Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Tài nguyên & Công cụ Kiểm tra Thâm nhập Ứng dụng Web Quan trọng nhất dành cho Tin tặc và Chuyên gia Bảo mật

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 1258

 

Tài nguyên & Công cụ Kiểm tra Thâm nhập Ứng dụng Web Quan trọng nhất dành cho Tin tặc và Chuyên gia Bảo mật

Các công cụ làm ứng dụng web thường được các ngành bảo mật sử dụng nhiều hơn để kiểm tra các lỗ hổng của các ứng dụng dựa trên web. Tại đây bạn có thể tìm thấy danh sách Kiểm tra thâm nhập ứng dụng web toàn diện Pentesting ToolsWeb bao gồm Thực hiện hoạt động kiểm tra thâm nhập trong tất cả các Môi trường công ty.

Bạn có thể học cấp độ Thạc sĩ tốt nhất Kiểm tra xâm nhập và tấn công web Gói hoàn chỉnh từ nền tảng An ninh mạng Elearning hàng đầu.

Các công cụ làm ứng dụng web

Cơ quan

  • OWASP - Dự án Bảo mật Ứng dụng Web Mở (OWASP) là một tổ chức từ thiện phi lợi nhuận thứ 501 (c) (3) trên toàn thế giới tập trung vào việc cải thiện tính bảo mật của phần mềm.

Tường lửa ứng dụng web

  • ModSecurity - ModSecurity là một bộ công cụ để giám sát, ghi nhật ký và kiểm soát truy cập ứng dụng web theo thời gian thực.
  • NAXSI - NAXSI là mã nguồn mở, hiệu suất cao, bảo trì quy tắc thấp WAF cho NGINX, NAXSI có nghĩa là Nginx Anti Xss & Sql Injection.
  • sql_firewall Phần mở rộng tường lửa SQL cho PostgreSQL
  • ong sắt - IronBee là một dự án mã nguồn mở để xây dựng một Công cụ ứng dụng web phổ quát. IronBee như một khuôn khổ để phát triển một hệ thống bảo mật các ứng dụng web - một khuôn khổ để xây dựng tường lửa ứng dụng web (WAF).
  • indusface - Tường lửa ứng dụng web thời đại mới nhằm ngăn chặn các tác nhân đe dọa xâm nhập vào hệ thống, bằng cách phát hiện các lỗ hổng ứng dụng, phần mềm độc hại và các lỗ hổng logic.

Quét / Pentesting

  • sơ đồ vuông - sqlmap là một Công cụ Kiểm tra Thâm nhập Ứng dụng Web mã nguồn mở tự động hóa quá trình phát hiện và khai thác các lỗ hổng SQL injection và tiếp quản các máy chủ cơ sở dữ liệu. Nó đi kèm với một công cụ phát hiện mạnh mẽ, nhiều tính năng thích hợp cho người kiểm tra thâm nhập cuối cùng và một loạt các công tắc kéo dài từ việc lấy dấu cơ sở dữ liệu, lấy dữ liệu từ cơ sở dữ liệu đến truy cập hệ thống tệp cơ bản và thực hiện các lệnh trên hệ điều hành thông qua out- kết nối băng tần.
  • ZAP - Zed Attack Proxy (ZAP) là một công cụ ứng dụng web tích hợp dễ sử dụng để tìm lỗ hổng trong các ứng dụng web. Nó được thiết kế để được sử dụng bởi những người có nhiều kinh nghiệm bảo mật và như vậy là lý tưởng cho các nhà phát triển và người kiểm tra chức năng, những người mới bắt đầu thử nghiệm thâm nhập. ZAP cung cấp các máy quét tự động cũng như một bộ công cụ cho phép bạn tìm các lỗ hổng bảo mật theo cách thủ công.
  • Danh sách kiểm tra thử nghiệm OWASP v4 - Danh sách một số điều khiển để kiểm tra trong quá trình đánh giá lỗ hổng web. Phiên bản Markdown có thể được tìm thấy tại đây.
  • w3af - w3af là một Khung kiểm tra và Tấn công Ứng dụng Web. Mục tiêu của dự án là tạo ra một khuôn khổ để giúp bạn bảo mật các ứng dụng web của mình bằng cách tìm và khai thác tất cả các lỗ hổng của ứng dụng web.
  • điều tra lại - Recon-ng là một khung công tác Trinh sát Web đầy đủ tính năng được viết bằng Python. Recon-ng có giao diện tương tự như Metasploit Framework.
  • TFP - Khung kiểm tra thâm nhập (PTF) là một cách để hỗ trợ mô-đun cho các công cụ cập nhật.
  • Khỉ lây nhiễm - Một công cụ kiểm tra bút bán tự động cho các mạng lập bản đồ / kiểm tra bút. Mô phỏng một kẻ tấn công con người.
  • ACSTIS - ACSTIS giúp bạn quét các ứng dụng web nhất định cho AngularJS Client-Side Template Injection (đôi khi được gọi là CSTI, thoát hộp cát hoặc bỏ qua hộp cát). Nó hỗ trợ quét một yêu cầu duy nhất nhưng cũng thu thập dữ liệu toàn bộ ứng dụng web cho lỗ hổng AngularJS CSTI.
  • Hướng dẫn về Metaspolit

Ứng dụng Runtime Tự bảo vệ

  • vuông - Sqreen là một giải pháp Tự bảo vệ Ứng dụng Thời gian chạy (RASP) dành cho các nhóm phần mềm. Một công cụ tác nhân trong ứng dụng và giám sát ứng dụng. Các hoạt động đáng ngờ của người dùng được báo cáo và các cuộc tấn công bị chặn trong thời gian chạy mà không cần sửa đổi mã hoặc chuyển hướng lưu lượng.

Phát triển

  • Bảo mật theo thiết kế - Sách xác định các mẫu thiết kế và kiểu mã hóa ít khả năng xảy ra nhiều lỗ hổng bảo mật hơn. (truy cập sớm, xuất bản liên tục, phát hành cuối cùng vào mùa thu năm 2017)
  • Bảo mật DevOps - Sách khám phá cách áp dụng các kỹ thuật DevOps và Bảo mật cùng nhau để làm cho các dịch vụ đám mây an toàn hơn. (truy cập sớm, xuất bản liên tục, phát hành cuối cùng vào tháng 2018 năm XNUMX)
  • Hiểu về bảo mật API - trình lấy mẫu sách điện tử miễn phí cung cấp một số ngữ cảnh về cách bảo mật API hoạt động trong thế giới thực bằng cách hiển thị cách các API được kết hợp với nhau và cách giao thức OAuth có thể được sử dụng để bảo vệ chúng.
  • OAuth 2 đang hoạt động - Sách hướng dẫn bạn cách sử dụng và triển khai thực tế của OAuth 2 từ góc độ của máy khách, máy chủ ủy quyền và máy chủ tài nguyên.

Khả năng sử dụng

  • Khóa học bảo mật hữu dụng - Khóa học An ninh hữu dụng tại Coursera. Khá tốt cho những người đang tìm kiếm cách thức giao thoa giữa bảo mật và khả năng sử dụng.

Dữ Liệu Lớn.

  • dữ liệu_hacking - Ví dụ về việc sử dụng IPython, Pandas và Scikit Learn để tận dụng tối đa dữ liệu bảo mật của bạn.
  • hadoop-pcap - Thư viện Hadoop để đọc các tệp tin bắt gói (PCAP).
  • Workbench - Một khuôn khổ python có thể mở rộng cho các nhóm nghiên cứu và phát triển bảo mật.
  • OpenSOC - OpenSOC tích hợp nhiều công nghệ dữ liệu lớn mã nguồn mở để cung cấp một công cụ tập trung để giám sát và phân tích bảo mật.
  • Apache Metron (ủ) - Metron tích hợp nhiều công nghệ dữ liệu lớn mã nguồn mở để cung cấp một công cụ tập trung để giám sát và phân tích bảo mật.
  • Apache Spot (ủ) - Apache Spot là phần mềm mã nguồn mở để tận dụng thông tin chi tiết từ phân tích luồng và gói.
  • nhị phân - Khai thác dữ liệu nhị phân có thể mở rộng trong Hadoop. Xử lý phần mềm độc hại và phân tích trên Pig, Khám phá thông qua Django, Twitter Bootstrap và Elasticsearch.

DevOps

    tìm hiểu về Pentesting.

  • Bảo mật DevOps - Một cuốn sách về Kỹ thuật bảo mật dành cho DevOps đánh giá các phương pháp hiện đại được sử dụng trong việc bảo mật các ứng dụng web và cơ sở hạ tầng của chúng.

Sách

Tài liệu

CÔNG CỤ

Bảng gian lận

Hình ảnh Docker để Kiểm tra thâm nhập

Lỗ hổng

Khóa học

Trang web trình diễn lấy cắp dữ liệu trực tuyến

Phòng thí nghiệm

SSL

Bảo mật Ruby on Rails

Kết luận

Các công cụ dồn nén ứng dụng web là rất cần thiết để thực hiện kiểm tra thâm nhập trên các ứng dụng dựa trên web khác nhau để tìm ra các lỗi bảo mật và bảo vệ ứng dụng khỏi tội phạm mạng. có sẵn nhiều Công cụ dồn nén khác nhau, các Công cụ dồn nén ứng dụng web được đề cập ở trên là danh sách hàng đầu để thực hiện các hoạt động dồn nén ở mức độ khác nhau và báo cáo cho nhà cung cấp tương ứng để vá các lỗ hổng ứng dụng web.

Nguồn: https://gbhackers.com/web-application-security-tools-resources/

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.