Czy kojarzycie jakieś narzędzia do przetestowania security na stronie internetowej? Niby sporo tego w necie jest, ale jak już chcę ściągnąć dany program to albo wymagają weryfikacji nr telefonu albo dany program jest płatny. Chciałbym przetestować stronę internetową np. pod kątem OWASP.
0
1
wymagają weryfikacji nr telefonu
Ale jeśli nie chcesz tego użyć nielegalnie, nie chcesz komuś wejść na serwer, to w czym problem, żeby podać numer? A gdybyś szukasz pomocy w czymś nielegalnym, to nie tutaj.
0
Nr telefonu nie chce podawac zeby nie miec pozniej jakichs nieprzyjemnosci np pobierania pieniedzy z konta telefonu.
2
To idziesz do dowolnego salonu GSM i za 5PLN kupujesz starter. Niedawno to robiłem - brałem jakiś starter dla dzieciaka. Całość trwała nie więcej, niż 5 minut.
6
Korzystałem kiedyś z OWASP ZAP
Nie wymagało to rejestracji, podawania numeru telefonu ani nic. Nie zdążyłem poznać zaawansowanych możliwości, taki najbardziej podstawowy "skan" będzie uderzał do serwisu pod kątem typowych podatności np. XSS, SQL Injection. Nie wiem jak w przypadku innych narzędzi, ale z tego co zauważyłem ZAP po prostu wali ile wlezie ("ile" jest konfigurowalne) różnymi requestami (np. wstawki SQL zaszyte na różne sposoby) i patrzy, czy coś przeszło. Pokazywał sporo rzeczy, które okazywały się false positive, ale zdarzało się też, że na chłopski rozum gdzieś powinna być dziura a ZAP jej nie widział - ale to może kwestia słabej znajomości narzędzia i złej konfiguracji.
Komercyjnie jest Burp Suite
Z tego co kojarzę jest jednym z popularniejszych, wersja community najwyraźniej powinna wystarczyć do manualnych testów. Osobiście nie miałem okazji w tym babrać.
Z innych narzędzi które przychodzą mi do głowy / obiły mi się o uszy - takie najbardziej podstawowe narzędzia czyli nmap i curl, albo równoważne narzędzia / biblioteki do języków. Możesz jeszcze chcieć rzucić okiem na WireShark.
0
w3af, sqlmap, metasploit