Инструменты оценки уязвимостей сканируют ресурсы на наличие известных уязвимостей, неправильных конфигураций и других недостатков. Затем эти сканеры выводят отчеты для групп ИТ-безопасности и разработки приложений (DevOps), которые передают приоритетные задачи в системы обработки заявок и рабочих процессов для исправления.
Инструменты тестирования уязвимостей с открытым исходным кодом предоставляют экономически эффективные решения для обнаружения уязвимостей. Многие ИТ-команды даже развертывают один или несколько инструментов с открытым исходным кодом в дополнение к коммерческим инструментам сканирования уязвимостей в качестве резервной копии или для проверки уязвимостей. По нашему анализу, вот лучшие инструменты уязвимостей с открытым исходным кодом на 2023 год.
Сканеры уязвимостей веб-сайтов и приложений с открытым исходным кодом:
OSV-Scanner — лучший сканер кода с открытым исходным кодом
sqlmap — лучший для сканирования базы данных
Wapiti — лучший для тестирования SQLi
ZAP (OWASP Zed Attack Proxy) — лучший для XSS-тестирования
Сканеры уязвимостей инфраструктуры с открытым исходным кодом:
CloudSploit — лучший сканер облачных ресурсов
Firmwalker — лучший для сканирования IoT
Nikto2 — лучший сканер веб-серверов
OpenSCAP — лучший выбор для сканирования с соблюдением требований
OpenVAS — лучшее решение для сканирования конечных точек и сети
Nmap — лучший для сканирования сети и портов
После обсуждения инструментов в этой статье будет рассказано, как мы оценивали сканеры уязвимостей с открытым исходным кодом и кто не должен использовать сканер уязвимостей с открытым исходным кодом. Для тех, кому может понадобиться переподготовка по сканированию уязвимостей, рекомендуем сначала прочитать наше руководство по сканированию уязвимостей.
Сканеры уязвимостей веб-сайтов и приложений с открытым исходным кодом
В постоянно подключенном мире разработчики постоянно создают сложные веб-сайты и приложения. Сканеры веб-сайтов и приложений (WebApp) проверяют код различными способами, чтобы обнаружить программные ошибки и уязвимости, прежде чем хакеры смогут их обнаружить.
Большинство инструментов обнаруживают распространенные, но критические уязвимости, перечисленные в первой десятке OWASP, такие как SQL-инъекции (SQLi) или межсайтовый скриптинг (XSS), но могут работать лучше в одной категории, чем в другой. Организации будут делать свой выбор на основе гибкости развертывания, скорости сканирования, точности сканирования и подключения к другим инструментам, таким как системы продажи билетов или программные продукты для рабочих процессов. Однако без затрат на лицензирование в качестве барьера многие команды будут развертывать несколько инструментов с открытым исходным кодом одновременно.
OSV-Scanner — Лучший Сканер Кода С Открытым Исходным Кодом
Несколько других инструментов для анализа состава программного обеспечения (SCA) значительно предшествовали дате запуска OSV Scanner 13 декабря 2022 года и эффективно сканируют статическое программное обеспечение на наличие уязвимостей в программном коде с открытым исходным кодом. Тем не менее, OSV, разработанный Google, использует базу данных уязвимостей с открытым исходным кодом OSV.dev и работает во множестве различных экосистем.
Хотя OSV является новичком, он предоставляет более широкий спектр источников уязвимостей и языков, и его следует рассматривать либо как замену, либо, по крайней мере, как дополнительный инструмент сканирования с открытым исходным кодом для команд DevOps.
Интерфейс сканирования уязвимостей OSV Scanner
Ключевая особенность
Сканирует программное обеспечение для обнаружения зависимостей и уязвимостей, которые на них влияют
Сохраняет информацию о затронутых версиях в JSON, машиночитаемом формате для интеграции с пакетами разработчика.
Сканирует каталоги, спецификации программного обеспечения (SBOM), файлы блокировки, образы докеров на основе Debian или программное обеспечение, работающее в контейнерах Docker.
Плюсы
Извлекает уязвимости из огромного количества источников: Apine, Android, crates.io, Debian, Go, Linux, Maven, npm, NuGet, OSS-Fuzz, Packagist, PyPl, RubyGems и других.
Показывает сжатые результаты, которые сокращают время, необходимое для разрешения.
Может игнорировать уязвимости по идентификационному номеру.
Все еще находится в активной разработке Google, поэтому будут добавлены новые функции.
Минусы
Все еще находится в активной разработке, поэтому отсутствуют полные функции для интеграции рабочих процессов разработчиков, уязвимости C/C++.
Может еще не превзойти специализированные возможности более специализированных и старых инструментов SCA с открытым исходным кодом для своих специальных языков программирования:
Бандит: Питон
Брейкман: Ruby on Rails
VisualCodeGrepper: C, C++, C#, VP, PHP, Java, PL/SQL, Cobol
Sqlmap — Лучший Для Сканирования Базы Данных
Некоторые команды DevOp хотят сканировать серверную базу данных, прежде чем подключать ее к коду. sqlmap позволяет выполнять сканирование уязвимостей баз данных и тестирование на проникновение в самые разные базы данных, не отвлекая команду DevOp ненужными функциями и функциями.
интерфейс сканирования уязвимостей sqlmap
Ключевая особенность
Автоматически распознает и использует хэши паролей
Разработан на Python и может работать в любой системе с интерпретатором Python.
Может напрямую подключаться к базе данных для тестирования с помощью учетных данных СУБД, IP-адреса, порта и имени базы данных.
Полная поддержка более 35 систем управления базами данных, включая MySQL, Oracle, Postgre SQL, Microsoft SQL Server, IBM DB2, Sybase, SAP MaxDB, Microsoft Access, Amazon Redshift, Apache Ignite и другие.
Выполняет шесть типов методов SQL-инъекций: слепые на основе логических значений, слепые на основе времени, на основе ошибок, на основе запросов UNION, стекированные запросы и внеполосные.
Плюсы
Может выполнять взлом пароля
Может искать определенные имена баз данных и таблицы
Поддерживает выполнение произвольных команд и получение стандартных выходных данных
Минусы
Инструмент командной строки без графического пользовательского интерфейса
Очень специализированный инструмент
Требуется опыт работы с базами данных для эффективного использования
Wapiti — Лучший Для Тестирования SQLi
Wapiti выполняет сканирование веб-сайтов и приложений методом «черного ящика» без проверки кода. Вместо этого Wapiti использует методы фаззинга для внедрения полезной нагрузки в скрипты и проверки на наличие распространенных уязвимостей.
Интерфейс сканирования уязвимостей Wapiti
Ключевая особенность
Поддерживает HTTP-методы GET и POST для атак
Модули проверяют наличие SQL-инъекций (SQLi), XPath-инъекций, межсайтовых сценариев (XSS), раскрытия файлов, внедрения Xml eXternal Entity (XXE), перечисления папок и файлов и многого другого.
Поддерживает прокси-серверы HTTP, HTTPS и SOCKS5.
Аутентификация через Basic, Digest, NTLM или GET/POST в формах входа
Сканирование может выполняться для доменов, папок, страниц и URL-адресов.
Плюсы
Тестирует широкий спектр потенциальных уязвимостей
Некоторые тесты показывают, что Wapiti обнаруживает больше уязвимостей SQLi и Blind SQLi, чем другие инструменты с открытым исходным кодом, такие как ZAP.
Минусы
Инструмент командной строки без графического пользовательского интерфейса
Требуется значительный опыт и знания для использования
ZAP (OWASP Zed Attack Proxy) — Лучший Для XSS-Тестирования
Zed Attack Proxy (ZAP) OWASP, также доступный в Kali Linux, размещается между браузером тестировщика и веб-приложением для перехвата запросов и действует как «прокси». Этот метод позволяет ZAP тестировать приложения, изменяя содержимое, пересылая пакеты и выполняя другие действия для имитации поведения пользователя и хакера.
овасп зап
Ключевая особенность
Доступно для основных операционных систем и Docker
Пакеты сканирования Docker доступны для быстрого запуска
Доступна структура автоматизации
Доступен комплексный API
Доступно ручное и автоматическое исследование
Плюсы
Активно поддерживается командами OWASP
Очень всеобъемлющий
Доступны как графический интерфейс, так и интерфейс командной строки.
Быстрое обучение и отличная документация
Удобен для разных уровней, от новичков до охранников
Очень хорошо справляется с обнаружением XSS-уязвимостей.
Может выполнять фаззинговые атаки
ZAP обычно используется тестировщиками на проникновение, поэтому использование ZAP дает отличное представление о том, какие уязвимости могут обнаружить случайные злоумышленники.
Минусы
Требуются дополнительные плагины для некоторых функций
Требуется некоторый опыт для использования
Обычно дает больше ложных срабатываний, чем коммерческие продукты
Сканеры уязвимостей инфраструктуры с открытым исходным кодом
Специалисты по безопасности и ИТ впервые разработали сканеры уязвимостей для поиска отсутствующих исправлений и неправильных конфигураций в традиционной сетевой ИТ-инфраструктуре: серверах, брандмауэрах, сетевом оборудовании и конечных точках. По мере усложнения облачных сред, виртуальных машин и подключенных устройств инструменты сканирования уязвимостей расширялись по количеству и объему, чтобы не отставать.
CloudSploit — Лучший Сканер Облачных Ресурсов
Aqua открыла исходный код основного механизма сканирования для своего CloudSploit, чтобы пользователи могли загружать, изменять и пользоваться преимуществами базового инструмента. Сканирование CloudSploit можно выполнять по запросу или настроить на непрерывную работу и отправку предупреждений командам безопасности и DevOp.
Интерфейс сканирования уязвимостей CloudSploit
Ключевая особенность
Использует интерфейс RESTful для API
API можно вызывать из командной строки, скриптов или систем сборки (Jenkins, CircleCL, AWS CodeBuild и т. д.)
Элементы управления чтением/записью могут предоставлять каждому ключу API определенные разрешения.
Каждый вызов API отслеживается отдельно
Непрерывный аудит CIS Benchmark для AWS, Azure и Google Cloud
Непрерывное сканирование может доставлять оповещения об изменениях в облачной инфраструктуре, которые создают уязвимости по мере их возникновения, такие как измененные группы безопасности, новые доверенные ключи SSH, деактивированные устройства MFA, удаленные журналы и многое другое.
Плюсы
Результаты в реальном времени
Безопасные подписи HMAC256 для аутентификации для ключей API
Сканирует более 95 угроз безопасности за считанные секунды
Интуитивно понятный веб-интерфейс
Поддерживает системы соответствия требованиям HIPAA и PCI (DSS).
Интегрируется для отправки оповещений через Slack, Splunk, OpsGenie, Amazon SNS, электронную почту и т. д.
Минусы
Недоступно через GitHub
Автоматическая отправка обновлений, некоторые инструменты отчетности и некоторая интеграция могут быть доступны только в платном продукте (дополнительные функции не являются открытым исходным кодом).
Firmwalker — Лучший Для Сканирования IoT
Несколько команд с открытым исходным кодом разработали различные инструменты для сканирования прошивки и настроек сетевого оборудования и Интернета вещей (IoT). Тем не менее, большинство из них больше склоняются к инструментам безопасности, чем к сканерам уязвимостей. Однако Firmwalker может выполнять поиск в извлеченных или смонтированных прошивках и сообщать о потенциальных уязвимостях.
Интерфейс сканирования уязвимостей Firmwalker
Ключевая особенность
Может искать файлы, связанные с SSL, и каталоги etc/ssl
Может искать файлы конфигурации, скриптов и булавок.
Может распознавать и сообщать о таких ключевых словах, как admin, password и remote.
Может искать URL-адреса, адреса электронной почты и IP-адреса
Плюсы
Выполняет аудит безопасности IoT, сетей, OT и других прошивок.
Может обнаруживать неожиданные файлы, встроенные пароли или скрытые URL-адреса.
Доступен в виде bash-скрипта
Минусы
Требуются некоторые навыки программирования для эффективного использования
Графический интерфейс недоступен
Поддержка Shodan API в настоящее время является экспериментальной.
Nikto2 — Лучший Сканер Веб-Серверов
Nikto2 — это сканер веб-серверов с открытым исходным кодом, который может обнаруживать опасные файлы и программы, а также неверные настройки сервера, которые хотят использовать хакеры. Пользователи также могут получить доступ к Nikto на Kali Linux.
никто скриншот
Ключевая особенность
Проверяет наличие более 6700 потенциально опасных файлов и программ.
Тестирует более 1250 устаревших версий серверов и 270 проблем, связанных с версиями.
Проверяет наличие нескольких индексных файлов, параметры HTTP-сервера
Проверяет установленные веб-серверы и программное обеспечение
Может выполнять угадывание учетных данных
Доступные методы для уменьшения ложных срабатываний
Вывод в файлы форматов TST, XML, HTML, NBE или CSV.
Плюсы
Небольшое и легкое программное обеспечение, но все же мощное
Поддерживает файлы для ввода и вывода
Элементы сканирования и плагины часто обновляются, но обновляются автоматически
Обнаруживает и отмечает многие распространенные проблемы с веб-серверами.
Поддержка SSL для ОС Unix и Windows, поддержка HTTP-прокси
Возможность развертывания методов кодирования для обхода и тестирования системы обнаружения вторжений (IDS).
Минусы
Нет интерфейса, только командные строки
Очень специфично, что может сбить с толку новичков.
Поиск более ограничен, чем некоторые коммерческие инструменты
Тщательное сканирование может занять более 45 минут.
OpenSCAP — Лучший Выбор Для Сканирования С Соблюдением Требований
OpenSCAP — это платформа с открытым исходным кодом для платформы Linux, основанная на протоколе автоматизации содержимого безопасности (SCAP), поддерживаемом Национальным институтом стандартов и технологий США (NIST). Проект OpenSCAP создает инструменты с открытым исходным кодом для реализации и обеспечения соблюдения этого открытого стандарта, используемого для перечисления недостатков и неправильных конфигураций.
Сканер предоставляет широкий набор инструментов, поддерживающих сканирование веб-приложений, сетевой инфраструктуры, баз данных и хостов. В отличие от большинства сканеров, которые проверяют общие уязвимости и воздействия (CVE), OpenSCAP проверяет устройство на соответствие стандарту SCAP.
Скриншот OpenScap
Ключевая особенность
Выполняет оценку уязвимостей в системах
Доступ к общедоступным базам данных уязвимостей
Инструмент OpenSCAP Base предоставляет сертифицированный NIST инструмент сканирования командной строки, графический пользовательский интерфейс (GUI) доступен для большего удобства использования.
Демон OpenSCAP может непрерывно сканировать инфраструктуру на соответствие политике SCAP.
Другие инструменты OpenSCAP обеспечивают сканирование рабочего стола, результаты централизованного сканирования или совместимые образы компьютеров.
Интегрируется с решениями для управления системами, такими как Red Hat Satellite 6, RH Access Insights и другими.
Параметр атомарного сканирования может сканировать контейнеры на наличие уязвимостей в системе безопасности и проблем с соответствием требованиям.
Плюсы
Быстрая идентификация проблем безопасности и мгновенные корректирующие действия
Поддерживается Red Hat и другими поставщиками программного обеспечения с открытым исходным кодом.
Сочетает в себе уязвимость системы безопасности и сканирование на соответствие
Может сканировать образы контейнеров докеров
Минусы
Значительно сложнее в освоении, чем многие другие инструменты
Несколько инструментов в системе OpenSCAP могут сбивать с толку
Пользователи должны знать политику безопасности, соответствующую их потребностям.
Многие инструменты работают только в Linux, а некоторые инструменты работают только в определенных дистрибутивах Linux.
Логотип OpenVAS
OpenVAS — Лучшее Решение Для Сканирования Конечных Точек И Сети
Разработчики создали OpenVAS как многоцелевой сканер, используя последний доступный открытый исходный код для Nessus, который теперь является ведущим на рынке коммерческим продуктом, выпущенным Tenable. OpenVAS обладает широкими возможностями для проведения крупномасштабных оценок и тестов на уязвимость сетей в традиционных конечных точках и сетях. Инструмент собирает информацию из огромного количества источников и обширной базы данных уязвимостей.
Интерфейс OpenVAS
Ключевая особенность
Сканирует системы на наличие известных уязвимостей и отсутствующих исправлений.
Веб-консоль управления
Может быть установлен на любом локальном или облачном компьютере
Предоставляет информацию о каждой уязвимости, например, как устранить уязвимость или как злоумышленники могут использовать уязвимость.
Плюсы
Активно поддерживается Greenbone
Охватывает многие CVE (распространенные уязвимости и воздействия)
База данных сканирования регулярно обновляется.
Большое сообщество для взаимной поддержки
Организации, переросшие Community Edition, могут перейти на Greenbone Enterprise Appliance или Greenbone Cloud Service.
Минусы
Может быть ошеломляющим для начинающих и требует некоторого опыта
Большое количество одновременных сканирований может привести к сбою программы.
Нет управления политиками
Greenbone Community Edition сканирует только основные активы конечных точек или домашние приложения, такие как Ubuntu Linux, MS Office и т. д.
Чтобы сканировать корпоративные продукты или получить доступ к политикам, организациям необходимо перейти на платную версию Greenbone Enterprise.
Nmap — Лучший Для Сканирования Сети И Портов
Сканер безопасности Nmap поддерживает бинарные пакеты для Windows, macOS и Linux и включен во многие сборки Linux. Nmap использует IP-пакеты для сканирования портов устройств и определения того, какие хосты, службы и операционные системы доступны для проверяемого актива. Специалисты по тестированию на проникновение и ИТ-команды ценят nmap как быстрый, эффективный и легкий инструмент для составления списка открытых портов в системе.
Для получения дополнительной информации см. Также: Сканирование уязвимостей Nmap стало проще: учебное пособие
сканирование NMAP
Ключевая особенность
Обнаружение узлов быстро определяет IP-адреса, доступные в сети.
Использует характеристики стека TCP/IP, чтобы угадать операционную систему устройства.
Растущая библиотека из 500 сценариев для расширенного обнаружения сетей и оценки уязвимостей
Плюсы
Быстро сканирует открытые порты в системе и определяет доступные службы TCP/UDP.
Опрашивает порты для определения запущенных протоколов, приложений и номеров версий
Большая пользовательская база и сообщество с открытым исходным кодом
Минусы
Нет официальной поддержки клиентов
Требуется некоторый опыт и знания в области ИТ для эффективного использования
Читайте также: Сканирование уязвимостей Nmap стало проще: руководство
Как мы оценивали сканеры уязвимостей с открытым исходным кодом
Для этой статьи команда авторов eSecurity Planet исследовала различные инструменты сканирования уязвимостей с открытым исходным кодом. Мы использовали материалы с форумов сообщества, веб-сайтов инструментов и других ресурсов, чтобы получить отраслевые отзывы об инструментах.
Чтобы быть включенными, инструменты должны были быть в первую очередь инструментами сканирования уязвимостей, поэтому средства тестирования на проникновение или средства безопасности (конечные точки, сеть и т. д.), которые просто включают функцию сканирования уязвимостей, обычно не включались. Мы предполагаем, что читатели ищут специальные инструменты для поиска уязвимостей, и мы публиковали другие статьи на эти темы.
Кроме того, относительно недавно проект с открытым исходным кодом необходимо было обновить, чтобы продемонстрировать, что инструмент не отстает от обнаружения уязвимостей. Многие популярные инструменты с открытым исходным кодом, такие как Arachni, Lynis, Vega и w3af, не могут быть включены, поскольку они не обновлялись несколько лет.
По возможности, победитель выбирался в категории. Однако, если победитель не может быть выбран, а другой инструмент из нашего рекомендуемого списка может выполнять некоторые функции, мы опускаем категорию.
Например, многие разработчики создали инструменты сканирования уязвимостей контейнеров с открытым исходным кодом, такие как Anchore, Clair, Dagda и Trivy. В то время как в обзорах упоминаются эффективные результаты, в них также упоминаются существенные недостающие функции и трудности с использованием или интеграцией. Поскольку OpenSCAP и OSV-Scanner имеют некоторые возможности сканирования контейнеров, в этом году мы отказались от эксклюзивной категории инструментов сканирования уязвимостей контейнеров.
Кому не следует использовать сканер уязвимостей с открытым исходным кодом?
Инструменты с открытым исходным кодом часто можно загрузить, изменить и использовать бесплатно. Так почему бы всем не использовать их?
Сканеры с открытым исходным кодом, как правило, требуют больше технических знаний, больше времени и больше усилий от членов ИТ-команды, использующих этот инструмент. Даже организации с собственным опытом часто покупают коммерческие инструменты сканирования уязвимостей или управление уязвимостями как услугу (VMaaS), чтобы сэкономить время и скрытые трудозатраты.
В целом инструменты с открытым исходным кодом не будут иметь тех же функций, интеграций и возможностей, что и коммерческие инструменты. Инструменты с открытым исходным кодом также не будут иметь формальной технической поддержки, но некоторые консультанты и коммерческие компании, такие как Greenbone для OpenVAS, предоставляют услуги и поддержку за плату. Инструменты с открытым исходным кодом могут иметь надежные сообщества, доступные для одноранговой поддержки, но время ответа на вопросы может варьироваться, и нет гарантии полезных ответов.
Инструменты с открытым исходным кодом также обычно полагаются на базы данных с открытым исходным кодом. Это может означать, что эти инструменты отстают от коммерческих инструментов, сотрудники которых занимаются обновлением баз данных уязвимостей и собственными исследованиями. Однако исследователи часто вносят уязвимости и в эти базы данных, поэтому есть некоторые инструменты с открытым исходным кодом, которые отстают только от наиболее агрессивно обновляемых коммерческих инструментов.
Проблема, связанная не только с открытым исходным кодом, заключается в том, что большинство проектов с открытым исходным кодом полагаются на строительные блоки с открытым исходным кодом в своей разработке. Участники регулярно следят за библиотеками и работают над устранением уязвимостей в коде по мере их обнаружения в спецификации программного обеспечения (SBOM). Однако вопрос о том, может ли коммерческое программное обеспечение быть более агрессивным, чем команды открытого исходного кода в устранении потенциальных уязвимостей, необходимо оценивать в каждом конкретном случае.
Можно ли использовать инструменты тестирования на проникновение для сканирования уязвимостей?
Многие блоги и списки инструментов сканирования уязвимостей с открытым исходным кодом включают различные инструменты тестирования на проникновение, такие как: Wireshark, Metasploit и Aircrack-Ng. Хотя инструменты тестирования на проникновение могут использоваться для обнаружения уязвимостей, большинство из этих инструментов не предназначены для интеграции с системами продажи билетов, обеспечения какого-либо ранжирования или приоритизации уязвимостей или учета вероятности эксплуатации.
Инструменты тестирования на проникновение прекрасно работают, но они были разработаны для другой цели. Инженеры и технические специалисты, которые используют инструменты тестирования на проникновение для оценки уязвимостей, делают это скорее по привычке и из соображений комфорта, чем потому, что они являются эффективными инструментами сканирования уязвимостей.
Итог: просто начните сканирование
Самый важный шаг в управлении уязвимостями — начать. Независимо от того, выберет ли организация инструменты с открытым исходным кодом или коммерческие, будет зависеть от ее ресурсов и предпочтений, но эти инструменты следует развертывать и использовать регулярно. Регулярное использование инструментов сканирования уязвимостей может обнаружить проблемы раньше злоумышленников и предоставить внутренним командам время для их устранения.
К счастью, низкая стоимость инструментов с открытым исходным кодом позволяет группам ИТ, безопасности и DevOps развертывать несколько инструментов с открытым исходным кодом, даже если они также используют коммерческие инструменты. Хакеры часто используют инструменты с открытым исходным кодом для сканирования систем и программного обеспечения на наличие уязвимостей, поэтому периодическое использование этих инструментов с открытым исходным кодом дает представление о точке зрения и приоритетах хакера. Несмотря на то, что эти инструменты могут потребовать больше усилий и опыта, инструменты обнаружения уязвимостей с открытым исходным кодом являются ценным ресурсом для любой организации, которая может эффективно их использовать.
