!ΠΡΟΣΟΧΗ ΠΡΟΣ ΤΟΥΣ ΑΝΑΓΝΩΣΤΕΣ!

ΠΡΟΣΟΧΗ ΠΡΟΣ ΤΟΥΣ ΑΝΑΓΝΩΣΤΕΣ!
**** Σε αυτό το blog μερικά από τα άρθρα είναι αναδημοσιεύσεις από άρθρα του διαδικτύου και άλλα είναι προσωπικά tutorial που αναφέρονται σε διάφορα θέματα. Τα παραπάνω έγιναν για ενημέρωση του κοινού και εμπλουτισμό της εκπαιδευτικής διεύρυνσης. Όλα τα άρθρα είναι για εκπαιδευτικούς και μόνο σκοπούς. Δεν φέρω καμία ευθύνη εάν κάποιος αναγνώστης τα χρησιμοποιήσει κακόβουλα. ****

Πέμπτη 21 Φεβρουαρίου 2013

WebVulScan, εργαλείο έλεγχου ευπαθειών σε web εφαρμογές

11:41 π.μ.    No comments

To WebVulScan είναι μια διαδικτυακή εφαρμογή που ψάχνει για τυχόν ευπάθειες. Είναι γραμμένη σε γλώσσα PHP και μπορεί να χρησιμοποιηθεί για τον έλεγχο ευπαθειών στην ασφάλεια απομακρυσμένων ή τοπικών web εφαρμογών. Καθώς η σάρωση εκτελείται, ο χρήστης ενημερώνεται δυναμικά και λεπτομερώς για τα αποτελέσματα της σάρωσης. Αυτές οι λεπτομέρειες περιλαμβάνουν την κατάσταση της σάρωσης, τoν αριθμό των διευθύνσεων URL που βρέθηκαν στην web εφαρμογή, τoν αριθμό των τρωτών σημείων που βρέθηκαν καθώς και τις λεπτομέρειες των τρωτών σημείων.
Μετά την ολοκλήρωση της σάρωσης, μια λεπτομερής έκθεση σε μορφή PDF μέσω ηλεκτρονικού ταχυδρομείου αποστέλλεται στον χρήστη. Η έκθεση περιλαμβάνει περιγραφές των διαπιστωμένων αδυναμιών, προτάσεις αλλά και λεπτομέρειες σχετικά με τον τρόπο με τον οποίο εκμεταλλεύτηκε την κάθε ευπάθεια ξεχωριστά.

Η ευπάθειες που ψάχνει το WebVulScan είναι οι εξής:

  • Reflected Cross-Site Scripting
  • Stored Cross-Site Scripting
  • Standard SQL Injection
  • Broken Authentication using SQL Injection
  • Autocomplete Enabled on Password Fields
  • Potentially Insecure Direct Object References
  • Directory Listing Enabled
  • HTTP Banner Disclosure
  • SSL Certificate not Trusted
  • Unvalidated Redirects

Επίσης προσφέρει επιπλέον δυνατότητες όπως χαρακτηριστικά αναφέρουμε παρακάτω:
Crawler: ανιχνεύει μια ιστοσελίδα για να εντοπίσει και να εμφανίσει όλες τις διευθύνσεις URL που ανήκουν στη συγκεκριμένη ιστοσελίδα.
Scanner: ανιχνεύει μια ιστοσελίδα και σαρώνει όλες τις διευθύνσεις URL που βρέθηκαν για ευπάθειες.


Ιστορικό Σάρωσης (Scan History): Επιτρέπει στο χρήστη να δει ή να κατεβάσει σε αρχεία PDF, εκθέσεις των προηγούμενων σαρώσεων που πραγματοποιήθηκαν.
Εγγραφή (Register): Επιτρέπει στο χρήστη να εγγραφεί στην web εφαρμογή.


Είσοδος (Login): Επιτρέπει στο χρήστη να συνδεθεί με την εφαρμογή web.


Επιλογές (Options): Επιτρέπει στον χρήστη να επιλέξει ποιες ευπάθειες επιθυμεί να  ελέγξει (σαν προεπιλογή όλα είναι ενεργοποιημένα).
PDF Generation: Δυναμικά δημιουργεί μια λεπτομερή έκθεση σε μορφή PDF.
Report Delivery: Η έκθεση σε μορφή PDF αποστέλλεται μέσω e-mail στον χρήστη ως συνημμένο.


Σύμφωνα με το δημιουργό του, το λογισμικό αυτό αναπτύχθηκε και θα πρέπει να χρησιμοποιείται αποκλειστικά και μόνο για (ethical) ηθικούς σκοπούς. Η χρησιμοποίηση  εργαλείων ελέγχου ασφαλείας, όπως αυτό σε ένα δικτυακό τόπο (web εφαρμογή) θα μπορούσε να προκαλέσει ζημιά. Για να παραμείνει ηθική (ethical) η χρησιμοποίηση τους, θα πρέπει να βεβαιωθείτε ότι έχετε την άδεια των ιδιοκτητών πριν από τη δοκιμή ενός δικτυακού τόπου (web εφαρμογής). Ο έλεγχος της ασφάλειας ενός δικτυακού τόπου (web εφαρμογής) μπορεί να διωχθεί νομικά σε πολλές χώρες, μιας και μπορεί υπό προϋποθέσεις να θεωρηθεί ως επίθεση εναντίον του ιστοτόπου.


Μπορείτε να κατεβάσετε την εφαρμογή εδώ.
Πηγή: secnews.gr

0 σχόλια:

Δημοσίευση σχολίου

Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.

Εγγραφή σε: Σχόλια ανάρτησης (Atom)