原标题:【免费领】顶级开源网安工具之SAST与DAST你知道SAST和DAST吗?SAST全称“静态应用程序安全测试(Static application security testing)”,也就是通过检查代码以发现软件缺陷和安全漏洞;DAST全称“动态应用程序安全测试(Dynamic application security testing)”,也就是在应用程序运行时对应用程序进行安全检查以发现漏洞。
它们一个是白盒测试方法,一个是黑盒测试方法,唯有“双剑合璧”,才能为应用保驾护航不少人对于开源网安工具情有独钟,因此,本文将介绍获得国外某组织推荐的一批顶级开源SAST与DAST工具,希望能帮助学习者了解和选择合适的工具来提升自己的能力。
SASTBandit
面向安全的 python 代码静态分析器。Contrast Security CodeSec
CodeSec by Contrast - 最快、最准确的 SAST 扫描仪。扫描代码和无服务器环境Checkov
一款针对基础设施即代码(IaC)的静态代码分析工具,也是一款针对图像和开源软件包的软件构成分析(SCA)工具。Gitleaks
一款针对 git 仓库、文件和目录的快速、轻量级、便携式开源秘密扫描器nodejsscanhttps://github.com/ajinabraham/nodejsscan一款适用于 Node.js 应用程序的静态安全代码扫描器。
OWASP Dependency-Check
https://owasp.org/www-project-dependency-check/一款软件构成分析 (SCA) 工具,用于检测项目依赖项中包含的已公开披露的漏洞它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来实现这一目的。
如果发现,它将生成一份报告,链接到相关的 CVE 条目SonarQubehttps://github.com/SonarSource/sonarqube不仅能显示应用程序的健康状况,还能突出显示新引入的问题。
有了质量门,您就可以边编码边清理,从而系统地提高代码质量SpotBugs
https://spotbugs.github.io/是一个使用静态分析查找 Java 代码中 bug 的程序它是根据 GNU 宽通用公共许可证条款发布的自由软件DASTOWASP Zed Attack Proxy。
https://owasp.org/www-project-zap/一种开源Web应用程序安全扫描器它旨在供刚接触应用程序安全性的人员以及专业的渗透测试人员使用它是最活跃的开放式Web应用程序安全项目项目之一,并已被授予旗舰地位。
用作代理服务器时,它允许用户操纵通过它的所有流量,包括使用HTTPS的流量Wapiti
https://wapiti-scanner.github.io/Wapiti 允许您审计网站或网络应用程序的安全性,它通过抓取已部署网络应用程序的网页来执行网络应用程序的 "黑盒 "扫描(不研究源代码),寻找可以注入数据的脚本和表单。
一旦获得 URL、表单及其输入的列表,Wapiti 就会像模糊器一样注入有效载荷,查看脚本是否存在漏洞以上这些开源监测系统工具我们已精心为您整理于此!
长按识别下方二维码,回复“0817”,免费领取~【请注意:不要直接回复公众号哦~】免责声明所有资料均来源于网络分享,仅限用于个人学习交流,禁止任何违法操作和非法用途!由使用者产生的任何责任,与作者和本平台无关!
返回搜狐,查看更多责任编辑:
亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。