Test de sécurité - Outils d'automatisation
Il existe différents outils disponibles pour effectuer des tests de sécurité d'une application. Il existe peu d'outils capables d'effectuer des tests de sécurité de bout en bout, tandis que certains sont dédiés à la détection d'un type particulier de faille dans le système.
Outils Open Source
Certains outils de test de sécurité open source sont comme donnés -
S.No. | Nom de l'outil |
---|---|
1 | Zed Attack Proxy Fournit des scanners automatisés et d'autres outils pour détecter les failles de sécurité. |
2 | OWASP WebScarab Développé en Java pour analyser les requêtes Http et Https. |
3 | OWASP Mantra Prend en charge le cadre de test de sécurité multilingue https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework |
4 | Burp Proxy Outil d'interception et de modification du trafic et fonctionne avec des certificats SSL personnalisés. |
5 | Firefox Tamper Data Utilisez tamperdata pour afficher et modifier les en-têtes HTTP / HTTPS et les paramètres de publication |
6 | Firefox Web Developer Tools L'extension Web Developer ajoute divers outils de développement Web au navigateur. |
sept | Cookie Editor Permet à l'utilisateur d'ajouter, supprimer, modifier, rechercher, protéger et bloquer les cookies |
Ensembles d'outils spécifiques
Les outils suivants peuvent nous aider à repérer un type particulier de vulnérabilité dans le système -
S.No. | Lien |
---|---|
1 | DOMinator Pro − Testing for DOM XSS |
2 | OWASP SQLiX − SQL Injection |
3 | Sqlninja − SQL Injection |
4 | SQLInjector − SQL Injection |
5 | sqlpowerinjector − SQL Injection |
6 | SSL Digger − Testing SSL |
sept | THC-Hydra − Brute Force Password |
8 | Brutus − Brute Force Password |
9 | Ncat − Brute Force Password |
dix | OllyDbg − Testing Buffer Overflow |
11 | Spike − Testing Buffer Overflow |
12 | Metasploit − Testing Buffer Overflow |
Outils de test commerciaux Black Box
Voici quelques-uns des outils de test de boîte noire commerciale qui nous aident à repérer les problèmes de sécurité dans les applications que nous développons.
S.Non | Outil |
---|---|
1 | NGSSQuirreL |
2 | IBM AppScan |
3 | Acunetix Web Vulnerability Scanner |
4 | NTOSpider |
5 | SOAP UI |
6 | Netsparker |
sept | HP WebInspect |
Analyseurs de code source gratuits
S.Non | Outil |
---|---|
1 | OWASP Orizon |
2 | OWASP O2 |
3 | SearchDiggity |
4 | FXCOP |
5 | Splint |
6 | Boon |
sept | W3af |
8 | FlawFinder |
9 | FindBugs |
Analyseurs de code source commercial
Ces analyseurs examinent, détectent et signalent les faiblesses du code source, qui sont sujettes à des vulnérabilités -
S.Non | Outil |
---|---|
1 | Parasoft C/C++ test |
2 | HP Fortify |
3 | Appscan |
4 | Veracode |
5 | Armorize CodeSecure |
6 | GrammaTech |