Комментарии 8
Спасибо большое за подборку! Эти инструменты уже входят в состав Kali или требуют установки извне?
P S. Приятно видеть, что Go стал одним из любимчиков у создателей инструментов для пентеста.
80% данных инструментов, не входит в кали. Нужно ставить самостоятельно.
Автору:
Относительно API. Что можете посоветовать для тестирования данного интерфейса/службы?
Советую делать по больше таких изображений. Их можно использовать как шпаргалки. (такие вещи часто ретвитят и рекомендуют. — Реклама)
Подборка хорошая!
Много новых инструментов, относительно тех, с которыми раньше работали. — Спасибо.
Автору:
Наш коллега BeLoveСергей разве еще работает в Вашей фирме?
acunetix устанавливать все игры— что это значит? и насколько он хорош в боевых условиях? (на своих тестовых страницах он хорош).
Относительно API. Что можете посоветовать для тестирования данного интерфейса/службы?
Советую делать по больше таких изображений. Их можно использовать как шпаргалки. (такие вещи часто ретвитят и рекомендуют. — Реклама)
Подборка хорошая!
Много новых инструментов, относительно тех, с которыми раньше работали. — Спасибо.
«хочу устанавливать все игры» — тут имеется в виду «хочу получить всё и разом» :)
Acunetix и правда хорош. В них команде есть свои ресерчеры, следят за современными уязвимостями, актуализируют списки проверок. В первую очередь Акунетикс решает вопрос «покрытия кода» — в ручную можно случайно пропустить формочку, URL или забыть что-то прочекать. А сканер будет методично долбить часами или сутками пока весь веб ресурс не обойдет. Главное следить за сессией, чтобы не протухла :) Впрочем, можно настроить перелогин.
Кстати он и апишки проверяет, серверсайд инъекции им находились порой. Также можно посоветовать активный сканер встроенный в Burp+плагины для него, но про это отдельная статья будет.
А BeLove действительно уже не работает в DSec, но все еще занимается безопасностью, поэтому «коллега» :)
Acunetix и правда хорош. В них команде есть свои ресерчеры, следят за современными уязвимостями, актуализируют списки проверок. В первую очередь Акунетикс решает вопрос «покрытия кода» — в ручную можно случайно пропустить формочку, URL или забыть что-то прочекать. А сканер будет методично долбить часами или сутками пока весь веб ресурс не обойдет. Главное следить за сессией, чтобы не протухла :) Впрочем, можно настроить перелогин.
Кстати он и апишки проверяет, серверсайд инъекции им находились порой. Также можно посоветовать активный сканер встроенный в Burp+плагины для него, но про это отдельная статья будет.
А BeLove действительно уже не работает в DSec, но все еще занимается безопасностью, поэтому «коллега» :)
Что-то готовое для тестирования API найти сложно. Есть хороший фреймворк, но придется повозиться с найстройкой: github.com/openstack/syntribos
Не плохой инструмент:
DNS:
Theharvester — Это больше комбаин. который собирает все что найдет о домене. айпишки. домены / поддомены / почты. (последние обновления включают поддержку шодана и других поисковых систем. — Большой выбор)
В данную подборку не вошли инструменты по социалке. Тоже не плохо было бы почитать про них, возможно что то новое увидим.
DNS:
Theharvester — Это больше комбаин. который собирает все что найдет о домене. айпишки. домены / поддомены / почты. (последние обновления включают поддержку шодана и других поисковых систем. — Большой выбор)
В данную подборку не вошли инструменты по социалке. Тоже не плохо было бы почитать про них, возможно что то новое увидим.
Спасибо за статью!
Почему то забыли про netsparker. Вполне достойная акунетиксу тулза. В отличие от него в спаркере дофига настроек и крутилок (почти как было в акунетиксу до 11-й версии), что позволяет настроить скан более гибко.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Web tools, или с чего начать пентестеру?