Hier finden Sie eine Übersicht über Schwachstellen-Scanner und Hilfsprogramme für das Web 2.0. Sie sind in alphabetischer Reihenfolge und ohne jegliche Bewertung aufgelistet. Mit diesen Tools spüren Sie Probleme in Ihren Webanwendungen auf, bevor es ein anderer tut.
Diese Liste wird aktualisiert, wenn es interessante neue Tools gibt.
Kommerzielle Web Application Scanner:
Acunetix: Acunetix Web Vulnerability Scanner
Watchfire/IBM: AppScan
Mayflower: Chorizo!
Cenzic: Hailstorm
N-Stalker: N-Stalker Web Application Security Scanner
Rapid7: NeXpose
Syhunt: Sandcat
NGSSoftware: Typhon III
SPI Dynamics/HP: WebInspect
Open Source Web Application Scanner etc.:
Blueinfy Tools
Verschiedene Tools zur Analyse von Webanwendungen
Burp suite
Integrierte Webanwendungs-Angriffs-Plattform mit mehreren Modulen für Analyse und Angriff
Grabber
Web Application Scanner mit geringem Funktionsumfang
MacNikto
Mac OS X Version von Nikto
Nikto
Testet Webserver auf verschiedene Schwachstellen, enthält eine große Datenbank mit gefährlichen bzw. verwundbaren Dateien und Versionen
Open-Labs Tools
Verschiedene Tools zur Analyse von Webanwendungen
Paros Proxy
Java-basierter Webproxy mit Editierfunktion. Enthält u.a. eine Aufnahmefunktion und einen Spider
OWASP: Sprajax
Blackbox-Scanner für Ajax-Anwendungen, unterstützt zur Zeit nur Microsofts Atlas und Web-Service nach WSDL-Beschreibung
Springenwerk Security Scanner
XSS-Scanner, in Python geschrieben
w3af -
Web Application Attack and Audit Framework
Der Name sagt wohl schon alles, noch im Beta-Stadium
OWASP: WebScarab
Framework zur Analyse von HTTP/HTTPS-Kommunikation
Wikto: Web Server Assessment Tool
Tool zum Prüfen von Webservern, ähnlich Nikto, aber mit erweitertem Umfang
WordPress Scanner
Scanner speziell für WordPress
wsChess - Web Services Assessment and Defense Toolkit
Mehrere Tools für .NET, in C# geschrieben
Hilfsprogramme:
Detect Your Web Application's Vulnerabilities Early with Ruby
Webanwendungen-Fuzzing mit Ruby
Fiddler
HTTP Debugging Proxy, erlaubt u.a. das Setzen von Breakpoints
Fierce Domain Scan
Ein Reconnaissance-Tool in Perl
Firebug
Nützlich, um Javascript im Browser zu manipulieren
Firefox-Add-on: Tamper Data
Erlaubt das Ansehen und Ändern von TTP/HTTPS-Headern und POST-Parametern
JsUnit
Ein Unit-Testing-Framework für Javascript
libwhisker
Perl-Bibliothek zur Schwachstellensuche in CGIs, wird z.B. von Nikto verwendet
Malybuzz
Multiprotokoll-Netzwerk-Fuzzer
Nmap
Network Mapper zur Erkundung des Netzwerks
RATS - Rough Auditing Tool for Security
Sourcecode-Analyse für C, C++, Perl, PHP und Python
OpenQA: Selenium
Test-Tool für Webanwendungen
SpyBye
Sucht nach in Webanwendungen eingeschleusten Browser-Exploits
twill
Script-Sprache für automatisierte Tests
XSS (Cross Site Scripting) Cheat Sheet
Ausführliche Liste mit Möglichkeiten, XSS-Code zu tarnen
SQL-Injection-Tools:
Absinthe
BobCat
FG-Injector Framework
ISR-sqlget
ORACLE SQL Injection Cheat Sheet
pgshell
SQID sql injection digger
SQL Injection Cheat Sheet
SQL Injection Pentesting TooL
SQL Power Injector
Sqlbftools
SQLBrute
SQLIer
sqlmap
Sqlninja
Carsten Eilers
Kommentare