• 3個免費的 Web資訊安全自動化測試工具

    這篇文章主要介紹三個 Web資訊安全測試工具。這三個工具各有特色,共通點都是免費。

    “免費”的同時可以執行的安全測試範圍與種類足夠實務上使用。

    這些工具也內建許多測試資料用來測試 XSS, SQL injection, Directory Traversal等。

    Web資訊安全測試由於是一個動態的測試過程,

    筆者建議用兩種以上的工具交互測試,發現必且交叉驗證潛在的問題。

    使用工具外,更重要的是背後每一種攻擊運作的原理與防護之道。

    才不落於受制於工具的操作。

     

    Web 資訊安全測試是動態測試的過程

    資訊安全測試比起自動化測試或是其他測試工具來說,資訊安全測試更著重於”動態”的過程而非結果。

    動態的過程主要是瀏覽器或是 client端發送 Http Request後,網站伺服器所回傳Http Response的反應。

    測試的過程我們觀察這些反應 Http Response 調整或是判斷下一次要傳送 Http Request 的測試資料或是方法。

    因此,這樣的測試更需要測試者的經驗與對攻擊流程的了解。

     

    Web十大網路攻擊

    基本的Web安全測試由 Web 10大網路攻擊開始說起,

    每一個攻擊都有可能導致重大資訊安全風險。

    對於高端的駭客來說的攻擊行為通常是”混合式”。

    結合許多的弱點與攻擊的手法達到特定目的。

    多半的Web資訊安全測試工具也是以這時大攻擊為主軸,

    產生自動化或是半自動化的測試個案或是測試資料。

     

     

    三個工具: OWASP ZAP, Burp Suite 與Vega FAQ

    Q:這三個工具有沒有是哪些特別的攻擊其他工作做不到呢?

    其實只要了解駭客攻擊手法,這只是工具上的不同而已。

     

    Q: 這三個工具哪一個比較適合初學者?

    筆者建議 Vega,因為畫面簡潔。測試結果的說明較為容易閱讀。

    ZAP 因為畫面太多資訊,有可能會迷路或是不知道從哪些資訊開始看起。

    Brup Suite 則是介於兩者之間。只是因為免費版功能會有些限制。

     

    OWASP ZAP

    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

    File:ZAP-ScreenShotAddAlert.png

     

    Vega

    https://subgraph.com/vega/download/index.en.html

    Alert generated by a Vega module during an automated scan.

    Burp Suite

    https://portswigger.net/burp/download.html

     

    Posted by Tony @ 8:18 am

  • Leave a Reply

    Your email address will not be published.