5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

September 29, 2023 Application Security, Cybersecurity, IT Knowledge, IT Tools, Vulnerability and Risk Management

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

1.) Nuclei

เครื่องมือช่วยในการประเมินแอปพลิเคชันสมัยใหม่ ประกอบด้วย Infrastructure และการตั้งค่าของคลาวด์ ตลอดจนเครือข่าย ซึ่งข้อดีของเครื่องมือนี้จะมี YAML ที่มีรายละเอียดวิธีการใช้ และการแก้ไขความเสี่ยงเหล่านั้นด้วย โดยปัจจุบันมีกลุ่มผู้ใช้งานได้แบ่งปัน 5,000 Template ที่นำไปใช้ต่อได้ สนใจศึกษาเพิ่มเติมได้จาก https://github.com/projectdiscovery/nuclei

2.) Nikto

เครื่องมือสำหรับสแกนเว็บเซิร์ฟเวอร์ที่จะช่วยคุณมองหาความเสี่ยงจากไฟล์หรือโปรแกรมอันตรายได้กว่า 6,700 รายการ เช่น เซิร์ฟเวอร์ที่หมดอายุไปแล้ว หรือเซิร์ฟเวอร์เวอร์ใช้ที่มีปัญหา อย่างไรก็ดี Nikto เน้นความรวดเร็วเป็นหลัก ทำให้ยังทิ้งหลักฐานไว้ใน Log หรือตรวจจับได้โดย IPS/IDS สนใจศึกษาเพิ่มเติมได้จาก https://github.com/sullo/nikto 

3.) Cariddi

ไอเดียของเครื่องมือคือการขุดหาโดเมน URLs Endpoint และข้อมู Secret, API Key, Token, File Extension และอื่นๆ สนใจศึกษาเพิ่มเติมได้จาก https://github.com/edoardottt/cariddi

4.) OpenVAS

เครื่องมือได้ถือกำเนิดขึ้นมาภายใต้วัตถุประสงค์ทางการค้าของ Greenbone ตั้งแต่เมื่อปี 2006 ต่อมาถึงมีการจัดตั้งส่วน Community Edition ดังนั้น OpenVAS จึงมีฟีเจอร์การสแกนที่ครบเครื่องตัวหนึ่ง ซึ่งมีทั้งการทดสอบแบบได้รับการพิสูจน์ตัวตนและไม่ผ่านการพิสูจน์ตัวตน รองรับโปรโตคอลระดับสูงถึงล่าง รวมถึงที่ใช้ในภาคอุตสาหกรรม ไม่เพียงเท่านั้นยังปรับแต่งเพื่อใช้งานในการใช้เชิงปริมาณได้ ทั้งยังมีภาษาโปรแกรมที่ทรงพลังต่อการทดสอบช่องโหว่ชนิดต่างๆ สนใจศึกษาเพิ่มเติมได้ที่ https://greenbone.github.io/docs/latest/background.html#history-of-the-openvas-project

5.) Wapiti

หากใครสนใจเครื่องมือที่สแกนเว็บแอปพลิเคชันโดยไม่ต้องการข้อมูลเชิงลึก (Black-box : มองเป็นกล่องดำที่ไม่รู้อะไรเลย ไม่ต้องเรียนรู้จากซอร์สโค้ด) โดยจะค้นหาช่องโหว่จากเว็บแอปเพื่อหาสคิร์ปต์และฟอร์มที่น่าจะ inject ข้อมูลได้ ทำงานเสมือน Fuzzer ตัวหนึ่งใส่ Payload ต่างๆเข้าไปว่าจะทำงานยังไง สนใจศึกษาเพิ่มเติมได้ที่ https://wapiti-scanner.github.io/

ที่มา : https://www.helpnetsecurity.com/2023/09/26/free-vulnerability-scanners/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ข้อมูลลับองค์กรธุรกิจตกอยู่ในความเสี่ยง: แคสเปอร์สกี้รายงานการโจมตีด้วยสปายแวร์เพิ่มขึ้น 18% ในเอเชียตะวันออกเฉียงใต้ [PR]

การโจมตีด้วยสปายแวร์ที่เพิ่มขึ้นทำให้องค์กรธุรกิจในภูมิภาคเอเชียตะวันออกเฉียงใต้ตกอยู่ในความเสี่ยงมากขึ้น ตามรายงานของแคสเปอร์สกี้ บริษัทด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทางดิจิทัลระดับโลก

เปิดตัว Datadog Code Security MCP ตรวจความปลอดภัยของ Code ที่ AI สร้างได้แบบ Real-Time

Datadog ได้ออกมาประกาศเปิดตัวเครื่องมือใหม่ Datadog Code Security MCP สำหรับใช้ตรวจสอบความปลอดภัยของโค้ดที่ AI เขียนขึ้นมาได้ทันทีโดยไม่ต้องรอ Pull Request หรือ CI Pipeline อีกต่อไป

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand