درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک قانونمند در خدمتتون هستیم.
Penetration Test یا ابزارهای تست نفوذ برای شناسایی شکاف های امنیتی و نقص ها در نرم افزارها و سایر برنامه ها می باشد. ابزار Penetration Test از نفوذ مهاجمان جلوگیری کرده و امنیت بالا می رود.
تا این جا با ابزار های نفوذی چون w3af، ویژگی های Metaspoilt، ویژگی های Samurai framework، ویژگی های ابراز تست نفوذ IronWASP، ویژگی های ابراز تست نفوذ Ettercap آشنا شدیم. در ادامه به بررسی ابزارهای دیگر تست نفوذ یا ابزار Penetration Test خواهیم پرداخت.
IBM Security AppScan کمک می کند تا امنیت برنامه های وب و امنیت تلفن همراه را افزایش دهد. امنیت نرم افزار را بهبود می بخشد و تضمین های قانونی را تقویت می کند. این ابزار به کاربران در شناسایی آسیب پذیری های امنیتی و تولید گزارش کمک می کند.
توسعه و انجام تست QA در طول فرایند SDLC را قادر می سازد.
کنترل برنامه های کاربردی که هر کاربر می تواند تست کند.
توزیع راحت گزارش ها.
افزایش دید و درک بهتر از خطرات سازمانی.
تمرکز بر یافتن و حل مسائل.
کنترل دسترسی به اطلاعات.
Download link: http://www-03.ibm.com/software/products/en/appscan
Arachni یک فریم ورک Ruby منبع باز مبتنی بر ابزارهایی برای تست کنندگان نفوذ و مدیران است. این ابزار برای ارزیابی امنیت برنامه های وب مدرن استفاده می شود.
Arachni یک ابزار همه کاره است، بنابراین تعداد زیادی از موارد استفاده را پوشش می دهد. Arachni دامنه ای از یک ابزار اسکنر خط فرمان ساده و سودمند تا یک اسکنر جهانی با عملکرد بالا است.
گزینه ای برای استقرار چندگانه
این ابزار کد قابل اطمینان و قابل بازرسی را برای تضمین از بالاترین سطح حفاظت فراهم می کند.
Arachni می تواند به راحتی با محیط مرورگر ادغام شود.
Arachni گزارشات بسیار دقیق و ساختار یافته ی خوبی را ارائه می دهد.
Download link: https://sourceforge.net/projects/safe3wvs/files
Websecurify یک محیط تست امنیتی قدرتمند است. این ابزار یک رابط کاربری دوستانه است که برای استفاده بسیار ساده و آسان است. Websecurify ترکیبی از فن آوری های تست خودکار آسیب پذیری و دستی را ارائه می دهد.
تست و تکنولوژی اسکن خوب
موتور تست قوی برای شناسایی URL ها
Websecurify با بسیاری از افزودنی های موجود توسعه پذیر است.
این ابزار برای تمام سیستم عامل اصلی دسکتاپ و تلفن همراه در دسترس است.
/Download link: https://www.websecurify.com
Vega یک اسکنر امنیت وب سایت به صورت منبع باز و پلت فرم pen testing برای تست امنیت برنامه های وب است.
تست امنیتی خودکار، دستی و ترکیبی
این ابزار به کاربران کمک می کند تا آسیب پذیری را پیدا کنند. آسیب پذیری ممکن است به صورت cross-site scripting, stored cross-site scripting, blind SQL injection, shell injection و غیره باشد.
هنگامی که با اعتبار کاربری ارسال می شود، می تواند به صورت خودکار به وب سایت وارد شود.
Vega به طور موثر در لینوکس، OS X و ویندوز کار می کند.
ماژول های شناسایی Vega در جاوا اسکریپت نوشته می شوند.
Download link: https://subgraph.com/vega/download/index.en.html
Wapiti یکی دیگر از ابزارهای تست نفوذ مشهور است. Wapiti اجازه می دهد تا حسابرسی امنیت برنامه های وب را بررسی شود. این روش هر دو روش GET و POST HTTP را برای بررسی آسیب پذیری پشتیبانی می کند.
گزارش های آسیب پذیری را در قالب های مختلف تولید می کند.
این ابزار می تواند یک اسکن یا یک حمله را متوقف کند.
راهی سریع و آسان برای فعال کردن و غیر فعال کردن ماژول های حمله.
پشتیبانی پروکسی HTTP و HTTPS
Wapiti اجازه می دهد تا محدوده اسکن را محدود سازد.
حذف خودکار یک پارامتر در URL ها
ایمپورت کوکی ها
Wapiti می تواند تایید گواهینامه های SSL را فعال یا غیرفعال کند
اکسترکت URL ها از فایل های Flash SWF.
/Download link: https://sourceforge.net/projects/wapiti/files
Kismet یک آشکارساز شبکه بی سیم و سیستم تشخیص نفوذ است. Kismet با شبکه های Wi-Fi کار می کند، اما می تواند از طریق پلاگین ها گسترش یابد، زیرا اجازه می دهد تا انواع شبکه های دیگر را اداره کند.
اجازه لاگین به PCAP را می دهد.
معماری مدولار مشتری / سرور.
معماری پلاگین برای گسترش ویژگی های اصلی.
پشتیبانی چند منبع capture.
اسنیف از راه دور توزیع شده از طریق ضبط از راه دور نفوذ سبک (light-weight remote).
خروجی XML برای ادغام با ابزارهای دیگر.
Download link: https://www.kismetwireless.net/download.shtml
Kali Linux یک ابزار pen testing منبع باز است که توسط Security Attack پشتیبانی می شود.
سفارشی سازی کامل Kali ISO ها با live-build برای ایجاد سفارشی تصاویر Kali Linux
این ابزار شامل یک بانچ از مجموعه های بسته Meta است که مجموعه ابزارهای مختلف را جمع می کند.
رمزگذاری دیسک (Disk Encryption) بر روی Raspberry Pi 2
/Download link: https://www.kali.org
Parrot Security یک ابزار pen testing است. این ابزار لابراتواری کامل و قابل حمل برای کارشناسان قانونی و امنیتی را ارائه می کند. همچنین به کاربران کمک می کند تا از حریم خصوصی خود با ابزار ناشناس و رمزنگاری محافظت کنند.
این سیستم عامل شامل یک زرادخانه کامل از ابزارهای امنیتی جهت انجام تست های نفوذ، حسابرسی های امنیتی و موارد دیگر می باشد.
همراه با کتابخانه های آپدیت از پیش نصب شده و مفید می آید.
ارائه دهنده سرورهای آینه ای (mirror servers) قدرتمند در سراسر جهان
به توسعه جامعه محور اجازه می دهد.
طراحی Cloud OS جداگانه به طور خاص برای سرورها را ارائه می دهد.
Download link: https://www.parrotsec.org/download.fx
پروانه OpenSSL در اصل همان پروانه آپاچی ۱/۰ است.. این پروژه رایگان و متن باز است که مجموعه ابزار یا toolkit کامل برای پروتکل های TLS و SSL را فراهم می کند.
OpenSSL در C نوشته شده است، اما برای بسیاری از زبان های کامپیوتری در دسترس است
کتابخانه شامل ابزارهایی برای ایجاد کلید اختصاسی RSA و درخواست Certificate Signing Requests می باشد.
تأیید فایل CSR
حذف کامل Passphrase از Key
ایجاد Private Key جدید و اجازه درخواست Certificate Signing Request.
/Download link: https://www.openssl.org/source
Snort یک سیستم تشخیص نفوذ pen testing و اپن سورس است. Snort مزایا را مبتنی بر روش های بازرسی آنومالی و signature-protocol ارائه می دهد. این ابزار به کاربران کمک می کند تا حداکثر محافظت را در برابر حملات مخرب داشته باشند.
Snort توانایی تشخیص تهدیدات را با دقت بالا با سرعت های بالا دارد.
از فضای کاری خود در برابر حملات در حال ظهور به سرعت محافظت کنید.
Snort می تواند برای ایجاد راه حل های منحصر به فرد امنیتی استفاده شود.
تست SSL گواهی یک URL خاص
Snort می تواند بررسی کند که آیا cipher خاص در URL پذیرفته شده است
تأیید Certificate Signer Authority
توانایی ارائه false positives/negatives (خطاهای شناسایی)
Download link: https://www.snort.org/downloads
Penetration Test یا ابزارهای تست نفوذ برای بالا بردن امنیت در شبکه ها و نرم افزارها و … استفاده می شود. انواع مختلفی از ابزار Penetration Test رو داریم که در چند جلسه داریم بررسی می کنیم. در این بخش نیز با ویژگی های ابزار تست نفوذ Snort، Parrot Security، Websecurify ،ویژگی های ابزار تست نفوذ Wapiti آشنا شدیم. دوستان در بخش بعد ابزار Penetration Test رو با معرفی ابزارهای دیگری خواهیم داشت.