CDIC 2023

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

September 29, 2023 Application Security, IT Knowledge, IT Tools, Security, Vulnerability and Risk Management

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

1.) Nuclei

เครื่องมือช่วยในการประเมินแอปพลิเคชันสมัยใหม่ ประกอบด้วย Infrastructure และการตั้งค่าของคลาวด์ ตลอดจนเครือข่าย ซึ่งข้อดีของเครื่องมือนี้จะมี YAML ที่มีรายละเอียดวิธีการใช้ และการแก้ไขความเสี่ยงเหล่านั้นด้วย โดยปัจจุบันมีกลุ่มผู้ใช้งานได้แบ่งปัน 5,000 Template ที่นำไปใช้ต่อได้ สนใจศึกษาเพิ่มเติมได้จาก https://github.com/projectdiscovery/nuclei

2.) Nikto

เครื่องมือสำหรับสแกนเว็บเซิร์ฟเวอร์ที่จะช่วยคุณมองหาความเสี่ยงจากไฟล์หรือโปรแกรมอันตรายได้กว่า 6,700 รายการ เช่น เซิร์ฟเวอร์ที่หมดอายุไปแล้ว หรือเซิร์ฟเวอร์เวอร์ใช้ที่มีปัญหา อย่างไรก็ดี Nikto เน้นความรวดเร็วเป็นหลัก ทำให้ยังทิ้งหลักฐานไว้ใน Log หรือตรวจจับได้โดย IPS/IDS สนใจศึกษาเพิ่มเติมได้จาก https://github.com/sullo/nikto 

3.) Cariddi

ไอเดียของเครื่องมือคือการขุดหาโดเมน URLs Endpoint และข้อมู Secret, API Key, Token, File Extension และอื่นๆ สนใจศึกษาเพิ่มเติมได้จาก https://github.com/edoardottt/cariddi

4.) OpenVAS

เครื่องมือได้ถือกำเนิดขึ้นมาภายใต้วัตถุประสงค์ทางการค้าของ Greenbone ตั้งแต่เมื่อปี 2006 ต่อมาถึงมีการจัดตั้งส่วน Community Edition ดังนั้น OpenVAS จึงมีฟีเจอร์การสแกนที่ครบเครื่องตัวหนึ่ง ซึ่งมีทั้งการทดสอบแบบได้รับการพิสูจน์ตัวตนและไม่ผ่านการพิสูจน์ตัวตน รองรับโปรโตคอลระดับสูงถึงล่าง รวมถึงที่ใช้ในภาคอุตสาหกรรม ไม่เพียงเท่านั้นยังปรับแต่งเพื่อใช้งานในการใช้เชิงปริมาณได้ ทั้งยังมีภาษาโปรแกรมที่ทรงพลังต่อการทดสอบช่องโหว่ชนิดต่างๆ สนใจศึกษาเพิ่มเติมได้ที่ https://greenbone.github.io/docs/latest/background.html#history-of-the-openvas-project

5.) Wapiti

หากใครสนใจเครื่องมือที่สแกนเว็บแอปพลิเคชันโดยไม่ต้องการข้อมูลเชิงลึก (Black-box : มองเป็นกล่องดำที่ไม่รู้อะไรเลย ไม่ต้องเรียนรู้จากซอร์สโค้ด) โดยจะค้นหาช่องโหว่จากเว็บแอปเพื่อหาสคิร์ปต์และฟอร์มที่น่าจะ inject ข้อมูลได้ ทำงานเสมือน Fuzzer ตัวหนึ่งใส่ Payload ต่างๆเข้าไปว่าจะทำงานยังไง สนใจศึกษาเพิ่มเติมได้ที่ https://wapiti-scanner.github.io/

ที่มา : https://www.helpnetsecurity.com/2023/09/26/free-vulnerability-scanners/

Tags


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ “Mastering Low-Code Excellence: Explore Mendix and MX10” [7 ธ.ค. 2023 – 10.00น.]

iZeno และ Mendix ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ “Mastering Low-Code Excellence: Explore Mendix and MX10” เพื่อเรียนรู้เกี่ยวกับการทำงานด้วยแพลตฟอร์ม Low Code ที่จะช่วยลดเวลาการสร้างแอปพลิเคชันและเพิ่มประสิทธิภาพให้การทำงานเป็นเรื่องง่ายขึ้น …

nForce Secure เปิดตัวบริการ “Secure-IR Services” พร้อมโซลูชัน Cybersecurity ที่สนับสนุนด้วยเทคโนโลยี AI

เทคโนโลยี AI ณ วินาทีนี้เรียกได้ว่าเป็นส่วนหนึ่งในชีวิตประจำวันเป็นที่เรียบร้อย ถึงแม้ว่า AI จะมีคุณประโยชน์หลากหลาย แต่ในทางกลับกัน AI ก็อาจถูกผู้ไม่ประสงค์ดีนำไปใช้สร้างความเดือดร้อนได้เช่นกัน  ไม่ว่าจะเป็นการนำมาสร้างมัลแวร์ (Malware) หรือการใช้เขียนอีเมลฟิชชิ่ง (Phishing) เพื่อโจมตีบนโลกไซเบอร์ …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand