top 4 open source security testing tools test web application
가장 인기있는 오픈 소스 보안 테스트 도구 :
이 디지털 세계에서 보안 테스트의 필요성은 날로 증가하고 있습니다.
사용자가 수행하는 온라인 거래 및 활동의 수가 급격히 증가함에 따라 보안 테스트가 필수 항목이되었습니다. 그리고 시장에서 사용할 수있는 몇 가지 보안 테스트 도구가 있으며 매일 새로운 도구가 계속 등장하고 있습니다.
이 가이드에서는 오늘날의 기계화 된 세계에서 보안 테스트를 수행하는 의미, 필요성 및 목적을 쉽게 이해할 수 있도록 시장에서 사용할 수있는 최고의 오픈 소스 도구와 함께 설명합니다.
학습 내용 :
보안 테스트 란 무엇입니까?
정보 시스템 내의 데이터가 보호되고 권한이없는 사용자가 액세스 할 수 없도록 보안 테스트를 수행합니다. 심각한 멀웨어 및 충돌 할 수있는 기타 예상치 못한 위협으로부터 애플리케이션을 보호합니다.
보안 테스트는 초기 단계 자체에서 시스템의 모든 허점과 약점을 파악하는 데 도움이됩니다. 응용 프로그램이 보안 코드를 인코딩했는지 여부를 테스트하기 위해 수행되며 권한이없는 사용자가 액세스 할 수 없습니다.
보안 테스트는 주로 다음과 같은 중요 영역을 다룹니다.
- 입증
- 권한 부여
- 유효성
- 기밀성
- 청렴
- 부인 방지
보안 테스트의 목적
다음은 보안 테스트를 수행하는 주요 목적입니다.
- 보안 테스트의 주요 목적은 보안 유출을 식별하고 초기 단계에서 수정하는 것입니다.
- 보안 테스트는 현재 시스템의 안정성을 평가하는 데 도움이되며 시장에 더 오랜 시간 동안 서있는데도 도움이됩니다.
다음 보안 고려 사항은 모든 단계에서 수행해야합니다. 소프트웨어 개발 수명주기 :
보안 테스트 필요
보안 테스트는 다음을 방지하는 데 도움이됩니다.
- 고객의 신뢰 상실.
- 중요한 정보의 손실.
- 권한없는 사용자에 의한 정보 도용.
- 일관되지 않은 웹 사이트 성능.
- 예상치 못한 고장.
- 공격 후 웹 사이트를 복구하는 데 필요한 추가 비용.
보안 테스트를위한 최고의 오픈 소스 도구
# 1) Acunetix
Acunetix 온라인은 시도해 볼 가치가있는 프리미엄 보안 테스트 도구입니다. 여기에서 Acunetix 평가판을받을 수 있습니다.
Acunetix Online에는 50,000 개 이상의 알려진 네트워크 취약성과 잘못된 구성을 감지하고보고하는 완전 자동화 된 네트워크 취약성 스캐너가 포함되어 있습니다.
열린 포트와 실행중인 서비스를 발견합니다. 라우터, 방화벽, 스위치 및로드 밸런서의 보안을 평가합니다. 취약한 암호, DNS 영역 전송, 잘못 구성된 프록시 서버, 취약한 SNMP 커뮤니티 문자열 및 TLS / SSL 암호 등을 테스트합니다.
Acunetix Online과 통합되어 Acunetix 웹 애플리케이션 감사 외에 포괄적 인 경계 네트워크 보안 감사를 제공합니다.
=> 공식 Acunetix 웹 사이트를 방문하십시오.# 2) 넷 파커
Netsparker 오픈 소스 CMS를 사용하여 개발 된 것을 포함하여 웹 애플리케이션 및 웹 API에서 SQL 주입 및 교차 사이트 스크립팅과 같은 취약성을 식별하는 정확하고 정확한 자동 스캐너입니다.
Netsparker는 식별 된 취약성이 실제적이고 오 탐지가 아님을 입증하기 위해 고유하게 확인하므로 스캔이 완료된 후 식별 된 취약성을 수동으로 확인하는 데 시간을 낭비 할 필요가 없습니다. Windows 소프트웨어 및 온라인 서비스로 제공됩니다.
=> Netsparker 공식 웹 사이트 방문# 3) ZED 공격 프록시 (ZAP)
보안 전문가가 웹 애플리케이션에 존재하는 보안 취약성을 찾을 수 있도록 특별히 설계된 오픈 소스 도구로, Windows, Unix / Linux 및 Macintosh 플랫폼에서 실행되도록 개발되었습니다. 웹 페이지의 스캐너 / 필터로 사용할 수 있습니다.
주요 특징들:
- 차단 프록시
- 패시브 스캔
- 자동 스캐너
- REST 기반 API
오픈 웹 애플리케이션 보안 프로젝트 (OWASP)
이 응용 프로그램은 응용 프로그램 보안에 대한 정보를 제공하는 데 전념합니다.
웹 애플리케이션에서 일반적으로 발견되는 OWASP 상위 10 개 웹 애플리케이션 보안 위험은 Funct Access Control, SQL Injection, Broken Auth / Session, Direct Object Ref, Security Misconfig, Cross-Site Request Forgery, Vulnerable Components, Cross-Site Scripting, 검증되지 않은 리디렉션 및 데이터 노출.
이러한 상위 10 가지 위험은 데이터를 훔치거나 웹 서버를 완전히 장악 할 수 있기 때문에 애플리케이션을 유해하게 만듭니다.
GUI와 명령 프롬프트를 사용하여 OWASP를 실행할 수 있습니다.
- CLI를 통해 OWASP를 트리거하는 명령 — zap-cli –zap-path“+ EVConfig.ZAP_PATH +”quick-scan –self-contained –spider -r -s xss http : //”+ EVConfig.EV_1_IP +”-l 정보 용.
- GUI에서 OWASP를 실행하는 단계 :
- 브라우저에서 로컬 프록시를 설정하고 페이지를 기록하십시오.
- 기록이 완료되면 OWASP 도구의 링크를 마우스 오른쪽 버튼으로 클릭 한 다음 '활성 스캔'을 클릭합니다.
- 스캔이 완료된 후 보고서를 .html 형식으로 다운로드하십시오.
OWASP를 실행하기위한 기타 옵션 :
- 브라우저에서 로컬 프록시를 설정하십시오.
- '공격 할 URL'텍스트 상자에 URL을 입력 한 다음 '공격'버튼을 클릭합니다.
- 화면 왼쪽에서 스캔 한 사이트 맵 콘텐츠를 봅니다.
- 하단에는 요청, 응답 및 버그 심각도보기가 표시됩니다.
GUI 스크린 샷 :
다운로드 ZED 공격 프록시 (ZAP)
# 4) 트림 스위트
웹 애플리케이션의 보안 테스트를 수행하는 데 사용되는 도구입니다. 프로페셔널 에디션과 커뮤니티 에디션이 있습니다. 100 개 이상의 사전 정의 된 취약성 조건을 통해 애플리케이션의 안전을 보장하며 Burp 제품군은 이러한 사전 정의 된 조건을 적용하여 취약성을 찾습니다.
적용 범위:
SQL 주입, XSS (cross-site scripting), Xpath 주입 등과 같은 100 개 이상의 일반 취약점. 응용 프로그램에서 수행되었습니다. 스캔은 빠른 속도 또는 정상 속도의 다른 수준에서 수행 할 수 있습니다. 이 도구를 사용하여 전체 애플리케이션 또는 사이트의 특정 분기 또는 개별 URL을 스캔 할 수 있습니다.
명확한 취약성 프레젠테이션 :
Burp 제품군은 결과를 트리 뷰로 제공합니다. 분기 또는 노드를 선택하여 개별 항목의 세부 정보로 드릴 다운 할 수 있습니다. 취약점이 발견되면 스캔 결과에 빨간색 표시가 나타납니다.
취약성은 쉬운 의사 결정을 위해 확신과 심각도로 표시됩니다. 문제, 신뢰 유형, 문제 심각도 및 파일 경로에 대한 전체 설명과 함께보고 된 모든 취약성에 대한 자세한 조정 권고를 사용할 수 있습니다. 발견 된 취약점이있는 HTML 보고서를 다운로드 할 수 있습니다.
다운로드 링크
# 5) SonarQube
소스 코드의 품질을 측정하는 데 사용되는 오픈 소스 도구입니다.
Java로 작성되었지만 20 개 이상의 프로그래밍 언어를 분석 할 수 있습니다. Jenkins 서버 등과 같은 지속적인 통합 도구와 쉽게 통합 할 수 있습니다. 결과는 SonarQube 서버에 '녹색'및 '빨간색 표시 등'으로 채워집니다.
멋진 차트와 프로젝트 수준의 문제 목록을 볼 수 있습니다. GUI와 명령 프롬프트에서 호출 할 수 있습니다.
명령:
- 코드 스캔을 수행하려면 SonarQube Runner를 온라인으로 다운로드하고 압축을 풉니 다.
- 다운로드 한 파일을 프로젝트의 루트 디렉토리에 보관하십시오.
- .property 파일에서 구성을 설정하십시오.
- 터미널 / 콘솔에서`sonar-runner` /`sonar-runnter.bat` 스크립트를 실행합니다.
성공적으로 실행 된 후 SonarQube는 HTTP : Ip : 9000 웹 서버에 결과를 직접 업로드합니다.이 URL을 사용하면 많은 분류가있는 자세한 결과를 볼 수 있습니다.
프로젝트 현명한 홈페이지 :
이 도구는 버그, 취약성, 코드 냄새, 코드 중복과 같은 다양한 조건으로 버그를 분류합니다.
문제 목록 :
프로젝트 대시 보드에서 버그 수를 클릭하면 이슈 목록 페이지로 이동합니다. 버그는 심각도, 상태, 담당자,보고 된 시간 및 문제를 해결하는 데 걸린 시간과 같은 요소를 포함합니다.
까다로운 문제 감지 :
문제 코드는 빨간색 선으로 표시되며 문제 해결을위한 제안을 찾을 수 있습니다. 이러한 제안은 문제를 신속하게 해결하는 데 정말 도움이됩니다.
(노트 :크게 보려면 아래 이미지를 클릭하십시오)
Jenkins와 통합 :
Jenkins에는 소나 스캐너를 수행하는 별도의 플러그인이 있으며 테스트가 완료되면 결과를 sonarqube 서버에 업로드합니다.
다운로드 링크
# 6) 클락 워크
이것은 코드 분석 C, C ++, Java 및 C #과 같은 프로그래밍 언어의 보안, 안전 및 안정성 문제를 식별하는 데 사용되는 도구입니다. Jenkins와 같은 지속적인 통합 도구와 쉽게 통합 할 수 있으며 새로운 문제가 발생하면 Jira에서 버그를 제기 할 수도 있습니다.
프로젝트 현명한 스캔 결과 :
도구를 사용하여 결과를 인쇄 할 수 있습니다. 홈 페이지에서 '신규'및 '기존'문제 수와 함께 스캔 된 모든 프로젝트를 볼 수 있습니다. 문제의 범위와 비율은 '보고서'아이콘을 클릭하여 볼 수 있습니다.
(노트 :크게 보려면 아래 이미지를 클릭하십시오)
자세한 문제 :
'검색'텍스트 상자에 다양한 검색 조건을 입력하여 결과를 필터링 할 수 있습니다. 문제는 심각도, 상태, 상태 및 분류 필드와 함께 제공됩니다. 문제를 클릭하면 문제의 행을 찾을 수 있습니다.
(노트 :크게 보려면 아래 이미지를 클릭하십시오)
문제 코드 표시 :
빠른 식별을 위해 Klocwork는 '코드 줄'이 제기 된 문제를 강조하고 문제의 원인을 인용하며이를 극복하기위한 몇 가지 조치를 제안합니다.
Jira로 내보내기 :
klocwork 서버에서“Export to Jira”버튼을 클릭하여 Jira를 직접 올릴 수 있습니다.
Jenkins와 통합 :
Jenkins에는 klocwork와 통합 할 플러그인이 있습니다. 먼저 Jenkins 구성 페이지에서 klocwork 세부 정보를 구성해야합니다. 그런 다음 Jenkins는 실행이 완료되면 보고서를 klocwork 서버에 업로드합니다.
sdlc의 구현 단계는 무엇입니까
Klocwork 용 Jenkins 구성 :
다운로드 링크 .
결론
최고의 오픈 소스 보안 도구와 함께 보안 테스트의 의미에 대한 명확한 아이디어를 얻었기를 바랍니다.
따라서 보안 테스트를 시작하는 경우 애플리케이션을 완벽하게 만들기 위해 이러한 중요한 오픈 소스 도구를 놓치지 마십시오.
=> 문의하기 여기에 목록을 제안합니다.추천 도서
- 네트워크 보안 테스트 및 최고의 네트워크 보안 도구
- 웹 애플리케이션 보안 테스트 가이드
- 2021 년 최고의 모바일 앱 보안 테스트 도구 10 가지
- 2021 년 전문가들이 사용하는 19 가지 강력한 침투 테스트 도구
- Acunetix Web Vulnerability Scanner (WVS) 보안 테스트 도구 (실습 검토)
- AppTrana를 사용하여 웹 애플리케이션 보안 테스트를 수행하는 방법
- 모바일 앱 보안 테스트 지침
- 보안 테스트 (전체 가이드)
- 보안 테스트 인터뷰 질문 및 답변 상위 30 개
- 웹 애플리케이션을 테스트하기위한 상위 4 개의 오픈 소스 보안 테스트 도구