Тема: Обзор Сканеров Безопасности
Показать сообщение отдельно

Web-ориентированные сканеры
  #3  
Старый 29.04.2006, 21:13
Аватар для Elekt
Elekt
Banned
Регистрация: 05.12.2005
Сообщений: 982
Провел на форуме:
4839935

Репутация: 1202


Отправить сообщение для Elekt с помощью ICQ
По умолчанию Web-ориентированные сканеры
Ну, теперь отвлечемся от монструозных продуктов и гигантских цен за их мега-способности.

Хех, когда надо просканить сайтик, можно воспользоваться небольшим веб-сканером -- он и бесплатный и некоторые из них написаны нашими соотечественниками.



Nikto

- Linux\Windows
- FREE
- WEB

Знаменитый сканнер уязвимостей Web-сервера, поддерживающий SSL-соединение и работу через прокси.

В базе программе собрана информация о более чем 3000 опасных уязвимостях в CGI-сценариях и ошибках
непосредственно HTTP-серверов (стандартные пароли, открытые для чтения файлы конфигурации и т.п.).

С помощью подключаемых модулей ее функциональность становится еще шире, поэтому не поленись посмотреть в папку plugins.
Вообще складывается впечатление, что разработчики Nikto предусмотрели абсолютно все.
Для полноценной работы Nikto требуется свежая версия Perl’а, модули NET::SSLeay, LibWhisker,
а также OpenSSL (в случае винды — модуль Net::SSL), если требуется поддержка SSL-соединений.

Очень мощный инструмент, способный эффективно сканировать удаленные хосты и проводить сложные тесты безопасности:

- В базе программы имеется информация о более чем 3200 уязвимых веб-сценариев, а также 625 веб-демонов.
- Инфа об уязвимостях оформляется в виде специальных плагинов, что позволяет расширять базу программы без апдейта самого приложения.
- Nikto поддерживает автоматические обновления, поэтому за новыми плагинами даже не придется вручную вылезать в Сеть.
- Анти-IDS методы — это еще одна фенька Nikto.
Опытные администраторы нередко устанавливаются системы обнаружения вторжения и таким образом обламывают разного рода сканирования.
В отличие от других сканнеров, использующих Perl-библиотеку Libwhisker, Nikto не определяется IDS-система.
- В ядре программы заложены различные stealth-методы, позволяющие замаскировать свою работу под обычные пользовательские запросы.
- Если возможно, Nikto самостоятельно определит директорию с CGI-скриптами и проверит ее на наличие бажные сценарии.
- Полноценная поддержка прокси (с возможности авторизации), а также SSL-соединения при правильном подходе гарантируют твою безопасность.
- Если веб-сайт требует авторизацию, Nikto легко сможет пройти ее (естественно, зная корректные имя пользователя и пароль).
- Если веб-демон не найден на стандартном 80 порту, Nikto попробует найти его на любом другом.
- Для увеличения скорости работы, поддерживается интеграция с nmap’ом.
------------------------------
Скачать:
http://l0t3k.net/tools/Vulnerability...current.tar.gz
------------------------------



Wikto

- Windows
- FREE
- WEB

Сканнер безопасности WEB серверов для MS .NET окружения.
В отличие от своего ближайшего родственника - Nikto - обладает рядом полезных функций.
Одной из таких функций является использование Google для анализа поисковых запросов.
------------------------------
Скачать:
http://www.sensepost.com/research/wikto/
------------------------------



Jane-Jane beta

- Linux\Windows
- FREE
- WEB

"Новый релиз от нашего проекта - web-сканнер уязвимостей, работающий, как скрипт, написанный на Perl.

Он поможет вам проверить ваши приложения на внедрение Java Script, выполнение сиквельных иньекций.

В скором времени будет добавлен лист CGI уязвимостей и багов, связанных с межсайтовым скриптингом и усилен AI проверки на них."

Использование: perl jane.pl <сервер> <директория> <страница> <опция>

Автор: Skvoznoy | Категория: Релизы проекта
------------------------------
Скачать:
http://sec-123.narod.ru/jane-gui.txt
------------------------------



Httprint 3.*

- Linux\Windows
- FREE
- WEB

Httprint эффективно идентифицирует тип веб-сервера удаленной машины, опирается на уникальные сигнатуры, которые присуще каждой конкретной программе-серверу.
Причем база программы не ограничивается сигнатурами для банальных Apache, ISS и другого популярного софта.
В нее также включена такая экзотика, как "отпечатки пальцев" веб-серверов, интегрированных в современные роутеры, ADSL-модемы, беспроводные точки доступа и т.д.
Использование сервером защищенных SSL-соединений также не помеха для Httprint.
Утилита автоматически распознает использование шифрования и продолжит сканирование.
Более того, она даже соберет всевозможную информацию об SSL, в том числе данные по сертификатам и список используемых шифров.
Для увеличения скорости сканирования активно применяется работа в несколько потоков.
Правда, функция multi-threading реализована пока только для линуксовой и виндовых версий программы.
Отчеты о проведенном сканировании можно легко представить в HTML, CSV и XML форматах.
------------------------------
Скачать:
http://www.webappsec.org/lists/webse.../msg00068.html
------------------------------



WSFuzzer

- Linux
- FREE
- WEB

WSFuzzer – программа для пент теста Web сервисов (SOAP).
Программа использует комбинацию статистических сигнатур и динамически сгенерированные векторы нападений.
Содержит методы обхода IDS.
------------------------------
Скачать:
http://sourceforge.net/project/showf...roup_id=155697
------------------------------



WAPT

- Windows
- FREE
- WEB

Инструмент для испытания октазоустойчивости сервера с помощью эмулирования большой нагрузки.
WAPT может моделировать множественных пользователей для каждого сценария, изменять задержки между запросами и динамически генерировать испытательные параметры.
------------------------------
Скачать:
http://www.wapt.com/
------------------------------



Sleuth

- Windows
- FREE
- WEB

Sleuth - инструмент, используемый для диагностики различных проблем в защите Web приложений.
Позволяет определять большинство типов уязвимостей, характерных для Web приложений.
------------------------------
Скачать:
http://www.sandsprite.com/Sleuth/
------------------------------



SIFT Web Method Search Tool

- Windows
- FREE
- WEB

Поможет найти админ-панель, спрятанную в недрах сайта, после чего подобрать пароль к нужному аккаунту, используя гибридную брутфорс атаку по словарю.
------------------------------
Скачать:
http://www.sift.com.au
------------------------------



RPVS(Remote PHP Vulnerability Scanner)

- Windows
- FREE
- WEB

Программа способна находить такие уязвимости: XSS, SQL-Injection,
уязвимости подключения файлов функциями include() и fopen() и раскрытия инсталляционного пути.
Программа работает как с GET, так и POST запросами.
Имеет несколько режимов работы и отличную скорость сканирования.
------------------------------
Скачать:
http://81.57.125.106/~slythers/rpvsinstall.exe
http://81.57.125.106/~slythers/rpvsv1.3-src.rar
------------------------------



Paros

- Linux\Windows
- FREE
- WEB

Позволяет легко увидеть и на лету изменять любые параметры, которые передаются Web-приложению.
Более того, при помощи функции сканирования каждый может получить структуру удаленного сайта.
А специальные инструменты позволяют проверить удаленный хост на предмет наличия XSS и SQL injection,
переполнения буфера и прочих распространенных уязвимостей.
------------------------------
Скачать:
http://sourceforge.net/project/showf...group_id=84378
------------------------------



N-Stalker Web Application Security Scanner

- Windows
- Shareware
- WEB

Новый коммерческий продукт. Это сканнер безопасности находит уязвимости и покажет пути их исправления.
------------------------------
Скачать:
http://www.nstalker.com/
------------------------------



IntelliTamper

- Windows
- FREE
- WEB

Сканер предназначен для определения веб-директорий и их содержимого.
------------------------------
Скачать:
http://www.intellitamper.com/download.php
------------------------------




SMART

- Windows\Linux
- FREE
- CGI-cканер

По некоторым отзывам - лучший cgi-сканер. Написан на перле - потому кросплатформенный.
Внимание! сканер чувствителен к версии ActivePerl. Проверен на ActivePerl-5.8.6.811-MSWin32-x86-122208.msi
------------------------------
Скачать:
http://sec-123.narod.ru/smart.rar
http://84.52.71.17/Kcg5nnA3J8ezpJsWxi1i/smart.rar
------------------------------

Поиск по форуму:

Обсуждение:
CGI-cканер - SMART!

Проблемы:
Сканер Smart

Для Member's of AntiChat:

Обсуждение:
Сканер уязвимостей SMART от Maxx-а

Скан-лист уязвимостей:
Скан-лист



Парочка сканеров от ru24-team

ru24_fire

- Linux\Windows
- FREE
- WEB

Сканит хосты на WEB-уязвимости.
Использует сигнатуры из базы.
------------------------------
Скачать:
http://www.ru24-team.net/releases/ru24_fire.rar
------------------------------

==========================================

ru24_tools

- Windows
- FREE
- WEB

Целый набор самых необходимых утилит.
WEB-сканер, использующий сигнатуры базы.
Поддержка прокси.
------------------------------
Скачать:
http://www.ru24-team.net/releases/ru24_tools-0.95.rar
------------------------------



XSS Tester

- Windows
- FREE
- XSS-vulnerable

Тестер почтовых веб-сервисов на XSS-уязвимости.
Уникальная отечественая разработка от LittleLamer =]
пАддержим отечественного производителя!
------------------------------
Скачать:
http://xsstest.narod.ru/XSSTest1_0.rar
------------------------------

Поиск по форуму:

Зацените плиз мой XSS Tester



источник: internet
Последний раз редактировалось Elekt; 20.01.2007 в 01:23..