WebCruiser

WebCruiser — это сканер, который призван определить уязвимости и прочие недоработки в системе защиты вашего веб-сайта. Главным достоинством программы является составление подробнейшего отчета о проделанной работе, а вот к недостаткам можно отнести общую неинтуитивность. Несмотря на то, что сканер призван помощь избежать обращения к специалисту по сетевой защите и ориентирован на новичков, последним разобраться в интерфейсе программы будет очень непросто. То же самое касается и «разбора» созданных отчетов. К тому же оболочка сканера (как и вся сопутствующая документация к нему) доступна исключительно на английском языке. 

Итак, благодаря данной программе можно обнаружить «слабые точки», которые могут быть использованы для внешних атак. WebCruiser проверяет возможность проникновения с помощью SQL, XSS и XPath инъекций. Сканер действует исключительно эмпирическим методом, пытаясь совершить проникновение всеми доступными способами. На всякий случай она даже проверяет «силу» пароля администраторской учетной записи, определяя возможность ее «брута». У программы имеется встроенный веб-браузер. В Enterprise версии даже предусмотрена возможность пакетной проверки веб-ресурсов. В бесплатно же можно проанализировать не больше одного сайта за один «подход». Обратите внимание, что при анализе ресурса WebCruiser довольно ощутимо нагружает сервер, на котором расположен сайт. Так что запускать работу сканера рекомендуется в то время суток, когда на сайте наблюдается наименьшая посещаемость и возможное «падение» сервера не повлечет за собой ощутимые последствия. Еще можно снизить нагрузку, увеличив временной промежуток между производимыми атаками.

Кроме попытки внедрения инъекций на веб-сайт, WebCruiser также проверяет безопасность Cookie-файлов, баз данных и предоставляет краткую информацию о сайте. При необходимости сканер может работать через прокси и в несколько потоков. 

Как уже упоминалось ранее, программа доступна в платной и бесплатной версиях. Вторая, помимо ограниченного функционала, может быть использована исключительно в личных (некоммерческих) целях. 

Ключевые особенности

• умеет проверять уязвимость сайта к XPath, XSS и SQL-инъекциям;
• находит дыры в системе безопасности;
• определяет потенциальную возможность взлома администраторской учетной записи;
• может работать через прокси;
• составляет подробные отчеты о проделанной работе;
• распространяется в платной и бесплатной версиях.