جلسه 26: معرفی ابزارهای اتوماسیون در تست امنیت
جلسه 26: معرفی ابزارهای اتوماسیون در تست امنیت
نگهداری امن و محرمانه اطلاعات مشتریان از اولویت بالایی در تمامی سازمان ها و شرکت ها برخوردار است. متأسفانه، روزانه آسیب پذیری های جدیدی کشف شده و همگامی نگهداشت امن سازمان در برابر آن ها، تقریباً به امری محال تبدیل شده است. این آسیب پذیری ها در تار و پود زیرساخت IT قرار گرفته و گاهاً به مدت بسیار طولانی کشف نشده باقی می مانند. اگرچه راه های بسیاری برای امن سازی سیستم ها و اپلیکیشن ها در برابر آسیب پذیری ها وجود دارد، اما تنها راه کسب اطمینان واقعی از آن، تست امنیتی بستر IT سازمان به منظور یافتن این حفره های امنیتی است.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده گرفته و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند. راهکار “تست امنیتی” امکان تکرار حملات بر روی سیستم ها، دستگاه ها و اپلیکیشن ها را به منظور آشکارسازی زنجیره ای از مسیرهای باز و آسیب پذیر بر روی سیستم ها و داده های حساس و حیاتی سازمان، فراهم می آورد.
خلاصه جلسه قبل:
در جلسه گذشته به بررسی اجرای پرونده مخرب در تست امنیت پرداختیم. این جلسه آخرین جلسه از این دوره آموزشی خواهد بود و قرار است که در آن به آشنایی با ابزارهای اتوماسیون در تست امنیت پردازیم.
معرفی ابزارهای اتوماسیون در تست امنیت
ابزارهای مختلفی برای انجام تست امنیتی یک برنامه موجود است اما ابزارهای معدودی وجود دارند که می توانند آزمایشات امنیتی end-to-end را انجام دهند و بعضی از ابزار ها نیز اختصاص به نوع خاصی از نقص در سیستم دارند. این ابزارها به پنج دسته تقسیم می شوند:
- ابزارهای منبع باز در تست امنیت
- مجموعه ابزار خاص در تست امنیت
- ابزار تست تجاری جعبه سیاه
- آنالایزر کد منبع رایگان
- آنالایزرهای کد منبع تجاری
1) ابزارهای منبع باز در تست امنیت
در جدول زیر برخی از ابزارهای تست امنیتی منبع باز در تست امنیت را معرفی کرده ایم.
شماره | نام ابزار |
|---|---|
۱ | Zed Attack Proxy: اسکنرهای خودکار و ابزارهای دیگر را برای ردیابی نقص امنیتی فراهم می کند..https://www.owasp.org |
۲ | OWASP WebScarab: در جاوا برای تجزیه و تحلیل درخواستهای Http و Https توسعه داده شده است..https://www.owasp.org/index.php |
۳ | OWASP Mantra: فریم ورک تست امنیتی چند زبانه را پشتیبانی می کند..https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
۴ | Burp Proxy: ابزاری برای رهگیری و Modyfying ترافیک و کار با گواهی های سفارشی SSL..https://www.portswigger.net/Burp/ |
۵ | Firefox Tamper Data: کمک می کند از tamperdata برای مشاهده و تغییر هدرهای HTTP/HTTPS و پارامترهای ارسال استفاده کنید..https://addons.mozilla.org/en-US |
۶ | Firefox Web Developer Tools: برنامه Web Developer ابزارهای مختلف توسعه دهنده وب را به مرورگر اضافه می کند..https://addons.mozilla.org/en-US/firefox |
۷ | Cookie Editor: به کاربر اجازه می دهد کوکی ها را اضافه، حذف، ویرایش، جستجو، محافظت و مسدود کردن کند..https://chrome.google.com/webstore |
2) مجموعه ابزار خاص در تست امنیت
ابزارهای زیر می توانند در تشخیص نوع خاصی از آسیب پذیری در سیستم کمک کنند.
شماره | لینک |
|---|---|
۱ | DOMinator Pro − Testing for DOM XSShttps://dominator.mindedsecurity.com/ |
۲ | OWASP SQLiX − SQL Injectionhttps://www.owasp.org/index.php |
۳ | Sqlninja − SQL Injectionhttp://sqlninja.sourceforge.net/ |
۴ | SQLInjector − SQL Injectionhttps://sourceforge.net/projects/safe3si/ |
۵ | sqlpowerinjector − SQL Injectionhttp://www.sqlpowerinjector.com/ |
۶ | SSL Digger − Testing SSLhttps://www.mcafee.com/us/downloads/free-tools |
۷ | THC-Hydra − Brute Force Passwordhttps://www.thc.org/thc-hydra/ |
۸ | Brutus − Brute Force Passwordhttp://www.hoobie.net/brutus/ |
۹ | Ncat − Brute Force Passwordhttps://nmap.org/ncat/ |
۱۰ | OllyDbg − Testing Buffer Overflowhttp://www.ollydbg.de/ |
۱۱ | Spike − Testing Buffer Overflowhttps://www.immunitysec.com/downloads/SPIKE2.9.tgz |
۱۲ | Metasploit − Testing Buffer Overflowhttps://www.metasploit.com/ |
3) ابزار تست تجاری جعبه سیاه
در ادامه برخی از ابزارهای آزمایش جعبه سیاه آورده شده است که به ما کمک می کنند در برنامه هایی که آن ها را توسعه می دهیم، مشکلات امنیتی را بیابیم.
شماره | ابزار |
|---|---|
۱ | NGSSQuirreLhttps://www.nccgroup.com/en/our-services |
۲ | IBM AppScanhttps://www-01.ibm.com/software/awdtools/appscan/ |
۳ | Acunetix Web Vulnerability Scannerhttps://www.acunetix.com/ |
۴ | NTOSpiderhttps://www.ntobjectives.com/products/ntospider.php |
۵ | SOAP UIhttps://www.soapui.org/Security/getting-started.html |
۶ | Netsparkerhttps://www.mavitunasecurity.com/netsparker/ |
۷ | HP WebInspecthttp://www.hpenterprisesecurity.com/products |
4) آنالایزر کد منبع رایگان
در ادامه آشنایی با ابزارهای اتوماسیون در تست امنیت شما با ابزارهایی که به کمک آن ها می توانید کدهای منبع را به رایگان آنالیز کنید را معرفی کرده ایم.
شماره | ابزار |
|---|---|
۱ | OWASP Orizonhttps://www.owasp.org/index.php |
۲ | OWASP O2https://www.owasp.org/index.php/OWASP_O2_Platform |
۳ | SearchDiggityhttps://www.bishopfox.com/resources/tools |
۴ | FXCOPhttps://www.owasp.org/index.php/FxCop |
۵ | Splinthttp://splint.org/ |
۶ | Boonhttps://www.cs.berkeley.edu/~daw/boon/ |
۷ | W3afhttp://w3af.org/ |
۸ | FlawFinderhttps://www.dwheeler.com/flawfinder/ |
۹ | FindBugshttp://findbugs.sourceforge.net/ |
5) آنالایزرهای کد منبع تجاری
به عنوان آخرین مطلب در آشنایی با ابزارهای اتوماسیون در تست امنیت بیایید با ابزارهای زیر نیز آشنا شویم؛ این ابزارها نقاط ضعف موجود در کد منبع را که مستعد آسیب پذیری هستند بررسی، کشف و گزارش می کنند.
شماره | ابزار |
|---|---|
۱ | Parasoft C/C++ testhttps://www.parasoft.com/cpptest/ |
۲ | HP Fortifyhttp://www.hpenterprisesecurity.com/products |
۳ | Appscanhttp://www-01.ibm.com/software/rational/products |
۴ | Veracodehttps://www.veracode.com |
۵ | Armorize CodeSecurehttp://www.armorize.com/codesecure/ |
۶ | GrammaTechhttps://www.grammatech.com/ |
سخن پایانی
در این جلسه به آشنایی با ابزارهای اتوماسیون در تست امنیت پرداختیم و ده ها مورد از مهم ترین و کاربردی ترین ابزارهایی که می توانید به کمک آن ها تست امیت را انجام داده و امنیت وبسایت خود را بسنحید را معرفی کردیم.
به پایان این دوره آموزشی رسیده ایم اما یادگیری همچنان ادامه دارد. لطفا نظرات خود در رابطه با این مقاله را با ما به اشتراک بگذارید.
موفق و سر سبز باشید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.