Deutsche Version (DE_DE)
English version (EN_US)
Web Security Toolset im Detail
Das Web Security Toolset ist eine leistungsstarke Zusammenstellung von Softwareprogrammen, welches benutzt werden kann um jegliche Arten von Webanwendung einer Prüfung zu unterziehen. Unser Augenmerk war darauf gerichtet einem Netzwerksicherheitsadministrator eine verständliche und umfangreiche Zusammenstellung von Softwareprogrammen zur Verfügung zu stellen.
Derzeit besteht es aus 13 Programmen, es wird aber konstant weiterentwickelt und verbessert.
Die Programme im Detail:
Web Fuzzer
Der Web Fuzzer ist ein Programm, dass mittels Übertragung von algorithmisch zusammengesetzten Daten, Eingaben an eine Webanwendung schickt um Sicherheitslücken aufzuspüren. Sollte die Anwendung eine Schwachstelle beinhalten, die zu einer Ausnahmemeldung, einem Absturz oder einem Serverfehler (in Bezug auf die Webanwendung) führen, kann bestimmt werden, dass eine Schwachstelle gefunden wurde. Fuzzers werden deshalb oft als „Fehler Injektoren“ bezeichnet, sie können Fehler erzeugen und senden diese zu einer Anwendung. Im Allgemeinen werden Fuzzer benutzt um Buffer Overflows, DoS, SQL Injection, Cross Site Scripting und Format String Programmierfehler zu finden.
Injection Browser
Der Injection Browser ist ein Programm, dass zum Testen von Cross Site Scripting Lücken benutzt wird. Unter Zuhilfenahme des integrierten Browser können Sie Angriffsmuster zu jedem Eingabeformular auf einer Webseite schicken und diese auf Cross Site Scripting Lücken testen. .
MD5 Searcher
Der MD5 Searcher ist eine miniaturisierte Suchmaschine, die mehrere MD5-Hash-Datenbanken im Internet durchsucht. Normallerweise wurden bereits die meisten Benutzernamen und Passwörter, die mit MD5 verschlüsselt wurden, über Reverse Engineering wieder entschlüsselt und sind in mehreren Datenbanken im Internet verfügbar. Mit diesem Programm können Sie auf einen Schlag diese Datenbank durchsuchen und feststellen, ob der zu ihrem Benutzernamen und Passwort gehörige MD5- Hash bereits geknackt wurde.
Authentication Tester
Der Authentication Tester überprüft unter Zuhilfenahme eines vorgefertigten Wörterbuches Ihre Webanwendung auf gängige Benutzernamen und Passwörter. Derzeit unterschützen wir Formular-basierende und Basic basierende Authentifizierungsmechanismen und über 300.000 verschiedene Kombinationen von Benutzernamen und Passwörtern. Finden Sie heraus wie schwach Ihr Benutzername und Ihr Passwort sind. .
Database Extractor
Der Database Extractor ist ein leichtverständliches Programm, mit dem Sie ohne eine Ahnung von der SQL Syntax oder wie man eine SQL Injection anwendet überprüfen können, ob eine SQL Injection Lücke auf ihrer Webanwendung existiert oder nicht. Es ist nicht nur möglich Tests auszuführen, Sie können sich auch die verschieden Datentabellen und auch bestimmte Daten aus der Datenbank auslesen, sofern einer SQL Injection Lücke gefunden wurde. .
Webserver Information Catcher
Mit dem Webserver Information Catcher können Sie sich die Antwort-Header eines Serversystems und der Webserversoftware anzeigen lassen. Das ermöglicht Ihnen allgemeine Informationen, die von ihrem Webserver an die Öffentlichkeit weitergegeben wird, zu spezifizieren. .
HTTP Proxy / Sniffer
. Den HTTP Proxy / Sniffer können Sie als Proxy zwischen einem HTTP-Clienten (Webbrowser) zwischenschalten um den Austausch der Daten zwischen einem HTTP-Clienten abzufangen, zu inspizieren und zu modifizieren. Sie können ebenso „Fallen“ aktivieren um bestimmte Daten abzufangen, bevor sie zu einem Webserver gesendet werden oder bevor die Daten aus dem Internet den http-Clienten erreichen.
Custom Request
Mit dem Programm Custom Request ist es Ihnen möglich eigene Anfragen zu gestalten, d.h. eigene Header in einer Anfrage zu formulieren oder Standard-Header mit eigenen Wert neu zu senden. Ebenso ist es möglich http Anfragen und Antworten, die vom Webserver gesendet werden, auf ihre Richtigkeit zu überprüfen. Sie können sogar Ihre eigenen Cookies definieren, deren Werte mit einer Anfrage versendet werden sollen. Auch wenn NTLM oder Basic zur Authentifizierung vorgeschaltet ist, können Sie dies miteinbeziehen.
String Encoder
Mit dem String Encoder können Sie ganz leicht Texte oder URLs verschlüsseln oder auch wieder entschlüsseln. Man benötigt nur die Eingabe als reinen Text und er wird umgewandelt in andere Formate, aus denen Sie dann das passende auswählen können. Den Decoder/Encoder erhalten Sie mit folgenden gebräuchlichen Verschlüsselungsmethoden MD5, Percentage, UTF8 Percentage, Ampercent, Escape etc..
Regular Expression Tester
Der Regular Expression Tester bietet Entwicklern mehrere Funktionen um Ihre Regular Expression zu testen. Sie können ganze Texte durchlaufen um die Funktion der Regular Expression auf Ihre Richtigkeit zu überprüfen. Treffer werden Ihnen hervorgehoben und ebenso in einer Liste nochmal angezeigt.
Subdomain Scanner
Der Subdomain Scanner erlaubt eine schnelle und einfache Identifizierung von Subdomains innerhalb einer bestimmten DNS Zone unter Zuhilfenahme von verschiedenen Techniken und von gebräuchlichen Subdomainnamen. Um die Flexibilität zu erhöhen ist es möglich nicht nur den standardmäßig genutzten DNS Servers des Ziels zu benutzen, es ist auch möglich eigene DNS Server zur Benutzung zu Spezifizieren.
Webserver Finder
Der Webserverfinder ist eine spezielle Art eines Portscanners. Er sucht direkt nach geöffneten Webserver Ports innerhalb eines bestimmten IP-Bereichs. Sollte ein Webserver gefunden werden Ihnen der Typus und eingesetzte Software zurückgegeben. Gleichzeitig können Sie sich den bereitgestellten Inhalt des Webservers ansehen.
Port Scanner
Mit Hilfe des Postscanners können Sie Ihren Webserver nach geöffneten Ports durchsuchen und überprüfen, ob dieser vielleicht Dienste zur Verfügung stellt, die nicht öffentlich zugänglich sein sollten. Sie können nicht nur einen einzelnen Webserver überprüfen, sondern auch ganze IP-Bereiche nach ihren geöffneten Ports durchsuchen.
