Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Herramientas y recursos de prueba de penetración de aplicaciones web más importantes para piratas informáticos y profesionales de la seguridad

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 1258

 

Herramientas y recursos de prueba de penetración de aplicaciones web más importantes para piratas informáticos y profesionales de la seguridad

Herramientas de Pentesting de Aplicaciones Web son más utilizados por las industrias de seguridad para probar las vulnerabilidades de las aplicaciones basadas en la web. Aquí puede encontrar la lista completa de pruebas de penetración de aplicaciones web que cubre la realización de pruebas de penetración en todos los entornos corporativos.

Puedes aprender el mejor nivel de Maestría Pruebas de penetración y piratería web Paquete completo de la plataforma líder en ciberseguridad de aprendizaje electrónico.

Herramientas de Pentesting de Aplicaciones Web

Organización/Empresa

  • OWASP – El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) es una organización benéfica mundial sin fines de lucro 501(c)(3) enfocada en mejorar la seguridad del software.

Firewall de aplicaciones web

  • ModSecurity – ModSecurity es un conjunto de herramientas para el monitoreo, registro y control de acceso de aplicaciones web en tiempo real.
  • NAXSI – NAXSI es un WAF de código abierto, alto rendimiento y bajo mantenimiento de reglas para NGINX, NAXSI significa Nginx Anti Xss & Sql Injection.
  • sql_cortafuegos Extensión del cortafuegos SQL para PostgreSQL
  • abeja de hierro – IronBee es un proyecto de código abierto para construir una aplicación web universal Pentesting Tools. IronBee como marco para desarrollar un sistema para asegurar aplicaciones web: un marco para construir un firewall de aplicaciones web (WAF)
  • Indusface – Un firewall de aplicaciones web de la nueva era destinado a impedir que los actores de amenazas se filtren en el sistema, al detectar las vulnerabilidades de las aplicaciones, el malware y las fallas lógicas.

Escaneo / Pentesting

  • mapa sql – sqlmap es una herramienta de prueba de penetración de aplicaciones web de código abierto que automatiza el proceso de detección y explotación de fallas de inyección SQL y toma de control de los servidores de bases de datos. Viene con un potente motor de detección, muchas características de nicho para el probador de penetración definitivo y una amplia gama de interruptores que van desde la toma de huellas dactilares de la base de datos, la obtención de datos de la base de datos, hasta el acceso al sistema de archivos subyacente y la ejecución de comandos en el sistema operativo a través de la salida. conexiones fuera de banda.
  • ZAP – Zed Attack Proxy (ZAP) es una herramienta integrada de Pentesting de aplicaciones web fácil de usar para encontrar vulnerabilidades en las aplicaciones web. Está diseñado para ser utilizado por personas con una amplia gama de experiencia en seguridad y, como tal, es ideal para desarrolladores y probadores funcionales que son nuevos en las pruebas de penetración. ZAP proporciona escáneres automatizados, así como un conjunto de herramientas que le permiten encontrar vulnerabilidades de seguridad de forma manual.
  • Lista de verificación de prueba de OWASP v4 – Lista de algunos controles para probar durante una evaluación de vulnerabilidad web. Se puede encontrar la versión Markdown esta página.
  • w3af – w3af es un marco de auditoría y ataque de aplicaciones web. El objetivo del proyecto es crear un marco para ayudarlo a proteger sus aplicaciones web al encontrar y explotar todas las vulnerabilidades de las aplicaciones web.
  • Reconocimiento – Recon-ng es un marco de reconocimiento web con todas las funciones escrito en Python. Recon-ng tiene una apariencia similar a Metasploit Framework.
  • PTF – El Penetration Testers Framework (PTF) es una forma de soporte modular para herramientas actualizadas.
  • Mono de infección – Una herramienta de prueba de penetración semiautomática para redes de mapeo/prueba de penetración. Simula un atacante humano.
  • ACSTIS – ACSTIS lo ayuda a escanear ciertas aplicaciones web para la inyección de plantilla del lado del cliente de AngularJS (a veces denominada CSTI, escape de sandbox o omisión de sandbox). Admite escanear una sola solicitud, pero también rastrear la aplicación web completa en busca de la vulnerabilidad AngularJS CSTI.
  • Guía de Metaspolit

Autoprotección de aplicaciones en tiempo de ejecución

  • Cuadrado – Sqreen es una solución de autoprotección de aplicaciones en tiempo de ejecución (RASP) para equipos de software. Un agente en la aplicación instrumenta y monitorea la aplicación. Las actividades sospechosas de los usuarios se informan y los ataques se bloquean en tiempo de ejecución sin modificar el código ni redirigir el tráfico.

Desarrollo

  • Seguro por diseño – Libro que identifica patrones de diseño y estilos de codificación que hacen que muchas vulnerabilidades de seguridad sean menos probables. (acceso anticipado, publicación continua, lanzamiento final en otoño de 2017)
  • Protección de DevOps – Libro que explora cómo las técnicas de DevOps y Security deben aplicarse juntas para hacer que los servicios en la nube sean más seguros. (acceso anticipado, publicación continua, versión final enero de 2018)
  • Comprensión de la seguridad de API: una muestra de libro electrónico gratuito que brinda cierto contexto sobre cómo funciona la seguridad de API en el mundo real al mostrar cómo se combinan las API y cómo se puede usar el protocolo OAuth para protegerlas.
  • OAuth 2 en acción – Libro que le enseña el uso práctico y la implementación de OAuth 2 desde la perspectiva de un cliente, un servidor de autorización y un servidor de recursos.

usabilidad

  • Curso de seguridad utilizable – Curso de seguridad utilizable en Coursera. Bastante bueno para aquellos que buscan cómo se cruzan la seguridad y la usabilidad.

Big Data

  • piratería de datos – Ejemplos del uso de IPython, Pandas y Scikit Learn para aprovechar al máximo sus datos de seguridad.
  • hadoop-pcap – Biblioteca Hadoop para leer archivos de captura de paquetes (PCAP).
  • Banco de trabajo – Un marco Python escalable para equipos de investigación y desarrollo de seguridad.
  • OpenSOC – OpenSOC integra una variedad de tecnologías de big data de código abierto para ofrecer una herramienta centralizada para el monitoreo y análisis de seguridad.
  • Apache Metron (incubando) – Metron integra una variedad de tecnologías de big data de código abierto para ofrecer una herramienta centralizada para el monitoreo y análisis de seguridad.
  • Apache Spot (incubando) – Apache Spot es un software de código abierto para aprovechar los conocimientos del análisis de flujo y paquetes.
  • cerdobinario – Extracción de datos binarios escalables en Hadoop. Procesamiento y análisis de malware sobre Pig, exploración mediante Django, Twitter Bootstrap y Elasticsearch.

DevOps

    aprender sobre Pentesting.

  • Protección de DevOps – Un libro sobre técnicas de seguridad para DevOps que revisa las prácticas de vanguardia utilizadas para proteger las aplicaciones web y su infraestructura.

Libros

Documentación

Herramientas

Hojas de trucos

Imágenes de Docker para pruebas de penetración

Vulnerabilidades

Cursos

Sitios de demostración de piratería en línea

labs

SSL

Seguridad Ruby on Rails

Conclusión

Las herramientas de pentesting de aplicaciones web son muy esenciales para realizar pruebas de penetración en las diversas aplicaciones basadas en la web para encontrar fallas de seguridad y proteger la aplicación de los ciberdelincuentes. Hay varias herramientas de pentesting disponibles, las herramientas de pentesting de aplicaciones web mencionadas anteriormente son la lista principal para realizar varios niveles de operación de pentesting e informar al proveedor respectivo para parchear las vulnerabilidades de la aplicación web.

Fuente: https://gbhackers.com/web-application-security-tools-resources/

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.