layout | title | tags |
---|---|---|
col-document |
WSTG - Latest |
WSTG |
{% include breadcrumb.html %}
В этом приложении приведён список распространённых инструментов, используемых для тестирования web-приложений. Он не претендует на то, чтобы быть полным справочником по инструментам, и включение в него инструмента не следует рассматривать как особое одобрение этого инструмента со стороны OWASP.
Список содержит только те инструменты, которые находятся в свободном доступе для скачивания и использования (хотя у них могут быть лицензии, ограничивающие их использование в коммерческих целях).
- OWASP ZAP
- Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновение для поиска уязвимостей в web-приложениях. Он предназначен для использования людьми с широким спектром опыта в области безопасности и поэтому идеально подходит для разработчиков и функциональных тестировщиков, которые ещё не знакомы с тестированием на проникновение.
- В ZAP есть автоматические сканеры, а также набор инструментов, позволяющих находить уязвимости в системе безопасности вручную.
- Burp Suite Community Edition
- Burp Suite — перехватывающий прокси для тестирования безопасности. Он позволяет перехватывать и изменять весь трафик HTTP(S), проходящий в обоих направлениях, он может работать с пользовательскими SSL-сертификатами и клиентами, не поддерживающими прокси.
- Telerik Fiddler
- Fiddler — перехватывающий web-прокси, который в первую очередь предназначен для разработчиков, а не для тестировщиков на проникновение, но все же предоставляет полезную функциональность. Он также напрямую подключается к Windows HTTP API, что позволяет ему перехватывать трафик от некоторых программ, которые не позволяют устанавливать пользовательские прокси.
- Firefox HTTP Header Live
- Анализ HTTP-заголовков страницы во время её просмотра.
- Firefox Multi-Account Containers
- Создаёт несколько контейнеров, каждый из которых имеет свои собственные изолированные cookie и сессии. Полезно для тестирования контроля доступа между разными пользователями.
- Firefox Tamper Data
- Для просмотра и изменения заголовков HTTP/HTTPS и параметров сообщений.
- Firefox Web Developer
- Добавляет в браузер различные инструменты web-разработчика.
- Chrome Web Developer
- Добавляет в браузер кнопку панели инструментов с различными инструментами web-разработчика. Это официальный порт расширения Web Developer для Chrome.
- HTTP Request Maker
- С помощью этого инструмента вы можете перехватывать запросы, вмешиваться в URL, заголовки и данные POST и, конечно, делать новые запросы.
- Cookie Editor
- Менеджер файлов cookie. Вы можете добавлять, удалять, редактировать, искать, защищать и блокировать cookie.
- Spotbugs
- Find Security Bugs
- phpcs-security-audit
- PMD
- Microsoft's .NET Analyzers
- SonarQube Community Edition
Средства автоматизации браузера используются для проверки функциональности web-приложений. Некоторые придерживаются скриптового подхода и используют платформу модульного тестирования для создания наборов тестов и тестовых примеров. Большинство из них, если не все, могут быть адаптированы для проведения конкретных тестов безопасности в дополнение к функциональным тестам.
- HtmlUnit
- Фреймворк на основе Java и JUnit, который использует Apache HttpClient в качестве транспорта.
- Очень надёжный и настраиваемый, используется в качестве движка для ряда других инструментов тестирования.
- Selenium
- Фреймворк для тестирования на основе JavaScript, кроссплатформенный, предоставляет графический интерфейс для создания тестов.