Thứ Ba, 3 tháng 3, 2009

Tổng hợp Tools hay nhất cho nghiên cứu Security

1. Nikto

Có nhiều tính năng hơn một công cụ Web Scanner.
Là một phần mềm mã nguồn mở với tính năng Web Server Scanner, tính năng kiểm tra các máy chủ Web. Bao gồm hơn 3200 phương thức nhận diện các file, lỗi logic nguy hiểm, hỗ trợ hơn 625 phiên bản Web Server, bao gồm những lỗi trên 230 Web Server khác nhau. Tính năng Scan kết hợp với các Plugins luôn được update tự động đảm bảo đưa ra kết quả đầy đủ và chính xác nhất. Là một công cụ rất hữu hiệu nhưng không được update thường xuyên. Các lỗi mới nhất thường được update chậm và không thể tìm thấy.
Download : http://www.cirt.net/nikto/nikto-current.tar.gz
2. Paros Proxy

Một ứng dụng kiểm tra các lỗ hổng bảo mật trên cá ứng dụng web trên Proxy.
Một trang web trên nền Java thường kết hợp dạng proxy điều đó dẫn tới có nhiều lỗ hổng bảo mật. Phần mềm này hỗ trợ cho phép thay đổi/xem các gói tin HTTP/HTTPS và thay đổi chúng ở cookies. Bao gồm một tính năng Web Recorder, web spider, và công cụ Scanner cho phép kiểm tra các ứng dụng có khả năng bị tấn công như lỗi SQL Injection và Cross-site Scripting.
Download ở đây:http://sourceforge.net/project/showf...ease_id=438088
3. WebScarab.

Một khung hoạt động cho phép phân tích các ứng dụng giao tiếp sử dụng giao thức HTTP và HTTPS.
Một dạng rất đơn giản, WebScarab lưu các Request và Response cho phép tái sử dụng trong các phiên làm việc khác. WebScarab được thiết kế cho mọi người muốn xem hoạt động của các ứng dụng sử dụng giao thức HTTP(S), tuy nhiên công cụ này cũng cho phép phát triển và sửa những lỗi khó , hoặc cho phép nhận biết những lỗ hổng bảo mật trên các ứng dụng được thiết kế và triển khai.
Link download:
http://downloads.sourceforge.net/owa...0504-1631.jar?
4. WebInspect

Một công cụ tìm kiếm lỗ hổng trên ứng dụng Web rất hiệu quả.
SPI Dynamics’ WebInspect với những công cụ trợ giúp người dùng nhận dạng ra những lỗ hổng bảo mật trên ứng dụng Web. WebInspect có thể giúp kiểm tra các Web Server cấu hình đã chuẩn chưa, và cố gắng thử một vài dạng tấn công như Prameter Injection, Cross-site Scripting, Directory Traversal.
Link download:
http://download.spidynamics.com/prod...spectsetup.exe
5. Whisker/libwhisker

Một công cụ với thư viện mở rất phong phú giúp tìm kiếm các lỗ hổng bảo mật trên ứng dụng Web.
Libwhisker một tính năng của ngôn ngữ Perl – Module cho phép kiểm tra ứng dụng HTTP. Cung cấp những tính năng giúp kiểm tra máy chủ HTTP bằng cách lấy những sự hiểu biết về bảo mật, những nguy cơ tấn công để kiểm tra các lỗ hổng bảo mật. Whisker là một công cụ tìm kiếm lỗ hổng bảo mật sử dụng Libwhisker nhưng giờ có công cụ khác hiệu quả hơn đó là Nikto cũng sử dụng Libwhisker.
Link download :
http://www.wiretrip.net/rfp/libwhisk...current.tar.gz
6. Burpsuite

Kết hợp với ứng dụng để tấn công ứng dụng Web.
Burp cho phép một kẻ tấn công tích hợp nhiều thao tác bằng tay hay những phương pháp tự động để tấn công, phân tích và khai thác các lỗ hổng bảo mật trên ứng dụng Web.
Link download:
http://portswigger.net/suite/burpsuite_v1.1.zip

7. Wikto

Một tool dùng để đánh giá mức độ bảo mật của máy chủ Web.
Là một tools dùng để kiểm tra các thiếu sót khi cấu hình máy chủ Web Server. Cho phép cung cấp nhiều module khác nhau (nếu tích hợp thêm sẽ phải tốn phí), ví dụ như Back-End Function hay Google Integration. Wikto được viết bằng công nghệ .NET của Microsoft, để download mã nguồn của phần mềm này bạn phải đăng ký trên Web site.
Đăng kí: http://www.sensepost.com/research_register.html
Link download:
https://www.sensepost.com/restricted...2924-24997.zip
8. Acunetix Web Vulnerability Scanner.

Một phiên bản thương mại của chương trình tìm kiếm các lỗ hổng bảo mật trên các ứng dụng Web.
Acunetix WVS tự động kiểm tra các ứng dụng Web để tìm kiếm các lỗ hổng bảo mật như SQL Injection, hay Cross-Site Scripting, tìm kiếm những chính sách đối với mật khẩu đăng nhập cũng như các phương thức xác thực vào Web Site. Với giao diện đồ họa thân thiện, những Report đầy đủ cho phép bạn kiểm tra những vấn đề trên máy chủ và ứng dụng Web.
9. Watchfire AppScan

Một phiên bản thương mại của chương trình tìm kiếm các lỗ hổng bảo mật trên các ứng dụng Web.
AppScan cho phép kiểm tra những ứng dụng được phát triển trên nền web, dễ dàng kiểm tra và phát hiện lỗ hổng. AppScan kiểm tra nhiều lỗ hổng bảo mật, như Cross-Site Scripting, HTTP Response Spliting, và một vài dạng tấn công phổ biến khác, phát hiện các Trojan và Backdoor đang tồn tại trên máy chủ Web và nhiều hơn nữa.
Homepage: http://www-01.ibm.com/software/awdtools/appscan/
10. N-Stealth

Công cụ Web Scanner.
Là một phiên bản thương mại, ứng dụng cho việc tìm kiếm các lỗ hổng bảo mật trên máy chủ Web. Phần mềm tự động update thường xuyên hơn các phần mềm miễn phí như Whisker/libwhisker hay Nikto, nhưng nhiều lỗi mới trên Web cũng không phát hiện kịp thời và nhanh chóng. Phần mềm bao gồm hơn 30.000 lỗ hổng có thể Scan và khai thác trực tiếp, cùng với hàng tá những cập nhật hàng ngày. Dễ dàng triển khai kết hợp với những Scan lỗ hổng bảo mật khác như: Nessus, ISS Internet Scanner, Retina, SAINT và Sara, bao gồm các tính năng khác. N-sealth là phiên bản chỉ dành riêng cho Windows và không thể download Source Code.
Homepage: http://www.nstalker.com/products/fre...d-free-edition
Thêm 1 công cụ nữa hỗ trợ hack rất hay:
Một nhóm hacker vừa tiết lộ công cụ khiến cho cỗ máy tìm kiếm khổng lồ này lấy thông tin nhạy cảm như mật khẩu tài khoản, điểm yếu bảo mật trong các máy chủ...

Nhóm Cult of the Dead Cow (CDC) gọi đó là Goolad Scan, phần mềm dễ dùng đến nỗi người không hiểu biết gì về mã lập trình cũng có thể dò tìm những dữ liệu này để khai thác. Goolad Scan sẽ dụ người quản trị hệ thống website cài đặt nó để sau đó hacker "tung hoành". CDC cho biết họ đã thử nghiệm và thấy được những lỗ hổng ở các máy chủ tại Bắc Mỹ, châu Âu và Trung Đông.

CDC là nhóm "khét tiếng" từ 10 năm trước với "cửa sau" Back Orifice để kiểm soát bất hợp pháp máy tính chạy hệ điều hành Windows.
đây là link download phần mềm đó bài viết trên quản trị mạng đã sửa tên thành goolad thực ra là goolag goolag

http://xoc.ro/gS/Goolag_Scanner_1.0.0.40_Setup.exe
chữ ký

Không có nhận xét nào:

Đăng nhận xét

Bài đăng phổ biến