Escolar Documentos
Profissional Documentos
Cultura Documentos
OWASP ZAP
Sem fins lucrativos, a OWASP ZAP oferece escaneamento manual e automtico de
aplicaes web, tanto para novatos quanto para veteranos em testes de penetrao. Com
cdigo aberto, ela est disponvel no GitHub.
A ferramenta desempenha uma variedade de testes, incluindo escaneamento de portas,
ataque de fora bruta e fuzzing, tudo para identificar cdigos maliciosos. Seu usurio usa
interface grfica intuitiva, semelhante de uma aplicao da Microsoft ou outras ferramentas
de web design (como a Arachnophilia).
Uma vez tendo navegado e desempenhado atividades em um site, ele usa o ZAP para
visualizar o cdigo e outros processos realizados durante essas atividades. Quando configurado
como um servidor Proxy, o OWASP ZAP controla o trfego da web que processa. Essa
ferramenta mais nova que a Burp Suite. No to rica, mas gratuita e de cdigo aberto.
Ela fornece um conjunto de funcionalidades e uma interface grfica que so teis para as
pessoas novatas nos testes de penetrao, defende Payer.
SQLmap
Por sua vez, o SQLmap automatiza a descoberta de buracos de SQL Injection,
explorando essas fragilidades e tomando o controle das bases de dados e servidores
subjacentes. O SQLmap pode ser instalado no Ubuntu Linux, dentro de uma mquina virtual
(VM).
Use o SQLmap para testar sites com cdigos imprprios e URLS ligadas a bases de
dados por meio de comandos python em linha. Se um link malicioso para as informaes de
databases atrair um cdigo errado, ento a URL est sujeita a ataques.
Outra ferramenta script-friendly, a SQLmap pode determinar se um programador tem
parametrizado as entradas, informa Payer. Se ele no o fez, um agressor poderia enviar um
comando SQL e rod-lo na base de dados, ganhando controle.
Kali Linux
O Kali Linux uma sute de ferramentas pr-instaladas de testes de penetrao,
segurana e forense. Ela tem funcionalidades para pessoas com zero conhecimento de
segurana, aponta Saez.
De acordo com ele, instale a Kali Linux e abra qualquer uma das mais de uma dzia de
ferramentas que possui. Ela vem com um grande volume de documentao de usurio,
assinala.
Jawfish
Ao contrrio da maioria das ferramentas, que costumam ser signature based, a Jawfish
onde Saez desenvolvedor -- usa algoritmos genticos. Ela procura coisas no contexto da
busca, pontua Saez. Baseando-se em critrios de busca, a Jawfish procura vulnerabilidades.
Voc pode test-la usando a interface grfica do utilizador (GUI) disponvel. Coloque um
endereo IP para o servidor, um endereo web desprotegido nesse IP, a vulnerabilidade e o
mtodo desejados e ento a mensagem de concluso. A ferramenta retornar o texto quando
o site for hackeado com sucesso. A Jawfish nova e no est preparada para adoo
corporativa.