সবচেয়ে গুরুত্বপূর্ণ ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুলস এবং রিসোর্স – 2022

0 comment 115 views

ওয়েব অ্যাপ্লিকেশান পেন্টেস্টিং টুলগুলি প্রায়শই নিরাপত্তা শিল্পগুলি দ্বারা ওয়েব-ভিত্তিক অ্যাপ্লিকেশনগুলির দুর্বলতা পরীক্ষা করার জন্য ব্যবহৃত হয়। এখানে আপনি ব্যাপক ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুলসওয়েব অ্যাপ্লিকেশন পেনিট্রেশন টেস্টিং তালিকা খুঁজে পেতে পারেন যা সমস্ত কর্পোরেট পরিবেশে পারফর্মিং পেনিট্রেশন টেস্টিং অপারেশন কভার করে।

ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুল

সংগঠন

  • OWASP  – ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট (OWASP) হল একটি 501(c)(3) বিশ্বব্যাপী অলাভজনক দাতব্য সংস্থা যা সফ্টওয়্যারের নিরাপত্তার উন্নতির উপর দৃষ্টি নিবদ্ধ করে৷

ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল

  • ModSecurity  – ModSecurity হল রিয়েল-টাইম ওয়েব অ্যাপ্লিকেশন নিরীক্ষণ, লগিং এবং অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি টুলকিট।
  • NAXSI  – NAXSI হল একটি ওপেন সোর্স, উচ্চ কার্যক্ষমতা, কম নিয়ম রক্ষণাবেক্ষণের WAF NGINX এর জন্য, NAXSI মানে Nginx Anti Xss এবং Sql ইনজেকশন।
  • sql_firewall  PostgreSQL এর জন্য SQL ফায়ারওয়াল এক্সটেনশন
  • ironbee  – IronBee হল একটি ওপেন সোর্স প্রজেক্ট যা একটি সার্বজনীন ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুল তৈরি করতে পারে। ওয়েব অ্যাপ্লিকেশন সুরক্ষিত করার জন্য একটি সিস্টেম বিকাশের জন্য একটি কাঠামো হিসাবে আয়রনবি – একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) তৈরির জন্য একটি কাঠামো।
  • Indusface – একটি নতুন যুগের ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল যার লক্ষ্য হল হুমকি অভিনেতাদের সিস্টেমে প্রবেশ করতে বাধা দেওয়া, অ্যাপ্লিকেশন দুর্বলতা, ম্যালওয়্যার এবং যৌক্তিক ত্রুটিগুলি সনাক্ত করে৷

স্ক্যানিং/পেন্টেস্টিং

  • sqlmap  – sqlmap হল একটি ওপেন সোর্স ওয়েব অ্যাপ্লিকেশন পেনিট্রেশন টেস্টিং টুল যা এসকিউএল ইনজেকশনের ত্রুটি সনাক্তকরণ এবং শোষণ করার এবং ডাটাবেস সার্ভারের দখল নেওয়ার প্রক্রিয়াকে স্বয়ংক্রিয় করে। এটি একটি শক্তিশালী শনাক্তকরণ ইঞ্জিনের সাথে আসে, চূড়ান্ত অনুপ্রবেশ পরীক্ষকের জন্য অনেকগুলি বিশেষ বৈশিষ্ট্য এবং ডাটাবেস ফিঙ্গারপ্রিন্টিং, ডাটাবেস থেকে ডেটা আনয়ন, অন্তর্নিহিত ফাইল সিস্টেম অ্যাক্সেস করা এবং আউট-এর মাধ্যমে অপারেটিং সিস্টেমে কমান্ড কার্যকর করা থেকে স্থায়ী সুইচগুলির একটি বিস্তৃত পরিসর। অফ-ব্যান্ড সংযোগ।
  • ZAP  – জেড অ্যাটাক প্রক্সি (ZAP) হল ওয়েব অ্যাপ্লিকেশনে দুর্বলতা খুঁজে বের করার জন্য সমন্বিত ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুল ব্যবহার করা সহজ। এটি এমনভাবে ডিজাইন করা হয়েছে যে বিস্তৃত নিরাপত্তা অভিজ্ঞতা আছে এমন ব্যক্তিদের দ্বারা ব্যবহার করার জন্য এবং যেমন ডেভেলপার এবং কার্যকরী পরীক্ষকদের জন্য আদর্শ যারা অনুপ্রবেশ পরীক্ষায় নতুন। ZAP স্বয়ংক্রিয় স্ক্যানার এবং সেইসাথে সরঞ্জামগুলির একটি সেট সরবরাহ করে যা আপনাকে ম্যানুয়ালি নিরাপত্তা দুর্বলতাগুলি খুঁজে পেতে দেয়।
  • OWASP টেস্টিং চেকলিস্ট v4  – ওয়েব দুর্বলতা মূল্যায়নের সময় পরীক্ষা করার জন্য কিছু নিয়ন্ত্রণের তালিকা। মার্কডাউন সংস্করণ  এখানে পাওয়া যেতে পারে ।
  • w3af  – w3af হল একটি ওয়েব অ্যাপ্লিকেশন অ্যাটাক এবং অডিট ফ্রেমওয়ার্ক। প্রকল্পের লক্ষ্য হল একটি কাঠামো তৈরি করা যাতে আপনি সমস্ত ওয়েব অ্যাপ্লিকেশন দুর্বলতাগুলি খুঁজে বের করে এবং শোষণ করে আপনার ওয়েব অ্যাপ্লিকেশনগুলিকে সুরক্ষিত করতে সহায়তা করেন৷
  • রিকন-এনজি  – রিকন-এনজি হল পাইথনে লেখা একটি পূর্ণ বৈশিষ্ট্যযুক্ত ওয়েব রিকনেসান্স ফ্রেমওয়ার্ক। Recon-ng-এর চেহারা মেটাসপ্লয়েট ফ্রেমওয়ার্কের মতোই।
  • PTF  – পেনিট্রেশন টেস্টার্স ফ্রেমওয়ার্ক (PTF) হল আপ-টু-ডেট টুলগুলির জন্য মডুলার সমর্থনের একটি উপায়।
  • ইনফেকশন মাঙ্কি  – ম্যাপিং/পেন-টেস্টিং নেটওয়ার্কের জন্য একটি আধা স্বয়ংক্রিয় পেন টেস্টিং টুল। একজন মানব আক্রমণকারীকে অনুকরণ করে।
  • ACSTIS  – ACSTIS আপনাকে AngularJS ক্লায়েন্ট-সাইড টেমপ্লেট ইনজেকশন (কখনও কখনও CSTI, স্যান্ডবক্স এস্কেপ বা স্যান্ডবক্স বাইপাস হিসাবে উল্লেখ করা হয়) এর জন্য নির্দিষ্ট ওয়েব অ্যাপ্লিকেশন স্ক্যান করতে সাহায্য করে। এটি একটি একক অনুরোধ স্ক্যান করা সমর্থন করে কিন্তু AngularJS CSTI দুর্বলতার জন্য সমগ্র ওয়েব অ্যাপ্লিকেশন ক্রল করে।

রানটাইম অ্যাপ্লিকেশন স্ব-সুরক্ষা

  • Sqreen  – Sqreen হল সফ্টওয়্যার দলগুলির জন্য একটি রানটাইম অ্যাপ্লিকেশন স্ব-সুরক্ষা (RASP) সমাধান। একটি ইন-অ্যাপ এজেন্ট যন্ত্র তৈরি করে এবং অ্যাপটি নিরীক্ষণ করে। সন্দেহজনক ব্যবহারকারী কার্যকলাপ রিপোর্ট করা হয় এবং আক্রমণ কোড পরিবর্তন বা ট্রাফিক পুনঃনির্দেশ ছাড়াই রানটাইমে ব্লক করা হয়.

উন্নয়ন

  • ডিজাইন দ্বারা সুরক্ষিত  – এমন একটি বই যা নকশার ধরণ এবং কোডিং শৈলী সনাক্ত করে যা প্রচুর নিরাপত্তা দুর্বলতার সম্ভাবনা কম করে। (প্রাথমিক অ্যাক্সেস, ক্রমাগত প্রকাশিত, চূড়ান্ত প্রকাশ পতন 2017)
  • DevOps সুরক্ষিত  করা – ক্লাউড পরিষেবাগুলিকে আরও নিরাপদ করতে কীভাবে DevOps এবং সুরক্ষার কৌশলগুলি একসাথে প্রয়োগ করা উচিত তা অন্বেষণ করে এমন বই। (প্রাথমিক অ্যাক্সেস, ধারাবাহিকভাবে প্রকাশিত, চূড়ান্ত প্রকাশ জানুয়ারি 2018)
  • API নিরাপত্তা বোঝা – একটি বিনামূল্যের ইবুক স্যাম্পলার যা API গুলিকে কীভাবে একত্রিত করা হয় এবং কীভাবে OAuth প্রোটোকল ব্যবহার করা যেতে পারে তা দেখিয়ে বাস্তব বিশ্বে API সুরক্ষা কীভাবে কাজ করে তার কিছু প্রসঙ্গ দেয়৷
  • OAuth 2 ইন অ্যাকশন  – একটি বই যা আপনাকে একটি ক্লায়েন্ট, একটি অনুমোদন সার্ভার এবং একটি রিসোর্স সার্ভারের দৃষ্টিকোণ থেকে OAuth 2 এর ব্যবহারিক ব্যবহার এবং স্থাপনা শেখায়৷

ব্যবহারযোগ্যতা

বিগ ডেটা

  • ডেটা_হ্যাকিং  – আইপিথন, পান্ডাস এবং স্কিট ব্যবহারের উদাহরণগুলি আপনার সুরক্ষা ডেটা থেকে সর্বাধিক পেতে শিখুন।
  • hadoop-pcap  – প্যাকেট ক্যাপচার (PCAP) ফাইল পড়ার জন্য Hadoop লাইব্রেরি।
  • ওয়ার্কবেঞ্চ  – নিরাপত্তা গবেষণা এবং উন্নয়ন দলের জন্য একটি মাপযোগ্য পাইথন কাঠামো।
  • OpenSOC  – ওপেনএসওসি নিরাপত্তা পর্যবেক্ষণ এবং বিশ্লেষণের জন্য একটি কেন্দ্রীভূত সরঞ্জাম অফার করার জন্য বিভিন্ন ধরনের ওপেন সোর্স বিগ ডেটা প্রযুক্তিকে সংহত করে।
  • Apache Metron (ইনকিউবেটিং)  – নিরাপত্তা পর্যবেক্ষণ এবং বিশ্লেষণের জন্য একটি কেন্দ্রীভূত টুল অফার করার জন্য মেট্রন বিভিন্ন ধরনের ওপেন সোর্স বিগ ডেটা প্রযুক্তিকে সংহত করে।
  • Apache Spot (ইনকিউবেটিং)  – Apache Spot হল ওপেন সোর্স সফ্টওয়্যার যা প্রবাহ এবং প্যাকেট বিশ্লেষণ থেকে অন্তর্দৃষ্টি লাভ করে।
  • বাইনারিপিগ  – হ্যাডুপে স্কেলেবল বাইনারি ডেটা এক্সট্রাকশন। শূকরের উপর ম্যালওয়্যার প্রক্রিয়াকরণ এবং বিশ্লেষণ, জ্যাঙ্গো, টুইটার বুটস্ট্র্যাপ এবং ইলাস্টিকসার্চের মাধ্যমে অনুসন্ধান।

DevOps

  • DevOps সুরক্ষিত  করা – DevOps-এর নিরাপত্তা কৌশলগুলির উপর একটি বই যা ওয়েব অ্যাপ্লিকেশন এবং তাদের পরিকাঠামো সুরক্ষিত করার জন্য ব্যবহৃত শিল্প অনুশীলনের অবস্থা পর্যালোচনা করে।

বই

ডকুমেন্টেশন

  • https://www.owasp.org/  – ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুল ও প্রকল্প খুলুন
  • http://www.pentest-standard.org/  – পেনিট্রেশন টেস্টিং এক্সিকিউশন স্ট্যান্ডার্ড
  • http://www.binary-auditing.com/  – ডঃ থর্স্টেন স্নাইডারের বাইনারি অডিটিং

টুলস

Cheat শীট

অনুপ্রবেশ পরীক্ষার জন্য ডকার ইমেজ

দুর্বলতা

  • http://cve.mitre.org/  – সাধারণ দুর্বলতা এবং এক্সপোজার। তথ্য নিরাপত্তা দুর্বলতার জন্য স্ট্যান্ডার্ড নাম. ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুলস।
  • https://www.exploit-db.com/  – দ্য এক্সপ্লোইট ডেটাবেস – এক্সপ্লয়েট, শেলকোড এবং সিকিউরিটি পেপারের চূড়ান্ত সংরক্ষণাগার।
  • http://0day.today/  – Inj3ct0r হল শোষণ এবং দুর্বলতার চূড়ান্ত ডাটাবেস এবং দুর্বলতা গবেষক এবং নিরাপত্তা পেশাদারদের জন্য একটি দুর্দান্ত সম্পদ।
  • http://osvdb.org/  – OSVDB এর লক্ষ্য হল সঠিক, বিস্তারিত, বর্তমান, এবং নিরপেক্ষ প্রযুক্তিগত নিরাপত্তা তথ্য প্রদান করা।
  • http://www.securityfocus.com/  – 1999 সালে প্রতিষ্ঠার পর থেকে, সিকিউরিটি ফোকাস নিরাপত্তা সম্প্রদায়ের একটি প্রধান ভিত্তি।
  • http://packetstormsecurity.com/  – গ্লোবাল সিকিউরিটি রিসোর্স
  • https://wpvulndb.com/  – WPScan দুর্বলতা ডেটাবেস

পাঠ্যধারাগুলি

অনলাইন হ্যাকিং ডেমোনস্ট্রেশন সাইট

ল্যাবস

  • http://www.cis.syr.edu/~wedu/seed/all_labs.html  – কম্পিউটার নিরাপত্তা শিক্ষার জন্য নির্দেশমূলক পরীক্ষাগার তৈরি করা
  • https://www.vulnhub.com/  – লোকালহোস্ট পেনিট্রেশন টেস্টিংয়ের জন্য ভার্চুয়াল মেশিন।
  • https://pentesterlab.com/  – PentesterLab হল পেনিট্রেশন টেস্টিং শেখার একটি সহজ এবং দুর্দান্ত উপায়।
  • https://github.com/jerryhoff/WebGoat.NET  – এই ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুল প্ল্যাটফ্রম সাধারণ ওয়েব নিরাপত্তা ত্রুটিগুলি সম্পর্কে একটি শিক্ষার প্ল্যাটফর্ম৷
  • http://www.dvwa.co.uk/  – ড্যাম ভালনারেবল ওয়েব অ্যাপ্লিকেশন (DVWA)
  • http://sourceforge.net/projects/lampsecurity/  – LAMPS নিরাপত্তা প্রশিক্ষণ
  • https://github.com/Audi-1/sqli-labs  – ত্রুটি ভিত্তিক, ব্লাইন্ড বুলিয়ান ভিত্তিক, সময় ভিত্তিক পরীক্ষা করার জন্য SQLI ল্যাব।
  • https://github.com/paralax/lfi-labs  – এলএফআই, আরএফআই এবং সিএমডি ইনজেকশন ভালন ব্যবহার করার অনুশীলন করার জন্য পিএইচপি স্ক্রিপ্টের ছোট সেট
  • https://hack.me/  – বিনামূল্যের জন্য একটি স্যান্ডবক্সড পরিবেশে দুর্বল ওয়েব অ্যাপ তৈরি করুন, হোস্ট করুন এবং শেয়ার করুন
  • http://azcwr.org/az-cyber-warfare-ranges  – ফ্রি লাইভ ফায়ার ক্যাপচার দ্য ফ্ল্যাগ, ব্লু টিম, রেড টিম সাইবার ওয়ারফেয়ার রেঞ্জ উন্নত ব্যবহারকারীদের মাধ্যমে নতুনদের জন্য। পরিসরে অ্যাক্সেসের অনুরোধ করে একটি পাঠ্য বার্তা পাঠাতে অবশ্যই একটি সেল ফোন ব্যবহার করতে হবে৷
  • https://github.com/adamdoupe/WackoPicko  – WackoPicko হল একটি দুর্বল ওয়েব অ্যাপ্লিকেশন যা স্ক্যানারগুলির জন্য ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুল পরীক্ষা করতে ব্যবহৃত হয়।
  • https://github.com/rapid7/hackazon  – Hackazon হল একটি বিনামূল্যের, দুর্বল পরীক্ষার সাইট যা আজকের সমৃদ্ধ ক্লায়েন্ট এবং মোবাইল অ্যাপ্লিকেশনগুলিতে ব্যবহৃত একই প্রযুক্তিগুলির সাথে নির্মিত একটি অনলাইন স্টোরফ্রন্ট।

SSL

  • https://www.ssllabs.com/ssltest/index.html  – এই পরিষেবাটি পাবলিক ইন্টারনেটে যেকোনো SSL ওয়েব সার্ভারের কনফিগারেশনের গভীর বিশ্লেষণ করে।
  • https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html  – nginx-এ শক্তিশালী SSL নিরাপত্তা
  • https://weakdh.org/  – দুর্বল ডিফি-হেলম্যান এবং লগজ্যাম আক্রমণ
  • https://letsencrypt.org/  – আসুন এনক্রিপ্ট একটি নতুন শংসাপত্র কর্তৃপক্ষ: এটি বিনামূল্যে, স্বয়ংক্রিয় এবং উন্মুক্ত।
  • https://filippo.io/Heartbleed/  – CVE-2014-0160 (Heartbleed) এর জন্য একটি চেকার (সাইট এবং টুল)।

রেল উপর নিরাপত্তা রুবি

  • http://brakemanscanner.org/  – রুবি অন রেল অ্যাপ্লিকেশনের জন্য একটি স্ট্যাটিক বিশ্লেষণ নিরাপত্তা দুর্বলতা স্ক্যানার এবং ওয়েব অ্যাপ্লিকেশন নিরাপত্তা সরঞ্জাম।
  • https://github.com/rubysec/ruby-advisory-db  – দুর্বল রুবি রত্নগুলির একটি ডাটাবেস
  • https://github.com/rubysec/bundler-audit  – বান্ডলারের জন্য প্যাচ-লেভেল যাচাইকরণ
  • https://github.com/hakirisec/hakiri_toolbelt  – হাকিরি টুলবেল্ট হল হাকিরি প্ল্যাটফর্মের জন্য একটি কমান্ড লাইন ইন্টারফেস।
  • https://hakiri.io/facets  – দুর্বলতার জন্য Gemfile.lock স্ক্যান করুন।
  • http://rails-sqli.org/  – এই পৃষ্ঠাটি ActiveRecord-এ অনেক ক্যোয়ারী পদ্ধতি এবং বিকল্প তালিকাভুক্ত করে যা কাঁচা SQL আর্গুমেন্টকে স্যানিটাইজ করে না এবং অনিরাপদ ব্যবহারকারী ইনপুট দিয়ে কল করার উদ্দেশ্যে নয়।
  • https://github.com/0xsauby/yasuo  – একটি রুবি স্ক্রিপ্ট যা একটি নেটওয়ার্কে দুর্বল এবং শোষণযোগ্য তৃতীয় পক্ষের ওয়েব অ্যাপ্লিকেশনের জন্য স্ক্যান করে

উপসংহার

নিরাপত্তা ত্রুটিগুলি খুঁজে পেতে এবং সাইবার অপরাধীদের থেকে অ্যাপ্লিকেশনটিকে রক্ষা করতে বিভিন্ন ওয়েব-ভিত্তিক অ্যাপ্লিকেশনে অনুপ্রবেশ পরীক্ষা করার জন্য ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং সরঞ্জামগুলি অত্যন্ত প্রয়োজনীয়। বিভিন্ন পেন্টেস্টিং টুল উপলব্ধ রয়েছে, উপরে উল্লিখিত ওয়েব অ্যাপ্লিকেশন পেন্টেস্টিং টুলগুলি বিভিন্ন স্তরের পেন্টেস্টিং অপারেশন সম্পাদনের জন্য শীর্ষ তালিকা এবং ওয়েব অ্যাপ্লিকেশন দুর্বলতাগুলি প্যাচ করার জন্য সংশ্লিষ্ট বিক্রেতার কাছে রিপোর্ট করে৷

Related Posts

Leave a Comment

* By using this form you agree with the storage and handling of your data by this website.

সদাই একাডেমি
সদাই একাডেমি একটি অনলাইন ভিডিও শেখার প্ল্যাটফর্ম। এথিক্যাল হ্যাকিং, এসইও, ওয়েব ডেভেলপিং শিখুন

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy
error: checked
UA-200779953-1