웹 애플리케이션 Pentesting 도구 웹 기반 응용 프로그램의 취약성을 테스트하기 위해 보안 산업에서 더 자주 사용됩니다. 여기에는 모든 회사 환경에서 침투 테스트 작업 수행을 다루는 포괄적 인 웹 응용 프로그램 침투 테스트 도구 웹 응용 프로그램 침투 테스트 목록이 있습니다.

최고의 마스터 레벨을 배울 수 있습니다 웹 해킹 및 침투 테스트 Leading Elearning Cybersecurity 플랫폼의 전체 번들.

웹 애플리케이션 Pentesting 도구

회사조직

• OWASP – OWASP (Open Web Application Security Project)는 소프트웨어 보안 향상에 중점을 둔 전 세계 비영리 비영리 단체 인 501 (c) (3)입니다.

웹 응용 프로그램 방화벽

• ModSecurity를 – ModSecurity는 실시간 웹 응용 프로그램 모니터링, 로깅 및 액세스 제어를위한 툴킷입니다.
• 낙시 – NAXSI는 NGINX 용 오픈 소스, 고성능, 낮은 규칙 유지 관리 WAF이며, NAXSI는 Nginx Anti Xss & Sql Injection을 의미합니다.
• SQL_방화벽 PostgreSQL 용 SQL 방화벽 확장
• 아이언 비 – IronBee는 범용 웹 응용 프로그램 Pentesting 도구를 구축하기위한 오픈 소스 프로젝트입니다. 웹 응용 프로그램 보안을위한 시스템 개발을위한 프레임 워크 인 IronBee – 웹 애플리케이션 방화벽 (워프).
• 인더스 페이스 – 애플리케이션 취약성, 맬웨어 및 논리적 결함을 탐지하여 위협 행위자가 시스템에 침투하는 것을 막기위한 새로운 시대의 웹 애플리케이션 방화벽.

스캔 / 펜 테스팅

• sqlmap – sqlmap은 SQL 주입 결함을 탐지 및 악용하고 데이터베이스 서버를 인계받는 프로세스를 자동화하는 오픈 소스 웹 응용 프로그램 침투 테스트 도구입니다. 강력한 탐지 엔진, 궁극의 침투 테스터를위한 많은 틈새 기능 및 데이터베이스 핑거 프린팅, 데이터베이스에서 데이터 페치 이상, 기본 파일 시스템 액세스 및 외부 시스템을 통한 운영 체제 명령 실행에 이르는 광범위한 스위치가 제공됩니다. 대역 연결.
• ZAP – ZAP (Zed Attack Proxy)는 웹 응용 프로그램의 취약점을 찾기 위해 사용하기 쉬운 통합 웹 응용 프로그램 검사 도구입니다. 광범위한 보안 경험을 가진 사람들이 사용하도록 설계되었으며 침투 테스트에 익숙하지 않은 개발자 및 기능 테스터에게 이상적입니다. ZAP는 자동화 된 스캐너와 보안 취약점을 수동으로 찾을 수있는 일련의 도구를 제공합니다.
• OWASP 테스트 체크리스트 v4 – 웹 취약성 평가 중에 테스트 할 일부 제어 목록. 마크 다운 버전을 찾을 수 있습니다 여기에서 지금 확인해 보세요..
• w3af – w3af는 웹 응용 프로그램 공격 및 감사 프레임 워크입니다. 이 프로젝트의 목표는 모든 웹 응용 프로그램 취약점을 찾아서 악용하여 웹 응용 프로그램을 보호하는 데 도움이되는 프레임 워크를 만드는 것입니다.
• 정찰 – Recon-ng는 모든 기능을 갖춘 웹 정찰 프레임 워크로 Python으로 작성되었습니다. Recon-ng는 모양과 느낌이 Metasploit Framework와 유사합니다.
• PTF – 침투 테스터 프레임 워크 (PTF)는 최신 도구를 모듈 식으로 지원하는 방법입니다.
• 감염 원숭이 – 네트워크 매핑 / 펜 테스트 용 반자동 펜 테스트 도구. 사람 공격자를 시뮬레이션합니다.
• 악취 – ACSTIS를 사용하면 AngularJS 클라이언트 측 템플릿 주입 (CSTI, 샌드 박스 이스케이프 또는 샌드 박스 바이 패스라고도 함)에 대한 특정 웹 응용 프로그램을 스캔 할 수 있습니다. 단일 요청 검색을 지원하지만 AngularJS CSTI 취약점에 대해 전체 웹 응용 프로그램을 크롤링합니다.
• 메타스폴리트 안내

런타임 응용 프로그램 자체 보호

• 스 퀘린 – Sqreen은 소프트웨어 팀을위한 런타임 응용 프로그램 자체 보호 (RASP) 솔루션입니다. 인앱 에이전트는 앱을 계측하고 모니터링합니다. 의심스러운 사용자 활동이보고되고 코드 수정이나 트래픽 리디렉션없이 런타임에 공격이 차단됩니다.

개발

• 설계부터 다른 강력한 보안 – 많은 보안 취약점을 줄일 수있는 디자인 패턴과 코딩 스타일을 식별하는 서적. (2017 년 가을 마지막 릴리스에 대한 지속적인 액세스, 공개)
• DevOps 보안 – 클라우드 서비스를보다 안전하게하기 위해 DevOps 및 보안 기술을 함께 적용하는 방법을 설명하는 책. (2018 년 XNUMX 월 최종 릴리스, 초기 공개 액세스)
• API 보안 이해 – API를 결합하는 방법과이를 보호하기 위해 OAuth 프로토콜을 사용하는 방법을 보여줌으로써 실제 세계에서 API 보안이 작동하는 방식에 대한 컨텍스트를 제공하는 무료 eBook 샘플러입니다.
• 작동중인 OAuth 2 – 클라이언트, 권한 부여 서버 및 리소스 서버의 관점에서 OAuth 2의 실제 사용 및 배포를 가르치는 서적.

편의성

• 사용 가능한 보안 과정 – 물론 사용 가능한 보안 과정. 보안과 유용성이 어떻게 교차하는지 찾는 사람들에게 아주 좋습니다.

빅 데이터

• 데이터 해킹 – IPython, Pandas 및 Scikit 사용 예 보안 데이터를 최대한 활용하는 방법을 배웁니다.
• 하둡 pcap – 패킷 캡처 (PCAP) 파일을 읽는 Hadoop 라이브러리.
• 워크 벤치 – 보안 연구 및 개발 팀을위한 확장 가능한 파이썬 프레임 워크.
• 오픈SOC – OpenSOC는 보안 모니터링 및 분석을위한 중앙 집중식 도구를 제공하기 위해 다양한 오픈 소스 빅 데이터 기술을 통합합니다.
• Apache Metron (인큐베이팅) – Metron은 보안 모니터링 및 분석을위한 중앙 집중식 도구를 제공하기 위해 다양한 오픈 소스 빅 데이터 기술을 통합합니다.
• 아파치 스팟 (인큐베이팅) – Apache Spot은 흐름 및 패킷 분석에 대한 통찰력을 활용하기위한 오픈 소스 소프트웨어입니다.
• 이진수 – Hadoop에서 확장 가능한 이진 데이터 추출. Pig를 통한 악성 코드 처리 및 분석, Django를 통한 탐색, Twitter 부트 스트랩 및 Elasticsearch.

개발자

    Pentesting에 대해 알아보세요.

• DevOps 보안 – 웹 애플리케이션 및 인프라 보안에 사용되는 최신 기술을 검토하는 DevOps의 보안 기술에 대한 책.

도서

문서

도구

치트 시트

침투 테스트를위한 도커 이미지

취약점

교육 과정

온라인 해킹 데모 사이트

실험실

SSL

보안 Ruby on Rails

결론

웹 애플리케이션 펜 테스팅 도구는 다양한 웹 기반 애플리케이션에 대한 침투 테스트를 수행하여 보안 결함을 찾고 사이버 범죄자로부터 애플리케이션을 보호하는 데 매우 중요합니다. 위에서 언급 한 웹 응용 프로그램 pentesting 도구는 다양한 수준의 pentesting 작업을 수행하고 각 공급 업체에보고하여 웹 응용 프로그램 취약점을 패치하는 최상위 목록입니다.

출처 : https://gbhackers.com/web-application-security-tools-resources/