Un interessante rapporto di Symantec rivela che 1 sito web su 10 aveva uno o più codici dannosi.
E se usate WordPress, un altro rapporto di SUCURI mostra che il 49% dei siti web scansionati erano obsoleti.
Come proprietario di un’applicazione web, come vi assicurate che il vostro sito sia protetto dalle minacce online? Non perde informazioni sensibili?
Se state usando una soluzione di sicurezza basata sul cloud, allora molto probabilmente, la scansione regolare delle vulnerabilità fa parte del piano. Tuttavia, se non è così, allora dovete eseguire una scansione di routine e intraprendere le azioni necessarie per mitigare i rischi.
Ci sono due tipi di scanner.
Commerciale – vi dà la possibilità di automatizzare la scansione per la sicurezza continua, la segnalazione, l’allarme, le istruzioni dettagliate per la mitigazione, ecc. Alcuni dei nomi noti nel settore sono:
- Acunetix
- Detectify
- Qualys
Open Source/Free – è possibile scaricare ed eseguire una scansione di sicurezza su richiesta. Non tutti saranno in grado di coprire una vasta gamma di vulnerabilità come quelli commerciali.
Controlliamo i seguenti scanner di vulnerabilità web open source.
Arachni
Arachni, uno scanner di sicurezza ad alte prestazioni costruito sul framework Ruby per applicazioni web moderne. È disponibile in un binario portatile per Mac, Windows & Linux.
Non solo sito web statico o CMS di base, ma Arachni è in grado di fare le seguenti impronte digitali di piattaforma. Esegue controlli attivi & passivi, entrambi.
- Windows, Solaris, Linux, BSD, Unix
- Nginx, Apache, Tomcat, IIS, Jetty
- Java, Ruby, Python, ASP, PHP
- Django, Rails, CherryPy, CakePHP, ASP.NET MVC, Symfony
Alcune delle vulnerabilità rilevate sono:
- NoSQL/Blind/SQL/Code/LDAP/Command/XPath injection
- Cross-site request forgery
- Path traversal
- Local/Remote File inclusions
- Response splitting
- Cross-site scripting
- Reindirizzamenti DOM non validati
- Divulgazione del codice sorgente
Hai la possibilità di prendere un rapporto di audit in HTML, XML, testo, JSON, YAML, ecc.
Arachni ti permette di estendere la scansione al livello successivo sfruttando i plugin. Controlla le caratteristiche complete di Arachni e scaricalo per provarlo.
XssPy
Uno scanner di vulnerabilità XSS (cross-site scripting) basato su python è usato da molte organizzazioni, incluse Microsoft, Stanford, Motorola, Informatica, ecc.
XssPy di Faizan Ahmad è uno strumento intelligente. Fa una cosa abbastanza bene. Invece di controllare solo la home page o una determinata pagina, controlla l’intero link sui siti web.
XssPy controlla anche il sottodominio, quindi nulla è lasciato fuori.
w3af
w3af, un progetto open-source iniziato alla fine del 2006, è alimentato da Python e disponibile su Linux e Windows OS. w3af è in grado di rilevare più di 200 vulnerabilità, tra cui OWASP top 10.
w3af permette di iniettare payloads in headers, URL, cookies, query-string, post-data, ecc. per sfruttare l’applicazione web per l’auditing. Supporta vari metodi di registrazione per la segnalazione. Ex:
Ex:
- CSV
- HTML
- Console
- Text
- XML
È costruito su un’architettura a plugin, e puoi controllare tutti i plugin disponibili qui.
Nikto
Un progetto open-source sponsorizzato da Netsparker mira a trovare la misconfigurazione del server web, i plugin e le vulnerabilità del web. Nikto esegue un test completo contro oltre 6500 elementi di rischio.
Supporta proxy HTTP, SSL, con o autenticazione NTLM, ecc. e può definire il tempo massimo di esecuzione per la scansione del target.
Nikto è disponibile anche in Kali Linux.
Sembra promettente per la soluzione intranet per trovare i rischi di sicurezza dei server web.
Wfuzz
Wfuzz (The Web Fuzzer) è uno strumento di valutazione delle applicazioni per i test di penetrazione. È possibile eseguire il fuzzing dei dati nella richiesta HTTP per qualsiasi campo per sfruttare l’applicazione web e controllare le applicazioni web.
Wfuzz richiede che Python sia installato sul computer dove si vuole eseguire la scansione. Ha un’eccellente documentazione per iniziare.
OWASP ZAP
ZAP (Zet Attack Proxy) è uno dei famosi strumenti di penetration testing che è attivamente aggiornato da centinaia di volontari in tutto il mondo.
È uno strumento multipiattaforma basato su Java che può funzionare anche su Raspberry Pi. ZIP si colloca tra un browser e un’applicazione web per intercettare e ispezionare i messaggi
Sono da menzionare alcune delle seguenti funzionalità di ZAP.
- Fuzzer
- Scanner passivo automatizzato &
- Supporta diversi linguaggi di scripting
- Forced browsing
Si consiglia vivamente di controllare i video tutorial di OWASP ZAP per iniziare.
Wapiti
Wapiti analizza le pagine web di un dato obiettivo e cerca script e moduli per iniettare i dati per vedere se è vulnerabile. Non è un controllo di sicurezza del codice sorgente; invece, esegue scansioni black-box.
Supporta i metodi GET e POST HTTP, proxy HTTP e HTTPS, diverse autenticazioni, ecc.
Vega
Vega è sviluppato da Subgraph, uno strumento multi-piattaforma supportato scritto in Java per trovare XSS, SQLi, RFI, e molte altre vulnerabilità.
Vega ha una bella interfaccia grafica ed è in grado di eseguire una scansione automatica accedendo a un’applicazione con una determinata credenziale.
Se sei uno sviluppatore, puoi sfruttare le API di vega per creare nuovi moduli di attacco.
SQLmap
Come si può intuire dal nome, con l’aiuto di sqlmap, è possibile eseguire test di penetrazione su un database per trovare falle.
Funziona con Python 2.6 o 2.7 su qualsiasi sistema operativo. Se state cercando di trovare SQL injection e sfruttare il database, allora sqlmap sarebbe utile.
Grabber
È un piccolo strumento basato su Python e fa alcune cose abbastanza bene. Alcune delle caratteristiche di Grabber sono:
- Analizzatore di codice sorgente JavaScript
- Cross-site scripting, SQL injection, Blind SQL injection
- Test di applicazioniPH utilizzando PHP-SAT
Golismero
Un framework per gestire ed eseguire alcuni dei più popolari strumenti di sicurezza come Wfuzz, DNS recon, sqlmap, OpenVas, robot analyzer, ecc.).
Golismero è intelligente; può consolidare i feedback dei test di altri strumenti e fonderli per mostrare un unico risultato.
OWASP Xenotix XSS
Xenotix XSS di OWASP è un framework avanzato per trovare e sfruttare il cross-site scripting. Ha tre fuzzer intelligenti integrati per una scansione veloce e risultati migliori.
Ha centinaia di caratteristiche, e puoi controllare tutte quelle elencate qui.