top 4 open source security testing tools test web application
सबसे लोकप्रिय ओपन सोर्स सुरक्षा परीक्षण उपकरण:
इस डिजिटल दुनिया में, सुरक्षा परीक्षण की आवश्यकता दिन-प्रतिदिन बढ़ रही है।
उपयोगकर्ताओं द्वारा किए गए ऑनलाइन लेनदेन और गतिविधियों की संख्या में तेजी से वृद्धि के कारण, सुरक्षा परीक्षण अनिवार्य हो गया है। और कई सुरक्षा परीक्षण उपकरण हैं जो बाजार में उपलब्ध हैं और कुछ नए उपकरण हर दिन उभरते रहते हैं।
यह ट्यूटोरियल आपको आज के मशीनीकृत दुनिया में सुरक्षा परीक्षण करने के अर्थ, आवश्यकता और इसके सबसे अच्छे ओपन सोर्स टूल के साथ समझाएगा जो आपकी आसान समझ के लिए बाजार में उपलब्ध हैं।
आप क्या सीखेंगे:
- सुरक्षा परीक्षण क्या है?
- सुरक्षा परीक्षण का उद्देश्य
- सुरक्षा परीक्षण की आवश्यकता
- सुरक्षा परीक्षण के लिए सर्वश्रेष्ठ खुला स्रोत उपकरण
- निष्कर्ष
- अनुशंसित पाठ
सुरक्षा परीक्षण क्या है?
सुरक्षा परीक्षण यह सुनिश्चित करने के लिए किया जाता है कि सूचना प्रणाली के भीतर डेटा संरक्षित है और अनधिकृत उपयोगकर्ताओं द्वारा सुलभ नहीं है। यह गंभीर मैलवेयर और अन्य अप्रत्याशित खतरों के खिलाफ अनुप्रयोगों की सुरक्षा करता है जो इसे दुर्घटनाग्रस्त कर सकते हैं।
सुरक्षा परीक्षण प्रारंभिक चरण में ही सिस्टम के सभी खामियों और कमजोरियों का पता लगाने में मदद करता है। यह परीक्षण करने के लिए किया जाता है कि आवेदन में सुरक्षा कोड कूटबद्ध किया गया है या नहीं और अनधिकृत उपयोगकर्ताओं द्वारा सुलभ नहीं है।
सुरक्षा परीक्षण मुख्य रूप से नीचे के महत्वपूर्ण क्षेत्रों को शामिल करता है:
- प्रमाणीकरण
- प्राधिकार
- उपलब्धता
- गोपनीयता
- अखंडता
- गैर परित्याग
सुरक्षा परीक्षण का उद्देश्य
नीचे दिए गए सुरक्षा परीक्षण के मुख्य उद्देश्य दिए गए हैं:
- सुरक्षा परीक्षण का प्राथमिक उद्देश्य सुरक्षा रिसाव की पहचान करना और इसे प्रारंभिक चरण में ही ठीक करना है।
- सुरक्षा परीक्षण वर्तमान प्रणाली की स्थिरता को दर करने में मदद करता है और बाजार में लंबे समय तक खड़े रहने में भी मदद करता है।
प्रत्येक चरण के दौरान निम्नलिखित सुरक्षा कारणों पर विचार किया जाना चाहिए सॉफ्टवेयर विकास जीवन चक्र:
सुरक्षा परीक्षण की आवश्यकता
सुरक्षा परीक्षण से बचने में मदद करता है:
- ग्राहक के भरोसे की हानि
- महत्वपूर्ण जानकारी का नुकसान।
- एक अनधिकृत उपयोगकर्ता द्वारा सूचना की चोरी।
- असंगत वेबसाइट प्रदर्शन।
- अप्रत्याशित रूप से टूटना।
- एक हमले के बाद वेबसाइटों की मरम्मत के लिए आवश्यक अतिरिक्त लागत।
सुरक्षा परीक्षण के लिए सर्वश्रेष्ठ खुला स्रोत उपकरण
(1) एक्यूनेटिक्स
एक्यूनेटिक्स ऑनलाइन एक प्रीमियम सुरक्षा परीक्षण उपकरण है जो प्रयास करने लायक है। आप यहाँ Acunetix के लिए परीक्षण संस्करण प्राप्त कर सकते हैं।
एक्यूनेटिक्स ऑनलाइन में पूरी तरह से स्वचालित नेटवर्क भेद्यता स्कैनर शामिल है जो 50,000 से अधिक ज्ञात नेटवर्क भेद्यता और गलतफहमी पर पता लगाता है और रिपोर्ट करता है।
यह खुले बंदरगाहों और चलने वाली सेवाओं की खोज करता है; राउटर, फायरवॉल, स्विचेस और लोड बैलेंसरों की सुरक्षा का आकलन करता है; कमजोर पासवर्ड, डीएनएस ज़ोन ट्रांसफर, बुरी तरह से कॉन्फ़िगर प्रॉक्सी सर्वर, एसएनएमपी कमज़ोर स्ट्रिंग्स और टीएलएस / एसएसएल सिफर्स सहित अन्य के लिए परीक्षण।
यह Acunetix वेब एप्लिकेशन ऑडिट के शीर्ष पर एक व्यापक परिधि नेटवर्क सुरक्षा ऑडिट प्रदान करने के लिए Acunetix ऑनलाइन के साथ एकीकृत करता है।
=> आधिकारिक Acunetix वेबसाइट पर जाएं# 2) नेट पार्कर
नेटस्केप एक मृत सटीक स्वचालित स्कैनर है जो वेब अनुप्रयोगों और वेब APIs में SQL इंजेक्शन और क्रॉस-साइट स्क्रिप्टिंग जैसे कमजोरियों की पहचान करेगा और ओपन सोर्स सीएमएस का उपयोग करके विकसित लोगों सहित वेब एपीआई।
नेटस्केप ने पहचान की कमजोरियों की विशिष्ट रूप से पुष्टि करते हुए साबित किया कि वे वास्तविक हैं और गलत सकारात्मक नहीं हैं, इसलिए स्कैन को समाप्त करने के बाद आपको पहचान की कमजोरियों को मैन्युअल रूप से सत्यापित करने में घंटों की बर्बादी करने की आवश्यकता नहीं है। यह विंडोज सॉफ्टवेयर और ऑनलाइन सेवा के रूप में उपलब्ध है।
=> Netsparker आधिकारिक वेबसाइट पर जाएं# 3) जेडईडी हमला प्रॉक्सी (ZAP)
यह एक ओपन-सोर्स टूल है जो विशेष रूप से सुरक्षा पेशेवरों को वेब एप्लिकेशन में मौजूद सुरक्षा कमजोरियों का पता लगाने में मदद करने के लिए बनाया गया है। यह विंडोज, यूनिक्स / लिनक्स और मैकिन्टोश प्लेटफार्मों पर चलने के लिए विकसित किया गया है। इसका उपयोग वेब पेज के स्कैनर / फिल्टर के रूप में किया जा सकता है।
प्रमुख विशेषताऐं:
- इंटरसेप्टिंग प्रॉक्सी
- निष्क्रिय स्कैनिंग
- स्वचालित स्कैनर
- REST- आधारित API
वेब अनुप्रयोग सुरक्षा परियोजना (OWASP) खोलें
आवेदन आवेदन सुरक्षा के बारे में जानकारी प्रदान करने के लिए समर्पित है।
आमतौर पर वेब अनुप्रयोगों में पाए जाने वाले OWASP के शीर्ष 10 वेब एप्लिकेशन सुरक्षा जोखिम, कार्यात्मक अभिगम नियंत्रण, एसक्यूएल इंजेक्शन, टूटे हुए प्रामाणिक / सत्र, प्रत्यक्ष वस्तु रेफरी, सुरक्षा गलतफहमी, क्रॉस-साइट अनुरोध क्षमा, कमजोर घटक, क्रॉस-साइट स्क्रिप्टिंग, हैं। बिना रीडायरेक्ट और डेटा एक्सपोज़र।
ये शीर्ष दस जोखिम एप्लिकेशन को हानिकारक बना देंगे क्योंकि वे डेटा की चोरी या पूरी तरह से आपके वेब सर्वर को लेने की अनुमति दे सकते हैं।
हम GUI का उपयोग करने के साथ-साथ कमांड प्रॉम्प्ट पर OWASP निष्पादित कर सकते हैं:
- CLI - zap-cli -zap-path '+ EVConfig.ZAP_PATH +' के माध्यम से OWASP को ट्रिगर करने के लिए कमांड - त्वरित-स्कैन निहित -spider -r -s xss http: // + EVConfig.EV_1_IP + '-l सूचनात्मक।
- GUI से OWASP चलाने के लिए कदम:
- ब्राउज़र में स्थानीय प्रॉक्सी सेट करें और पृष्ठों को रिकॉर्ड करें।
- एक बार रिकॉर्डिंग पूरी हो जाने पर, OWASP टूल के लिंक पर राइट-क्लिक करें, और फिर 'सक्रिय स्कैन' पर क्लिक करें।
- स्कैनिंग के पूरा होने के बाद, एक .html प्रारूप में रिपोर्ट डाउनलोड करें।
OWASP निष्पादित करने के अन्य विकल्प:
- ब्राउज़र में स्थानीय प्रॉक्सी सेट करें।
- 'टेक्स्टबॉक्स' पर हमला करने के लिए to URL में URL दर्ज करें और फिर 'Attack' बटन पर क्लिक करें।
- स्क्रीन के बाईं ओर, स्कैन किए गए साइटमैप सामग्री को देखें।
- तल पर, आप दृश्य अनुरोध, प्रतिक्रिया और बग गंभीरता देखेंगे।
जीयूआई स्क्रीनशॉट:
डाउनलोड जेडईडी हमला प्रॉक्सी (ZAP)
# 4) बर्प सूट
यह एक उपकरण है जो वेब अनुप्रयोगों के सुरक्षा परीक्षण करने के लिए उपयोग किया जाता है। इसमें पेशेवर के साथ-साथ सामुदायिक संस्करण भी हैं। 100 से अधिक पूर्वनिर्धारित भेद्यता शर्तों के साथ यह आवेदन की सुरक्षा सुनिश्चित करता है, बर्प सूट कमजोरियों का पता लगाने के लिए इन पूर्वनिर्धारित शर्तों को लागू करता है।
कवरेज:
SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग (XSS), Xpath इंजेक्शन ... आदि जैसे 100 से अधिक सामान्य कमजोरियां। एक आवेदन में प्रदर्शन कर रहा है। स्कैनिंग को तेज या सामान्य रूप से अलग स्तर पर किया जा सकता है। इस टूल का उपयोग करके, हम संपूर्ण एप्लिकेशन या किसी साइट की एक विशेष शाखा या एक व्यक्तिगत URL को स्कैन कर सकते हैं।
स्पष्ट भेद्यता प्रस्तुति:
बर्प सूट एक पेड़ के दृश्य में परिणाम प्रस्तुत करता है। हम एक शाखा या नोड का चयन करके व्यक्तिगत मदों के विवरण के लिए नीचे ड्रिल कर सकते हैं। यदि कोई भेद्यता पाई जाती है तो स्कैन किया हुआ परिणाम लाल संकेत के साथ आता है।
कमजोर निर्णय आसान निर्णय लेने के लिए आत्मविश्वास और गंभीरता के साथ चिह्नित हैं। समस्या के पूर्ण विवरण, आत्मविश्वास प्रकार, समस्या की गंभीरता और फ़ाइल के पथ के साथ सभी रिपोर्ट की गई कमजोरियों के लिए विस्तृत कस्टम सलाह उपलब्ध है। खोज की गई कमजोरियों के साथ HTML रिपोर्ट डाउनलोड की जा सकती है।
डाउनलोड संपर्क
# 5) सोनारक्यूब
यह एक ओपन-सोर्स टूल है जिसका उपयोग सोर्स कोड की गुणवत्ता को मापने के लिए किया जाता है।
हालांकि जावा में लिखा गया है, यह बीस से अधिक विभिन्न प्रोग्रामिंग भाषाओं का विश्लेषण कर सकता है। यह जेनकींस सर्वर जैसे निरंतर एकीकरण उपकरण आदि के साथ आसानी से एकीकृत कर सकता है। परिणाम सोनारक्यूब सर्वर पर ‘ग्रीन’ और lights रेड लाइट्स ’के साथ आबाद होंगे।
अच्छे चार्ट और प्रोजेक्ट स्तर की अंक सूची देखी जा सकती है। हम इसे GUI से और साथ ही कमांड प्रॉम्प्ट से भी मंगवा सकते हैं।
निर्देश:
- कोड स्कैनिंग का संचालन करने के लिए, सोनारक्यूब धावक को ऑनलाइन डाउनलोड करें और इसे अनज़िप करें।
- इस डाउनलोड की हुई फाइल को अपने प्रोजेक्ट के रूट डायरेक्टरी में रखें।
- .Property फ़ाइल में कॉन्फ़िगरेशन सेट करें।
- टर्मिनल / कंसोल में `सोनार-रनर` /` सोनार-रनरटर.बैट` स्क्रिप्ट निष्पादित करें।
सफल निष्पादन के बाद, सोनारक्यूब सीधे HTTP: Ip: 9000 वेब सर्वर पर परिणाम अपलोड करता है, इस URL का उपयोग करके हम कई वर्गीकरणों के साथ एक विस्तृत परिणाम देख सकते हैं।
प्रोजेक्ट वार होम पेज:
यह उपकरण बग को विभिन्न स्थितियों जैसे कीड़े, भेद्यता, कोड बदबू और कोड दोहराव द्वारा वर्गीकृत करता है।
अंक सूची:
अगर हम प्रोजेक्ट डैशबोर्ड में बग काउंट पर क्लिक करते हैं तो हमें इश्यू लिस्ट पेज पर ले जाया जाएगा। कीड़े समस्या को ठीक करने के लिए गंभीरता, स्थिति, असाइनमेंट, रिपोर्ट किए गए समय और समय जैसे कारकों के साथ मौजूद होंगे।
मुश्किल मुद्दों का पता लगाएं:
समस्या कोड को एक लाल रेखा द्वारा चिह्नित किया जाएगा और पास में हम समस्या को ठीक करने के लिए सुझाव पा सकते हैं। उन सुझावों से समस्या को जल्द ठीक करने में मदद मिलेगी।
()ध्यान दें:एक विस्तृत दृश्य के लिए नीचे की छवि पर क्लिक करें)
जेनकिंस के साथ एकीकरण:
जेनकिन्स में सोनार स्कैनर करने के लिए एक अलग प्लगइन है, यह परीक्षण करने के बाद सोनारक्बी सर्वर पर परिणाम अपलोड करेगा।
डाउनलोड संपर्क
# 6) क्लोकार्ट
यह है एक कोड विश्लेषण उपकरण जो C, C ++, Java और C # जैसे प्रोग्रामिंग भाषाओं की सुरक्षा, सुरक्षा और विश्वसनीयता के मुद्दों की पहचान करने के लिए उपयोग किया जाता है। हम जेनकींस जैसे निरंतर एकीकरण उपकरण के साथ इसे आसानी से एकीकृत कर सकते हैं और नए मुद्दों का सामना करने पर जीरा में बग भी उठा सकते हैं।
प्रोजेक्ट वार स्कैन किए गए परिणाम:
टूल का उपयोग करके परिणाम का प्रिंटआउट लिया जा सकता है। मुख पृष्ठ पर, हम सभी स्कैन की गई परियोजनाओं को उनके 'नए' और 'मौजूदा' अंक की संख्या के साथ देख सकते हैं। समस्या की सीमा और अनुपात को ratio रिपोर्ट ’आइकन पर क्लिक करके देखा जा सकता है।
()ध्यान दें:एक विस्तृत दृश्य के लिए नीचे की छवि पर क्लिक करें)
विस्तृत मुद्दा:
हम 'खोज' टेक्स्टबॉक्स में विभिन्न खोज स्थितियों को दर्ज करके परिणाम को फ़िल्टर कर सकते हैं। मुद्दों को गंभीरता, राज्य, स्थिति और वर्गीकरण क्षेत्रों के साथ प्रस्तुत किया जाता है। समस्या पर क्लिक करके, हम एक मुद्दे की लाइन पा सकते हैं।
()ध्यान दें:एक विस्तृत दृश्य के लिए नीचे की छवि पर क्लिक करें)
अंक कोड को चिह्नित करें:
त्वरित पहचान के लिए, क्लोकवर्क ने ‘लाइन ऑफ़ कोड’ के मुद्दे को उजागर किया, समस्या का कारण बताता है और इससे उबरने के लिए कुछ उपाय सुझाता है।
जीरा को निर्यात करें:
हम सीधे klocwork सर्वर से 'निर्यात टू जीरा' बटन पर क्लिक करके एक जीरा बढ़ा सकते हैं।
जेनकिंस के साथ एकीकरण:
जेनकिंस में klocwork के साथ एकीकृत करने के लिए एक प्लगइन है, सबसे पहले, हमें जेनकिंस कॉन्फ़िगर पृष्ठ में klocwork विवरण को कॉन्फ़िगर करने की आवश्यकता है और उसके बाद Jenkins निष्पादन किए जाने के बाद रिपोर्ट को klocwork सर्वर पर अपलोड करने का ध्यान रखेगा।
xml फ़ाइलें खोलने के लिए सबसे अच्छा कार्यक्रम
क्लोकवर्क के लिए जेनकिंस कॉन्फ़िगरेशन:
डाउनलोड संपर्क ।
निष्कर्ष
मुझे उम्मीद है कि आपको सबसे अच्छे ओपन सोर्स सिक्योरिटी टूल्स के साथ-साथ सुरक्षा परीक्षण के अर्थ के बारे में स्पष्ट जानकारी मिली होगी।
इसलिए, यदि आप सुरक्षा परीक्षण कर रहे हैं, तो सुनिश्चित करें कि आप अपने अनुप्रयोगों को मूर्ख बनाने के लिए इन महत्वपूर्ण ओपन सोर्स टूल्स को याद नहीं करते हैं।
=> संपर्क करें यहाँ एक सूची का सुझाव देने के लिए।अनुशंसित पाठ
- नेटवर्क सुरक्षा परीक्षण और सर्वश्रेष्ठ नेटवर्क सुरक्षा उपकरण
- वेब अनुप्रयोग सुरक्षा परीक्षण गाइड
- 2021 में 10 सर्वश्रेष्ठ मोबाइल एपीपी सुरक्षा परीक्षण उपकरण
- 2021 में पेशेवरों द्वारा 19 शक्तिशाली पेनिट्रेशन टेस्टिंग टूल्स का उपयोग किया गया
- Acunetix वेब भेद्यता स्कैनर (WVS) सुरक्षा परीक्षण उपकरण (समीक्षा पर हाथ)
- AppTrana का उपयोग करके वेब अनुप्रयोग सुरक्षा परीक्षण कैसे करें
- मोबाइल ऐप सुरक्षा परीक्षण दिशानिर्देश
- सुरक्षा परीक्षण (एक पूर्ण गाइड)
- शीर्ष 30 सुरक्षा परीक्षण साक्षात्कार प्रश्न और उत्तर
- टॉप 4 ओपन सोर्स सिक्योरिटी टेस्टिंग टूल्स टू टेस्ट वेब एप्लीकेशन