Website Pentesting Systems

Security & Stabilität

Website Pentesting Systems


Einleitung

Um sichere Websites her zu stellen und zu warten, müssen regelmäßige Pentest gemacht werden. Ich werde hier erst einmal nur darauf eingehen welche Tools ich getestet habe und meine Erfahrungen dazu schreiben. Genaue Anleitungen kommen in einzelne unter Seiten.


OWASP Zed Attack Proxy Project

Der Zed Attack Proxy ist eine Website Pentisting Suite, die via eine API, CLI oder Userinterface gesteuert werden kann. Geschrieben in Java ist sie ziemlich Performant und ich hatte sie auch noch nicht zu absturz gebracht :)

Eine Besonderheit ist hier der integrierte Proxy, wo man sich in z.B. in Firefox und Chrome einloggen kann und einzelne Unterseiten genau untersuchen.

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project


Locust.io

Locust ist ein Heuschrecken Schwarm, mit der du tausende User Parallel darstellen kannst.  Es kann auf mutiplen Geräten gleichzeitig installiert werden um einen höheren User Ansturm zu simulieren.

Tipp meiner seits, verwendet für kurzfristige Test Server von DigitalOcean.com für geringe kosten und sehr hohen nutzen.


w3af

W3af ist ein Python Framework für Pentest, sehr umfangreich und komplex. Es gibt hier auch die Möglichkeit die Software via eine API, CLI und Userinterface zu steuern. 

Ich habe schon gute Erfahrung mit w3af gemacht aber bei größeren Websites zum testen benötigt der w3af Server viel Arbeitsspeicher.


Happy Pentesting ;)