5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

September 29, 2023 Application Security, Cybersecurity, IT Knowledge, IT Tools, Vulnerability and Risk Management

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

1.) Nuclei

เครื่องมือช่วยในการประเมินแอปพลิเคชันสมัยใหม่ ประกอบด้วย Infrastructure และการตั้งค่าของคลาวด์ ตลอดจนเครือข่าย ซึ่งข้อดีของเครื่องมือนี้จะมี YAML ที่มีรายละเอียดวิธีการใช้ และการแก้ไขความเสี่ยงเหล่านั้นด้วย โดยปัจจุบันมีกลุ่มผู้ใช้งานได้แบ่งปัน 5,000 Template ที่นำไปใช้ต่อได้ สนใจศึกษาเพิ่มเติมได้จาก https://github.com/projectdiscovery/nuclei

2.) Nikto

เครื่องมือสำหรับสแกนเว็บเซิร์ฟเวอร์ที่จะช่วยคุณมองหาความเสี่ยงจากไฟล์หรือโปรแกรมอันตรายได้กว่า 6,700 รายการ เช่น เซิร์ฟเวอร์ที่หมดอายุไปแล้ว หรือเซิร์ฟเวอร์เวอร์ใช้ที่มีปัญหา อย่างไรก็ดี Nikto เน้นความรวดเร็วเป็นหลัก ทำให้ยังทิ้งหลักฐานไว้ใน Log หรือตรวจจับได้โดย IPS/IDS สนใจศึกษาเพิ่มเติมได้จาก https://github.com/sullo/nikto 

3.) Cariddi

ไอเดียของเครื่องมือคือการขุดหาโดเมน URLs Endpoint และข้อมู Secret, API Key, Token, File Extension และอื่นๆ สนใจศึกษาเพิ่มเติมได้จาก https://github.com/edoardottt/cariddi

4.) OpenVAS

เครื่องมือได้ถือกำเนิดขึ้นมาภายใต้วัตถุประสงค์ทางการค้าของ Greenbone ตั้งแต่เมื่อปี 2006 ต่อมาถึงมีการจัดตั้งส่วน Community Edition ดังนั้น OpenVAS จึงมีฟีเจอร์การสแกนที่ครบเครื่องตัวหนึ่ง ซึ่งมีทั้งการทดสอบแบบได้รับการพิสูจน์ตัวตนและไม่ผ่านการพิสูจน์ตัวตน รองรับโปรโตคอลระดับสูงถึงล่าง รวมถึงที่ใช้ในภาคอุตสาหกรรม ไม่เพียงเท่านั้นยังปรับแต่งเพื่อใช้งานในการใช้เชิงปริมาณได้ ทั้งยังมีภาษาโปรแกรมที่ทรงพลังต่อการทดสอบช่องโหว่ชนิดต่างๆ สนใจศึกษาเพิ่มเติมได้ที่ https://greenbone.github.io/docs/latest/background.html#history-of-the-openvas-project

5.) Wapiti

หากใครสนใจเครื่องมือที่สแกนเว็บแอปพลิเคชันโดยไม่ต้องการข้อมูลเชิงลึก (Black-box : มองเป็นกล่องดำที่ไม่รู้อะไรเลย ไม่ต้องเรียนรู้จากซอร์สโค้ด) โดยจะค้นหาช่องโหว่จากเว็บแอปเพื่อหาสคิร์ปต์และฟอร์มที่น่าจะ inject ข้อมูลได้ ทำงานเสมือน Fuzzer ตัวหนึ่งใส่ Payload ต่างๆเข้าไปว่าจะทำงานยังไง สนใจศึกษาเพิ่มเติมได้ที่ https://wapiti-scanner.github.io/

ที่มา : https://www.helpnetsecurity.com/2023/09/26/free-vulnerability-scanners/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CyberGenics ผนึก Ensign InfoSecurity ยกระดับ Cybersecurity ไทย รับมือภัยยุค AI และความเสี่ยง Quantum Safe [PR]

บริษัท ไซเบอร์จีนิคส์ จำกัด (CyberGenics) ผู้นำด้านความมั่นคงปลอดภัยไซเบอร์แบบครบวงจรในเครือบริษัท จีเอเบิล จำกัด (มหาชน) (G-ABLE) ประกาศลงนามบันทึกความเข้าใจ (MOU) กับ Ensign InfoSecurity ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ชั้นนำจากสิงคโปร์ …

Trend Micro เตือนช่องโหว่ Zero-day บน Apex One ถูกใช้โจมตีจริงแล้ว

Trend Micro ออกแพตช์แก้ช่องโหว่ Zero-day CVE-2026-34926 บน Apex One เวอร์ชัน On-premises หลังพบว่าถูกใช้โจมตีจริงแล้ว ขณะที่ CISA สั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์ภายในวันที่ …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand