>
Январь 2018
Пн Вт Ср Чт Пт Сб Вс
« Дек    
1234567
891011121314
15161718192021
22232425262728
293031  

Обзор сканеров уязвимостей сайта

Количество сканеров, представленных на рынке сегодня, просто огромно. Среди них как и узкоспециализированные под какую-то одну багу или технологии, так и серьезные монстры, способные найти уязвимость, раскрутить ее и вытащить необходимые данные. Есть как платные, так и распространяемые под свободными лицензиями. И те и другие имеют право на жизнь, и кто из них лучше — это еще вопрос. Любой сканер, к сожалению (а может, и к счастью), неспособен реально оценить положение вещей, он не может с точностью до байта сказать, что в этом участке кода спрятана уязвимость. Именно поэтому многие не сильно доверяют сканерам или же делают ими лишь поверхностный анализ.

Metasploit — думаю, что этот монстр не нуждается в представлении.

Включен практически во все хакерские дистрибутивы, а в широко известном Kali так вообще входит в топ-10 самого распространенного софта, и, поверь, не просто так. Огромная база эксплоитов и возможностей поистине внушает уважение. Этим инструментом можно хакать практически что угодно. Имеет консольный интерфейс, но при желании легко прикручивается GUI, который делает Metasploit еще более привлекательным для использования.

W3af — весьма интересный сканер с кучей фишек, написан на питоне и позволяет допилить или переписать любой нужный тебе плагин.

Изначально плагинов довольно много, и они настроены по умолчанию. В зависимости от их параметров сканер будет работать лучше или хуже. После окончания сканирования есть возможность проэксплуатировать найденные баги. Также есть консольный интерфейс и GUI. Довольно мощная документация и поддержка сообщества.

Acunetix. Тоже весьма интересный сканер, работает на платформе Win, платный, но сам знаешь где можно найти старенькие крякнутые версии.

Им очень удобно сканить целые диапазоны айпишников или доменов. Рисует красивые отчеты. С каждой новой версией дополняется различными приятными фичами и возможностями. Имеет весьма красивый интерфейс, а разобраться с ним проще простого. К сожалению, имеет слишком большое количество ложных срабатываний. Но для общей картины в массах весьма хорош, дабы пройтись по топ-10 OWASP.

Burp Suite на самом деле не совсем сканер, хотя, конечно, в платной версии это есть и весьма успешно работает.

Burp Suite scaner

Но чаще всего этот инструмент используется для модификации запросов к серверу или изучения ответов сервера. Есть разные расширения, как тот же спайдер, который найдет все страницы ресурса или поможет декодировать какую-то едкую строку в нужную кодировку. Также в Сети разбросаны различные самописные плагины, не говоря уже о том, что можно написать и самому. Словом, инструмент, практически незаменимый в повседневной работе.

[Всего голосов: 2    Средний: 5/5]
Share Button

Вам может быть интересно также:

Last updated by at .

3 комментария Обзор сканеров уязвимостей сайта

Leave a Reply

You can use these HTML tags

<a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">