Тестирование, анализ сайта на уязвимости, какие есть инструменты?

Question

[Andrey San]

Добрый день, подскажите какие есть инструменты для тестирования сайта на наличие слабых мест, например тех которые описаны на Top10 OWASP, я понимаю что самый правильный метод это ручной разбор кода, но есть ли более менее полезные инструменты, заранее благодарю.

то что я знаю:
Acunetix Web Vulnerability Scanner
OWASP Zed Attack Proxy Project
nessus
nmap
w3af
ai-bolit
xspider

Comments

[Артем]

имхо, ручной разбор кода - не самый правильный метод, ибо кпд слабоватое.

[Adamos]

Артем: КПД ручного разбора чужого сложного кода может достигать значительных, но, увы, отрицательных, величин ;)

[qazomardok]

Также есть специальные скрипты-антивирусы.

Answer 1

[Serj-One]

metasploit framework - в этом плане своеобразный швейцарский нож.
А вообще, для этого есть целый дистрибутив, напичканный инструментами для пентеста - kali linux

Comments

[Сергей]

Где есть информация и мануалы по всем инструментам, что в kali linux? Есть ли kali linux не на kde?

[Котик Антон]

Сергей Илларионов: В интернете

Answer 2

[Konkase]

nikto, arachni, vegam, skipfish, burp, netsparker, websurgery

и ещё посмотрите тут tools.kali.org/tools-listing

Answer 3

[Александр Александрович]

Первое, что пришло sqlmap.org

Answer 4

[Dmitry K]

habrahabr.ru/post/125317 здесь довольно неплохо расписано одним известным российским вайтхэтом.

Answer 5

[ponchic]

Аналоги кали: Parrot Os :
+: бесплатная, больше тулз, дизайн как в кино
-: Язык вроде только испанский
www.parrotsec.org

Gnosis:
Оф сайта не нашёл ifud.ws/threads/gnosis.8785

BackBox:
www.backbox.org
+: Интерфейс у неё не гном а хвсе, поэтому батарея от ноута дольше живёт
(Рекомендую, лучше кала)

Кали для андроид:
www.nethunter.com

Answer 6

[ilya Lutkov]

Ну думаю для веба самый лучший вариант burp suite+sqlmap+fuzzing будет. ну и конечно же не забывай руководствоваться OWASP Guide...