronder mail (POP3, IMAP, enz.), LDAP, SMB, VNC en SSH
  • Ondersteunt de meeste grote platforms

Koevoet

Brute-force-aanvalstool die kan worden gebruikt tijdens penetratietesten.

Pro:

  • Crowbar kan SSH-sleutels gebruiken in plaats van de typische combinatie van gebruikersnaam en wachtwoord

Met:

  • Alleen opdrachtregel

Johannes de Ripper

Maakt gebruik van de woordenboekaanvaltechniek. Het is een goede alleskunner die bestaat uit een reeks verschillende combinaties van wachtwoordkrakers.

Pro:

  • Mogelijkheid om wachtwoord automatisch te detecteren hasj soorten
  • Ondersteunt de meeste grote platforms

OphCrack

Windows-wachtwoordkraker gebaseerd op regenboogtabellen.

Pro:

  • Inclusief brute-force-module voor eenvoudige wachtwoorden
  • Ondersteunt de meeste grote platforms

WordPress-beveiligingstools

Gespecialiseerde beveiligingstools voor WordPress-websites zijn te vinden op wordpress.org . WordPress is zo populair dat er veel recensies over plug-ins zijn, die een redelijk objectief overzicht bieden van de functies van een tool. Laten we eens kijken naar enkele van de meest populaire aanbiedingen.

WoordFence

Inclusief inlogbeveiliging; IP-blokkeerfuncties; beveiligingsscans op malware en “achterdeurtjes”; firewall bescherming; en uitgebreide monitoringmogelijkheden.

iThema's Beveiliging

Door de ontwikkelaars beschreven als de #1 WordPress-beveiligingsplug-in. Lees echter de negatieve recensies voordat u deze plug-in downloadt. Een recensent met scherpe ogen wees erop dat toen iThemes in 2016 werd gecompromitteerd en vervolgens werd aangevallen, ze een nieuwe website-firewall van rivaal Sucuri hadden ingezet. Maakt dat uit? Jij mag het beoordelen.

Beveiligingssappen

Het beste van Sucuri Security is dat alle functies gratis zijn. De premium plug-in werd in 2014 verouderd en alle belangrijke functies werden samengevoegd in de gratis plug-in.

Online scantools voor websites

Gratis online tools zijn snel en gemakkelijk te gebruiken. Hoewel het niet gegarandeerd is dat ze de kwetsbaarheden van uw website definitief kunnen identificeren, kunnen ze u wel helpen gebieden te identificeren die verder onderzoek vereisen.

Sappen

Voer uw websiteadres in voor een gratis overzicht van mogelijke websitekwetsbaarheden. Controleert op bekende malware, status op de zwarte lijst, websitefouten en verouderde software.

Pro:

  • U hoeft uw e-mailadres niet in te voeren om resultaten te ontvangen

WP-controle

Bevat een uitgebreide lijst met websiteproblemen, waaronder prestaties, SEO en beveiliging.

Pro:

  • Biedt meer informatie dan andere tools. Het duurt iets langer om te scannen (maar dat is goed, toch?)
  • U hoeft uw e-mailadres niet in te voeren, maar u kunt wel vragen dat de resultaten naar u worden gemaild

Met:

  • U moet zich aanmelden voor een gratis proefperiode van 30 dagen om te leren hoe u ernstige problemen kunt oplossen
  • Beperkt tot één scan per dag

Qualys SSL-servertest

Voert een diepgaande analyse uit van de configuratie van SSL-webservers.

Pro:

  • Registreren is niet nodig
  • Biedt een uitgebreide lijst met problemen met SSL-veroudering en compatibiliteit

Webinspecteur

Scant een webpagina om te zien of deze schadelijk is of niet.

Met:

  • Er wordt slechts één pagina tegelijk gescand

ASafaWeb

Onderneemt geen aanvalsreeksen of andere kwaadaardige activiteiten; het doet eenvoudigweg enkele goedaardige verzoeken om te zien hoe de site reageert.

Pro:

  • ASafaWeb heeft een speciale, niet zo veilige site, puur voor demodoeleinden op notasafaweb.apphb.com, die u kunt scannen en de resultaten kunt bekijken

SecurityHeaders.io

Deze gratis tool test websiteheaders. Volgens de ontwikkelaar bieden de HTTP-antwoordheaders die deze site analyseert een enorm beschermingsniveau. Content Security Policy (CSP) is bijvoorbeeld een effectieve maatregel om uw site te beschermen tegen XSS-aanvallen. Door bronnen van goedgekeurde inhoud op de witte lijst te zetten, kunt u voorkomen dat de browser schadelijke middelen laadt.

Pro:

  • Snel en biedt een volledige beschrijving van de ontbrekende headers en hoe u eventuele problemen kunt oplossen

Waar nu heen?

Bezoek de Evaluatieproject voor kwetsbaarheidsscanner voor webapplicaties (wavsep) website. Wavsep is een evaluatieplatform dat een verzameling unieke kwetsbare webpagina's bevat die kunnen worden gebruikt om de verschillende eigenschappen van webapplicatiescanners te testen. Je kunt de analyses bekijken van hoe verschillende scanners, zowel gratis als commercieel, getest zijn tegen wavsep hier . De resultaten geven aan hoe nauwkeurig deze scanners zijn bij het identificeren van veelvoorkomende kwetsbaarheden op websites en hoeveel valse positieven ze in benchmarktests hebben opgeleverd. Veel van de gratis tools die in dit bericht worden genoemd, vind je op de Wavsep-site.

Veel plezier met testen!

Crackers ”door elhombredenegro onder licentie CC BY 2.0

^