Фаззеры web-приложений

Discussion in 'Инструменты' started by mix0x0, 15 Aug 2012.

  1. mix0x0

    mix0x0 Active Member

    Joined:
    1 Nov 2010
    Messages:
    365
    Likes Received:
    188
    Reputations:
    92
    Фаззеры web-приложений

    Название: SPIKE Proxy
    Разработчик: Dave Aitel

    [​IMG]

    Описание: SPIKE Proxy сочетает в себе комбинацию фаззера и сканера уязвимостей. Написан на Python, отсюда кроссплатформенность. Действует как прокси-сервер, отслеживает данные и проводит серию заданных запросов к ресурсу на предмет обнаружений уязвимостей.
    Презентация "Введение в SPIKE" (English)

    Сайт: http://immunityinc.com/resources-freesoftware.shtml
    Зеркало (2.9): http://www.sendspace.com/file/7e0udw

    Название: WebScarab
    Разработчик: OWASP

    [​IMG]

    Описание: Среда WebScarab – это сниффер для перехвата и разбора данных, передаваемых между веб-приложениями, между клиентом и сервером. Данная среда предназначена для анализа приложений, взаимодействующих по протоколам HTTP и HTTPS.
    Более подробно можно прочитать в статье: WebScarab — профессиональный инструмент для анализа защищённости веб-приложений.

    Сайт: https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project


    Название: WebFuzz
    Разработчик: -

    [​IMG]

    Описание: Приложение к книге: Fuzzing. Исследование уязвимостей методом грубой силы. Сырая платформа, но может кому-нибудь пригодится для экспериментов.
    P.S. Для запуска требуется Net Framework 2.0

    Сайт: http://www.fuzzing.org/
    Зеркало: http://www.sendspace.com/file/lyjkm3
     
    1 person likes this.
  2. BLurpi^_^

    BLurpi^_^ Banned

    Joined:
    9 Feb 2011
    Messages:
    252
    Likes Received:
    27
    Reputations:
    9
    Acunetix?
     
  3. ham

    ham Member

    Joined:
    21 Jul 2011
    Messages:
    27
    Likes Received:
    5
    Reputations:
    0
    Сюда много еще чего можно добавить:
    1. w3af (http://w3af.sourceforge.net/)
    OpenSource, динамично развивается
    2. Burp Suite (http://www.portswigger.net/burp/)
    Коммерческий аналог WebScarab. Правда в халявной версии нет активного сканер
    3. The OWASP Zed Attack Proxy (ZAP) (http://code.google.com/p/zaproxy/)
    Наследник Paros Proxy
    Пока все что вспомнилось :)
     
  4. Teratex

    Teratex New Member

    Joined:
    13 Mar 2012
    Messages:
    28
    Likes Received:
    3
    Reputations:
    5
    BLurpi^_^
    Acunetix - немного не из той оперы и сильно нагружаемый и не гибкий
    Вот из всех лучший и гибкий это - Burp Suite и без активного скана с помощью Intruder'a и набора фазинговых текствов их аналоги WebScarab OWASP Zed Attack Proxy не дотягивают по гибкости и стабильности работы, особенно WebScarab.
    Начинает развиваться IRON WASP, но пока тоже слабенько, но уже лучше чем WebScarab.
    Arachni - неплохой, но нормально работает только под никсы
    watobo - относительно быстро работает и неплохой, но так же пропускает многое