۱۶
اردیبهشت

جلسه ۲۶ : آشنایی با ابزارهای اتوماسیون در تست امنیت

دسته‌بندی‌ها :

جزئیات
نوع محتواآموزشی

سلام به همه پی وی لرنی های عزیز!
به دوره آموزش تست امنیت Security Testing خوش آمدید.
امروزه به صورت گسترده ای از اینترنت و دنیای وب استفاده می شود و جهان ما اکنون یک جهان آنلاین است که در آن بسیاری از مشاغل به سمت اینترنتی شدن پیش می روند. امروزه ما با پدیده های گسترده خرید و فروش در بستر اینترنت رو به رو هستیم؛ نمونه جهانی آن سایت آمازون است و نمونه ایرانی آن هم سایت دیجیکالا است.
خطرات و تهدید های زیادی در اینترنت وجود دارد؛ از هکر هایی که سعی می کنند از طریق روش های گوناگون از جمله فیشینگ اطلاعات کارت بانکی شما را سرقت کنند تا بد افزار هایی که قصد اختلال در سیستم کامپیوتری شما را دارند و البته ویروس های کامپیوتری و تروجان ها و غیره و غیره.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند.
در جلسه گذشته به بررسی اجرای پرونده مخرب در تست امنیت پرداختیم. این جلسه آخرین جلسه از این دوره آموزشی خواهد بود و قرار است که در آن به آشنایی با ابزارهای اتوماسیون در تست امنیت پردازیم.

فهرست

آشنایی با ابزارهای اتوماسیون در تست امنیت

ابزارهای مختلفی برای انجام تست امنیتی یک برنامه موجود است اما ابزارهای معدودی وجود دارند که می توانند آزمایشات امنیتی end-to-end را انجام دهند و بعضی از ابزار ها نیز اختصاص به نوع خاصی از نقص در سیستم دارند.

ابزارهای منبع باز در تست امنیت

در جدول زیر برخی از ابزارهای تست امنیتی منبع باز در تست امنیت را معرفی کرده ایم.

شماره	نام ابزار
۱	Zed Attack Proxy اسکنرهای خودکار و ابزارهای دیگر را برای ردیابی نقص امنیتی فراهم می کند. https://www.owasp.org
۲	OWASP WebScarab در جاوا برای تجزیه و تحلیل درخواستهای Http و Https توسعه داده شده است. https://www.owasp.org/index.php
۳	OWASP Mantra فریم ورک تست امنیتی چند زبانه را پشتیبانی می کند. https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework
۴	Burp Proxy ابزاری برای رهگیری و Modyfying ترافیک و کار با گواهی های سفارشی SSL. https://www.portswigger.net/Burp/
۵	Firefox Tamper Data کمک می کند از tamperdata برای مشاهده و تغییر هدرهای HTTP / HTTPS و پارامترهای ارسال استفاده کنید. https://addons.mozilla.org/en-US
۶	Firefox Web Developer Tools برنامه Web Developer ابزارهای مختلف توسعه دهنده وب را به مرورگر اضافه می کند. https://addons.mozilla.org/en-US/firefox
۷	Cookie Editor به کاربر اجازه می دهد کوکی ها را اضافه، حذف، ویرایش، جستجو، محافظت و مسدود کردن کند. https://chrome.google.com/webstore

مجموعه ابزار خاص در تست امنیت

ابزارهای زیر می توانند در تشخیص نوع خاصی از آسیب پذیری در سیستم کمک کنند.

شماره	لینک
۱	DOMinator Pro − Testing for DOM XSS https://dominator.mindedsecurity.com/
۲	OWASP SQLiX − SQL Injection https://www.owasp.org/index.php
۳	Sqlninja − SQL Injection http://sqlninja.sourceforge.net/
۴	SQLInjector − SQL Injection https://sourceforge.net/projects/safe3si/
۵	sqlpowerinjector − SQL Injection http://www.sqlpowerinjector.com/
۶	SSL Digger − Testing SSL https://www.mcafee.com/us/downloads/free-tools
۷	THC-Hydra − Brute Force Password https://www.thc.org/thc-hydra/
۸	Brutus − Brute Force Password http://www.hoobie.net/brutus/
۹	Ncat − Brute Force Password https://nmap.org/ncat/
۱۰	OllyDbg − Testing Buffer Overflow http://www.ollydbg.de/
۱۱	Spike − Testing Buffer Overflow https://www.immunitysec.com/downloads/SPIKE2.9.tgz
۱۲	Metasploit − Testing Buffer Overflow https://www.metasploit.com/

ابزار تست تجاری جعبه سیاه

در ادامه برخی از ابزارهای آزمایش جعبه سیاه آورده شده است که به ما کمک می کنند در برنامه هایی که آن ها را توسعه می دهیم، مشکلات امنیتی را بیابیم.

شماره	ابزار
۱	NGSSQuirreL https://www.nccgroup.com/en/our-services
۲	IBM AppScan https://www-01.ibm.com/software/awdtools/appscan/
۳	Acunetix Web Vulnerability Scanner https://www.acunetix.com/
۴	NTOSpider https://www.ntobjectives.com/products/ntospider.php
۵	SOAP UI https://www.soapui.org/Security/getting-started.html
۶	Netsparker https://www.mavitunasecurity.com/netsparker/
۷	HP WebInspect http://www.hpenterprisesecurity.com/products

آنالایزر کد منبع رایگان

در ادامه آشنایی با ابزارهای اتوماسیون در تست امنیت شما با ابزارهایی که به کمک آن ها می توانید کدهای منبع را به رایگان آنالیز کنید را معرفی کرده ایم.

شماره	ابزار
۱	OWASP Orizon https://www.owasp.org/index.php
۲	OWASP O2 https://www.owasp.org/index.php/OWASP_O2_Platform
۳	SearchDiggity https://www.bishopfox.com/resources/tools
۴	FXCOP https://www.owasp.org/index.php/FxCop
۵	Splint http://splint.org/
۶	Boon https://www.cs.berkeley.edu/~daw/boon/
۷	W3af http://w3af.org/
۸	FlawFinder https://www.dwheeler.com/flawfinder/
۹	FindBugs http://findbugs.sourceforge.net/

آنالایزرهای کد منبع تجاری

به عنوان آخرین مطلب در آشنایی با ابزارهای اتوماسیون در تست امنیت بیایید با ابزارهای زیر نیز آشنا شویم؛ این ابزارها نقاط ضعف موجود در کد منبع را که مستعد آسیب پذیری هستند بررسی، کشف و گزارش می کنند.

شماره	ابزار
۱	Parasoft C/C++ test https://www.parasoft.com/cpptest/
۲	HP Fortify http://www.hpenterprisesecurity.com/products
۳	Appscan http://www-01.ibm.com/software/rational/products
۴	Veracode https://www.veracode.com
۵	Armorize CodeSecure http://www.armorize.com/codesecure/
۶	GrammaTech https://www.grammatech.com/

سخن پایانی

در این جلسه به آشنایی با ابزارهای اتوماسیون در تست امنیت پرداختیم و ده ها مورد از مهم ترین و کاربردی ترین ابزارهایی که می توانید به کمک آن ها تست امیت را انجام داده و امنیت وبسایت خود را بسنحید را معرفی کردیم.
به پایان این دوره آموزشی رسیده ایم اما یادگیری همچنان ادامه دارد.
با سایر دوره های آموزشی پی وی لرن همراه باشید.