内容简介:威瑞森《2018数据泄露调查报告》称,本应用安全工具列表中既包含商业产品也包含免费工具。没附上报价的商业产品往往与该供应商其他产品捆绑销售,如果量大或订阅时间长会有折扣。一些免费工具,比如 Burp Suite,也有提供更多功能的付费版。
威瑞森《2018数据泄露调查报告》称, 大多数黑客攻击仍是通过Web应用发起 。基于此,应用测试和防护就成为了很多公司企业的首要任务。如果会利用一些精选应用安全工具,这项工作还可以完成得更轻松些。下面便为大家列出2019最佳应用安全工具,并附上各自的最有效使用场景。
本列表信息来源包括:
-
IT中央站(ITCS)安全应用测试 工具 列表(2018年9月),该列表基于ITCS庞大的IT专业社区个人使用体验评分得出。
-
Gartner《应用防护市场指南》(2017年6月)。
-
Gartner《应用安全测试魔力象限》(2018年3月)。
-
持续更新的SecTools网络安全工具125强。虽然是针对网络的安全工具,但其中一些对应用测试也很有效。
本应用安全工具列表中既包含商业产品也包含免费工具。没附上报价的商业产品往往与该供应商其他产品捆绑销售,如果量大或订阅时间长会有折扣。一些免费工具,比如 Burp Suite,也有提供更多功能的付费版。
按字母顺序表排列的最佳应用安全工具奉上:
1. Arxan Application Protection
该工具可用于运行时应用自保护(RASP)。Arxan Application Protection 可抵御逆向工程和代码篡改,尤其适用于手机应用。
-
目标用户:高级开发人员
-
应用聚焦:RASP
-
封装:Mac、Windows、安卓、iOS、Linux
-
定价:请联系供应商
2. 新思科技出品的黑鸭子( Black Duck )
黑鸭子软件可在应用开发过程中自动化开源安全及许可合规,可用于检测、监视、缓解和管理整个开源应用资产组合。新思科技一直在并购其他应用安全供应商,比如Coverity和Codenomicon。
Gartner魔力象限领头羊
-
目标用户:开源项目开发者
-
应用聚焦:开源应用测试
-
封装:软件即服务(SaaS)
-
定价:现场演示版,请联系供应商
3. PortSwigger出品的 Burp Suite
Burp Suite 是多年来不断扩展和增强的流行渗透测试工具集之一。其所有工具的HTTP消息、驻留、身份验证、代理、日志和报警处理与显示都共享同一个框架。付费版包含更多手动及自动化测试工具,并与Jenkins之类其他框架进行了集成,且有文档完备的 REST API。
ITCS排名第七
-
目标用户:高级开发人员
-
应用聚焦:Web应用渗透测试与漏洞扫描器
-
封装:Mac、Windows、 Linux 、JAR
-
定价:各版本定价不同,有免费版和最高4,000美元/年的付费版,带60天免费试用期
4. CA/Veracode应用安全平台
Veracode提供一系列安全测试与威胁缓解技术,全部托管在中心平台上,开发和生产情况下都可以用来查找漏洞和评估风险。该产品已推出多年,有广泛的用户基础,数10万不同应用都曾用它进行测试和评估。Veracode的最小安装和完全安装都非常好用,广受用户好评。
ITCS排名第一,Gartner魔力象限领跑者
-
目标用户:开发人员
-
应用聚焦:静态及动态代码扫描
-
封装:SaaS
-
定价:联系供应商
5. Checkmarx
Checkmarx提供一系列的应用测试工具,包括静态及动态代码扫描工具和用于分析开源内容的工具。这些工具支持一系列编程语言,应用广泛,可以持续监视应用程序以检测漏洞。该公司收购了Codebashing,并将之集成进自己的软件,扩展其安全编码培训功能。
ITCS排名第二,Gartner魔力象限领先者
-
目标用户:开发人员
-
应用聚焦:静态及动态代码扫描,安全编码培训
-
封装:SaaS和现场
-
定价:联系供应商,免费演示版
6. MicroFocus出品的Fortify
Fortify集成开发与测试工具有SaaS、现场版和移动版,可提供持续应用监视。尽管企业监管者很多,但从惠普软件组归入MicroFocus的Fortify工具历史悠久,安装应用广泛。Fortify还可以集成进 Eclipse IDE 和 Visual Studio 中。
ITCS排名第三,Gartner魔力象限领先者
-
目标用户:开发人员
-
应用聚焦:静态及移动代码扫描
-
封装:SaaS和现场版
-
定价:15天免费试用,联系供应商
7. IBM Security AppScan
IBM的应用安全软件很多,其中就有 Security AppScan。共有3个版本:源码版、标准版和企业版。该软件最为著名的一点就是可以导入来自人工代码审查、渗透测试乃至竞争对手软件漏洞扫描器的多种数据格式,还有移动版可以扫描iOS和安卓应用。
ITCS排名第四,Gartner魔力象限领跑者
-
目标用户:大企业
-
应用聚焦:应用代码扫描,包括移动、静态和动态方法。
-
封装:SaaS和现场
-
定价:30天免费试用,联系供应商
8. Rogue Wave 出品的Klocwork
Klocwork提供的功能包括静态应用扫描、持续代码集成和代码架构可视化工具,还内建有CERT、CWE和OWASP等各种安全标准的检查工具。Klocwork可标记代码注入、跨站脚本、内存泄漏和其他脆弱编码操作。
ITCS排名第九
-
目标用户:开发人员
-
应用聚焦:静态代码分析器
-
封装:SaaS
-
定价:免费试用
9. Qualys Web App Scanning
Qualys是应用防护市场的老牌玩家,Qualys Web App Scanning 可查找并分类企业中所有Web应用,执行动态扫描,报告恶意软件感染,并提供修复代码的方法。该产品是名为 Cloud Apps 的完整产品组合中的一部分。Cloud Apps 每年执行数十亿次扫描,还包含有基础设施和终端安全工具,并支持其他Web应用防火墙。这些服务都有免费的删减版,还有各种可用于SSL网站、证书和浏览器配置的免费检查工具。
ITCS排名第八
-
目标用户:Web应用开发人员
-
应用聚焦:动态应用扫描
-
封装:SaaS
-
定价:免费版和30天免费试用版,各种订阅和使用费
10. Imperva出品的Prevoty
Prevoty是又一款用于运行时应用自保护(RASP)的工具,可抵御逆向工程和代码篡改,尤其适用于手机应用。
-
目标用户:开发人员
-
应用聚焦:RASP
-
封装:SaaS
-
定价:联系供应商
11. Selenium
Selenium有用于自动化测试Web应用及其在各浏览器中表现的一整套工具,配合其自身Selenium脚本集成开发环境使用。这套工具以浏览器扩展的形式实现,可供录制、编辑和调试测试,还可以录制和重放其脚本。Selenium还为检测手机及Web浏览器安全问题的各种插件提供广泛的第三方支持。
-
目标用户:应用开发人员
-
应用聚焦:Web应用测试
-
封装:需自备服务器,支持多种编程语言,包括 C#、 Ruby 和Python
-
定价:免费
12. OWASP创建的WebGoat
WebGoat是开放Web应用安全计划(OWASP)创建的特设不安全Web应用。OWASP维护着事实上的关键Web漏洞列表。WebGoat就是个教学工具,向用户展示常见漏洞利用的效果和在应用中规避漏洞的必要性。WebGoat提供大量编码样例和其他小技巧,面世15年来已出到第八版。
-
目标用户:开发人员
-
应用聚焦:代码注入、跨站脚本和不安全凭证等问题的测试
-
封装:JAR文件
-
定价:免费
13. OWASP创建的 Zed Attack 代理
Zed Attack 同样来自OWASP,是开源社区的工作成果,用于在Web应用开发阶段自动化查找安全漏洞。Zed Attack 处于用户App和浏览器之间,拦截Web流量并检查其中有无漏洞。
ITCS排名第六
-
目标用户:开发人员,尤其是开发新手
-
应用聚焦:仅Web应用
-
封装:Windows、Linux、Mac 和 Docker app,要求有 Java 7+
-
定价:免费
威瑞森《2018数据泄露调查报告》:
https://enterprise.verizon.com/resources/reports/dbir/
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
网络是怎样连接的
[日]户根勤 / 周自恒 / 人民邮电出版社 / 2017-1-1 / CNY 49.00
本书以探索之旅的形式,从在浏览器中输入网址开始,一路追踪了到显示出网页内容为止的整个过程,以图配文,讲解了网络的全貌,并重点介绍了实际的网络设备和软件是如何工作的。目的是帮助读者理解网络的本质意义,理解实际的设备和软件,进而熟练运用网络技术。同时,专设了“网络术语其实很简单”专栏,以对话的形式介绍了一些网络术语的词源,颇为生动有趣。 本书图文并茂,通俗易懂,非常适合计算机、网络爱好者及相关从......一起来看看 《网络是怎样连接的》 这本书的介绍吧!