Daftar Tools Scanner Vulnerability Website

Daftar Tool Pencari Kelemahan Website ~ Yoo apa kabar ?  bertemu lagi dengan saya si admin pemalas :v pada kali ini saya akan membahas apa aja sih tools-tools yang digunakan untuk mencari kelemahan website. tools ini digunakan mencari kelemahan sebuah website dan kemudian jika kita sudah tau apa kelemahan website kita maka bisa memperbaiki nya jadi website kita akan memperkecil kemungkinan website terkena hack oleh orang-orang usil.soo langsung aja simak artikelnya. 

Daftar Tools Untuk Mencari Kelemahan Website 

Grabber

Grabber adalah scanner web application yang dapat mendeteksi banyak vulnerability dalam sebuah web application. tools ini dapat mendeteksi vulnerability sebagai berikut:

  • Cross site scripting
  • SQL injection
  • Ajax testing
  • File inclusion
  • JS source code analyzer
  • Backup file check

Tool ini tidak ada  GUI nya jadi bagi yang tidak terbiasa dengan CLI mungkin akan sedikit sulit dan juga tidak dapat membuat laporan PDF apapun. tool ini dirancang dengan sederhana dan untuk penggunaan pribadi. Jika untuk penggunaan profesional mungkin kurang dikomendasikan.
download di sini: http://rgaucher.info/beta/grabber/
source code pada Github: https://github.com/neuroo/grabber

Vega
Vega adalah lain free open source web vulnerability scanner dan testing platform. Dengan tool ini, Anda dapat melakukan pengujian keamanan web application. tool ini ditulis dengan  Java dan ditampilkan dengan GUI. tool ini Tersedia untuk OS X, Linux dan Windows.
tools ini dapat digunakan untuk menemukan vulnerability SQL injection,  header injection, directory listing, shell injection, cross site scripting, file inclusion dan  web application vulnerabilities lainnya. tool ini juga dapat dikembangkan dengan menggunakan  powerful API yang ditulis dalam bahasa JavaScript.
Jika memerlukan bantuan, Anda dapat menemukan bantuan  di bagian dokumentasi:
Dokumentasi: https://subgraph.com/vega/documentation/index.en.html
Download Vega: https://subgraph.com/vega/

Zed Attack Proxy
Zed Attack Proxy juga dikenal sebagai ZAP. tool ini open source dan dikembangkan oleh AWASP. tool ini tersedia untuk Windows, Unix/Linux dan Macintosh platform. tool ini dapat digunakan untuk menemukan berbagai macam vulnerability dalam web application. tool ini sangat sederhana dan mudah digunakan. Bahkan kita yang masih baru dalam penetration testing dapat dengan mudah menggunakan tool ini untuk mulai belajar pengujian penetrasi web applications.
berikut adalah fungsi utama dari ZAP:

  • Intercepting Proxy
  • Automatic Scanner
  • Traditional but powerful spiders
  • Fuzzer
  • Web Socket Support
  • Plug-n-hack support
  • Authentication support
  • REST based API
  • Dynamic SSL certificates
  • Smartcard and Client Digital Certificates support

Anda dapat menggunakan tool ini sebagai scanner dengan memasukkan URL untuk melakukan scanning, atau bisa juga di gunakan sebagai proxy untuk s melakukan tes pada halaman tertentu.
Download ZAP: http://code.google.com/p/zaproxy/

Wapiti
Wapiti ini juga scanner vulnerability  web yang top cer lah, tool ini  memungkinkan Anda melakukan audit keamanan web application Anda. Melakukan black-box testing oleh scanning web pages dan injecting data. Mencoba untuk inject payloads dan melihat jika script mempunyai vulnerability. Support untuk GET dan POST HTTP attack dan mendeteksi beberapa vulnerability.
tool ini dapat mendeteksi vulnerabilities sebagai berikut :

  • File Disclosure
  • File inclusion
  • Cross Site Scripting (XSS)
  • Command execution detection
  • CRLF Injection
  • SEL Injection and Xpath Injection
  • Weak .htaccess configuration
  • Backup files disclosure
  • Dan banyak lagi

Wapiti berbasis CLI . Jadi, itu mungkin akan sedikit sulit untuk pemula. Tetapi bagi para ahli, itu bukan masalah yang berarti, untuk mempelajari pertintah-perintah nya bisa melihat pada bagian dokumentasi
Download Wapiti dengan kode sumber: http://wapiti.sourceforge.net/

W3af
W3af adalah  web application attack dan audit framework. framework ini bertujuan untuk memberikan platform web application penetration testing yang lebih baik. tool ini dikembangkan menggunakan Python. Dengan menggunakan tool ini, Anda akan mampu mengidentifikasi lebih dari 200 jenis vulnerability web application termasuk SQL injection, Cross-Site Scripting dan banyak lagi. Tool ini dapat digunakan dengan GUI dan CLI. Anda dapat menggunakannya dengan mudah karna menggunakan tampilan yang mudah untuk dipahami. Jika sebuah website membutuhkan otentikasi, Anda juga dapat menggunakan modul otentikasi untuk scan session-protected pages.
Anda dapat mengakses source di Github repositori: https://github.com/andresriancho/w3af/
Untuk download bisa dari situs resmi: http://w3af.org/

WebScarab
WebScarab adalah Framework security berbasis Java untuk menganalisis web application menggunakan protokol HTTP atau HTTPS. Dengan plugin yang tersedia, Anda dapat memperluas fungsi tool. tool ini bekerja sebagai intercepting proxy. Jadi, Anda dapat meninjau request dan response yang diberikan ke browser Anda dan menuju thw server. Anda juga dapat mengubah request atau respons sebelum paket diterima oleh server atau browser. Sayangnya bagi pemula tool ini akan sulit dipahami karna membutuhkan pemahaman di bagian protokol HTTP dan harus bisa coding. WebScarab menyediakan banyak fitur yang membantu penetration testers  bekerja untuk menemukan kerentanan keamanan. Ini memiliki spider yang dapat secara otomatis menemukan URL baru situs target, dan dapat dengan mudah mengambil skrip dan HTML halaman. Proxy mengamati lalu lintas antara server dan browser Anda, dan Anda dapat mengambil kontrol dari request dan respons dengan menggunakan plugin yang tersedia. Modul-modul yang tersedia dapat dengan mudah mendeteksi kerentanan yang paling umum seperti SQL Injeksi, XSS < CRLF dan banyak kerentanan lain.
Source code dari tool tersedia di Github: https://github.com/OWASP/OWASP-WebScarab
Download WebScarab di sini: https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

Skipfish
Skipfish juga tool web application security yang bagus. Tool tersebut melakukan crawls situs web dan kemudian memeriksa setiap halaman untuk berbagai ancaman keamanan dan pada akhirnya mempersiapkan laporan akhir. tool ini ditulis dalam bahasa C. tool ini sangat dioptimalkan untuk penangan  HTTP dan memanfaatkan sedikit CPU. Mengklaim bahwa dapat dengan mudah menangani permintaan 2000 per detik tanpa menambah beban pada CPU. Tool  ini tersedia untuk Linux, FreeBSD, MacOS X dan Windows.
Download Skipfish di GOogle kode: http://code.google.com/p/skipfish/

Ratproxy
Ratproxy adalah open source tool web application security audit yang dapat digunakan untuk menemukan vulnerability di web application. tool dapat digunakan di Linux, FreeBSD, MacOS X dan windows
tool ini dirancang untuk mengatasi masalah user yang biasanya yang dihadapi saat menggunakan tool proxy untuk security audit. Hal ini mampu membedakan antara CSS stylesheet dan kode JavaScript. Ini juga mendukung SSL MITM, yang berarti Anda juga dapat melihat data melalui SSL.
Download http://code.google.com/p/ratproxy/

SqlMap
SqlMap adalah tool penetrasi yang populer dikalangan pentester. Tool ini bekerja otomatis  dalam proses menemukan dan mengeksploitasi vulnerability SQL injection dalam database website. Memiliki sebuah mesin deteksi yang kuat dan banyak fitur berguna lainnya. Jadi, penetrasi tester dapat dengan mudah melakukan check SQL injection pada sebuah situs web.
Mendukung berbagai database server termasuk MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase dan SAP MaxDB. Tool ini menawarkan dukungan penuh untuk 6 macam teknik SQL injection diantaranya : time-based blind, boolean-based blind, error-based, UNION query, stacked queries and out-of-band.
Source code  dan download di Github: https://github.com/sqlmapproject/sqlmap

Wfuzz
Wfuzz dapat digunakan untuk Brute Force GET dan POST parameter untuk pengujian terhadap berbagai jenis injection seperti SQL, XSS, LDAP, dan banyak lagi. Tool Ini juga support untuk cookie fuzzing, multi-threading, SOCK, Proxy, Authentication, parameters brute forcing, multiple proxy dan banyak hal lainnya. Tool ini hanya berbasis CLI tidak ada tampilan GUI nya.
Download Wfuzz di code.google.com: http://code.google.com/p/wfuzz/

Grendel-Scan
Grendel-Scan adalah tool yang otomatis  menemukan vulnerability di web application. Banyak fitur lain juga tersedia untuk pengujian penetrasi manual. tool ini tersedia untuk Windows, Linux dan Macintosh. Alat ini dikembangkan dengan Java.
download tool dan source code : http://sourceforge.net/projects/grendel/

Watcher
Watcher adalah pasif  scanner keamanan web. Tool Itu tidak melakukan penyerangan dengan banyak request atau crawls situs target.wacther bukanlah sebuah tool terpisah melainkan sebuah add-on dari Fiddler. Jadi Anda perlu  menginstal Fiddler terlebih dahulu dan kemudian install Watcher untuk menggunakannya.
Tool Ini diam-diam menganalisis request dan respons dari interaksi user dan kemudian membuat laporannya. Karena pasif scannerjadi tidak akan mempengaruhi website hosting atau cloud infrastruktur.
Download wacther dan source code: http://websecuritytool.codeplex.com/

X5S
X5s juga merupakan sebuah add-on Fiddler yang bertujuan untuk menyediakan cara  menemukan cross-site scripting vulnerability. Tool tidak otomatis ,Jadi Anda perlu memahami bagaimana encoding issues dapat mengakibatkan XSS. Anda perlu secara manual mencari titik injeksi dan kemudian memeriksa yang dapat di terapkan XSS.
Download X5S dan source code dari codeplex: http://xss.codeplex.com/
kalian juga dapat melihat ke panduan  resmi untuk tau bagaimana menggunakan X5S : http://xss.codeplex.com/wikipage?title=tutorial

Arachni
Arachni adalah tool open source yang dikembangkan untuk menyediakan  penetrasi testing environment. Tool ini dapat mendeteksi berbagai vulnerability web application. Dapat mendeteksi berbagai kerentanan seperti SQL Injection, XSS, Local File inclusion, remote file inclusion, unvalidated redirect, dan banyak lagi.
Tool dapat didownload di sini: http://www.arachni-scanner.com/

Nah itu lah daftar tool untuk mencari vulnerability website yang mungkin kalian ingin gunakan untuk mencari kelemahan website dan lagi tools-tools tersebut tersedia secara open source jadi kalian bebas untuk menggunakan dan juga mengembangkan tools tersebut, sekian dari saya see ya.

Tinggalkan Balasan

Close Menu