Комментарии 8
Спасибо большое за подборку! Эти инструменты уже входят в состав Kali или требуют установки извне?
P S. Приятно видеть, что Go стал одним из любимчиков у создателей инструментов для пентеста.
0
80% данных инструментов, не входит в кали. Нужно ставить самостоятельно.
Автору:
Относительно API. Что можете посоветовать для тестирования данного интерфейса/службы?
Советую делать по больше таких изображений. Их можно использовать как шпаргалки. (такие вещи часто ретвитят и рекомендуют. — Реклама)
Подборка хорошая!
Много новых инструментов, относительно тех, с которыми раньше работали. — Спасибо.
Автору:
Наш коллега BeLoveСергей разве еще работает в Вашей фирме?
acunetix устанавливать все игры— что это значит? и насколько он хорош в боевых условиях? (на своих тестовых страницах он хорош).
Относительно API. Что можете посоветовать для тестирования данного интерфейса/службы?
Советую делать по больше таких изображений. Их можно использовать как шпаргалки. (такие вещи часто ретвитят и рекомендуют. — Реклама)
Подборка хорошая!
Много новых инструментов, относительно тех, с которыми раньше работали. — Спасибо.
0
«хочу устанавливать все игры» — тут имеется в виду «хочу получить всё и разом» :)
Acunetix и правда хорош. В них команде есть свои ресерчеры, следят за современными уязвимостями, актуализируют списки проверок. В первую очередь Акунетикс решает вопрос «покрытия кода» — в ручную можно случайно пропустить формочку, URL или забыть что-то прочекать. А сканер будет методично долбить часами или сутками пока весь веб ресурс не обойдет. Главное следить за сессией, чтобы не протухла :) Впрочем, можно настроить перелогин.
Кстати он и апишки проверяет, серверсайд инъекции им находились порой. Также можно посоветовать активный сканер встроенный в Burp+плагины для него, но про это отдельная статья будет.
А BeLove действительно уже не работает в DSec, но все еще занимается безопасностью, поэтому «коллега» :)
Acunetix и правда хорош. В них команде есть свои ресерчеры, следят за современными уязвимостями, актуализируют списки проверок. В первую очередь Акунетикс решает вопрос «покрытия кода» — в ручную можно случайно пропустить формочку, URL или забыть что-то прочекать. А сканер будет методично долбить часами или сутками пока весь веб ресурс не обойдет. Главное следить за сессией, чтобы не протухла :) Впрочем, можно настроить перелогин.
Кстати он и апишки проверяет, серверсайд инъекции им находились порой. Также можно посоветовать активный сканер встроенный в Burp+плагины для него, но про это отдельная статья будет.
А BeLove действительно уже не работает в DSec, но все еще занимается безопасностью, поэтому «коллега» :)
+4
Что-то готовое для тестирования API найти сложно. Есть хороший фреймворк, но придется повозиться с найстройкой: github.com/openstack/syntribos
+2
Не плохой инструмент:
DNS:
Theharvester — Это больше комбаин. который собирает все что найдет о домене. айпишки. домены / поддомены / почты. (последние обновления включают поддержку шодана и других поисковых систем. — Большой выбор)
В данную подборку не вошли инструменты по социалке. Тоже не плохо было бы почитать про них, возможно что то новое увидим.
DNS:
Theharvester — Это больше комбаин. который собирает все что найдет о домене. айпишки. домены / поддомены / почты. (последние обновления включают поддержку шодана и других поисковых систем. — Большой выбор)
В данную подборку не вошли инструменты по социалке. Тоже не плохо было бы почитать про них, возможно что то новое увидим.
+1
Спасибо за статью!
-1
Почему то забыли про netsparker. Вполне достойная акунетиксу тулза. В отличие от него в спаркере дофига настроек и крутилок (почти как было в акунетиксу до 11-й версии), что позволяет настроить скан более гибко.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Web tools, или с чего начать пентестеру?