オープンソース セキュリティ テスト ツール トップ 9 (2024)

セキュリティ テスト ツールは、Web アプリ、データベース、サーバー、マシンを多くの脅威や脆弱性から保護します。 最高の侵入テスト ツールには、統合を容易にする API が付属しており、複数の展開オプション、幅広いプログラミング言語のサポート、詳細なスキャン機能、自動脆弱性検出、プロアクティブな監視などを提供します。

私たちはあなたのために9つの最高のセキュリティテストツールのリストをまとめました。

トップのオープンソース セキュリティ テスト ツール

お名前 脆弱性が検出されました 展開オプション プログラミング言語 リンク
ManageEngine Vulnerability Manager Plus クロスサイト スクリプティング、SSRF、XXE インジェクション、SQL インジェクションなど。 Windows, MacOS, Android, Linux Java、Python、JavaScript もっと読む
げっぷスイート クロスサイト スクリプティング、SQL インジェクション、XML 外部エンティティ インジェクションなど。 Linuxでは、 macOS、 Windows Java、Python、Ruby もっと読む
ソナーキューブ クロスサイト スクリプティング、特権獲得検出、ディレクトリ トラバーサルなど。 Linuxでは、 macOS、 Windows Java、NET、JavaScript、PHP など もっと読む
Zed攻撃プロキシ セキュリティの設定ミス、認証の失敗、機密データの漏洩など。 Linuxでは、 macOS、 Windows JavaScript、Pythonなど もっと読む
w3af LDAPインジェクション、SQLインジェクション、XSSインジェクションなど Linuxでは、 macOS、 Windows Pythonのみ もっと読む
専門家の助言:

セキュリティ テスト ツールは、脆弱性の発見、信頼性の向上、データ侵害の防止、顧客の信頼の向上に大いに役立ちます。 すべてのニーズを満たし、既存の技術スタックと統合できるセキュリティ ツールを選択してください。 理想的なセキュリティ テスト サービスは、すべてのアプリ、サーバー、データベース、Web サイトをテストできる必要があります。  

1) ManageEngine Vulnerability Manager Plus

企業の脅威と脆弱性の管理に最適

脆弱性マネージャー プラス は、脆弱性を即座に検出して修復することで、企業ネットワークをエクスプロイトから保護する、統合された脅威と脆弱性管理ソリューションです。 

Vulnerability Manager Plus は、ネットワーク エンドポイントを侵害から保護するために、セキュリティ構成管理、自動パッチ適用モジュール、高リスク ソフトウェア監査、Web サーバーの強化など、多数のセキュリティ機能を提供します。

ManageEngineの

特徴:

  • 複数のプラットフォーム、サードパーティ製アプリケーション、ネットワーク デバイスのリスクベースの脆弱性評価により、悪用可能で影響力のある脆弱性を評価し、優先順位を付けます。
  • パッチを自動的に展開する Windows, macOS、Linux。
  • ゼロデイ脆弱性を特定し、修正が到着する前に回避策を実装します。
  • セキュリティ構成管理により、構成ミスを継続的に検出して修正します。
  • セキュリティに関する推奨事項を取得して、複数の攻撃の変種を回避できる方法で Web サーバーをセットアップします。
  • サポートが終了したソフトウェア、ピアツーピア、安全でないリモート デスクトップ共有ソフトウェア、ネットワーク内のアクティブなポートを監査します。

ManageEngine にアクセス >>


2) げっぷスイート

既存のアプリの統合に最適

Burp Suite は、高速スキャン、堅牢な API、セキュリティ ニーズを管理するツールを提供する、最高のセキュリティおよび侵入テスト ツールの XNUMX つです。 さまざまなビジネス規模のニーズに迅速に対応するための複数のプランを提供しています。 を使用して、セキュリティ体制の進化を簡単に視覚化する機能を提供します。 deltaやその他多くの変更が加えられています。

60,000 人を超えるセキュリティ専門家が、脆弱性の検出、ブルート フォース攻撃に対する防御などにこのセキュリティ テスト ツールを信頼しています。GraphQL API を使用して、スキャンの開始、スケジュール、キャンセル、更新を行い、完全な柔軟性で正確なデータを受信できます。 さまざまなパラメータをアクティブにチェックして、同時セキュリティ スキャンの頻度を自動的に調整します。

 

特徴:

  • 自動化された OAST (アウトオブバンド アプリケーション セキュリティ テスト) は、多くの脆弱性の検出に役立ちます
  • Jenkins や TeamCity などのプラットフォームと統合して、ダッシュボードにすべての脆弱性を視覚的に表示できます。
  • マルチユーザー システムを作成し、ユーザーにさまざまな機能、アクセス、権限を提供するツールを提供します。
  • 手動で作成した Burp Suite Pro セットアップを完全に自動化されたエンタープライズ環境に統合します
  • 脆弱性の検出: クロスサイト スクリプティング、SQL インジェクション、XML 外部エンティティ インジェクションなど。
  • API: はい
  • 自動スキャン: はい

メリット

  • クロール脆弱性の最大リンクの深さを指定できます。
  • スキャン速度を設定してリソース消費を制限する
  • 内蔵リピーター、デコーダー、シーケンサー、および比較ツール

デメリット

  • 初心者向けではなく、その動作を理解するのに多くの時間がかかります。

主な仕様:

サポートされているプログラミング言語: Java、Python、Ruby
導入オプション: Linuxでは、 macOS、 Windows
オープンソース: はい

リンク: https://portswigger.net/burp/communitydownload


3) ソナーキューブ

複数のプログラミング言語に最適

SonarQube は、すべてのコードがクリーンで適切に維持されていることを確認するために、すべてのファイルを評価する高度なセキュリティ テスト機能を備えたオープンソース セキュリティ ツールです。 強力な品質チェック機能を使用して、未確認のバグ、パフォーマンスのボトルネック、セキュリティの脅威、ユーザー エクスペリエンスの矛盾を見つけて修正できます。

Issue Visualizer は、複数のメソッドやファイルにわたって問題を追跡し、より迅速な問題解決を支援します。 25 以上の人気のあるプログラミング言語を完全にサポートしています。 エンタープライズおよびデータサーバーレベルのセキュリティテスト用に、クローズドソースの有料プランが 3 つあります。

ソナーキューブ

特徴:

  • 導入ツールを通じてバックグラウンドで継続的に動作することでエラーを特定します
  • アプリケーションがクラッシュしたりメモリが不足したりする傾向がある場合、メモリ リークなどの重大な問題を表示します。
  • プログラマーのスキル向上に役立つコードの品質に関するフィードバックを提供します。
  • あるコード ファイルから別のコード ファイルまでの問題をチェックするためのアクセシビリティ ツール
  • 脆弱性の検出: クロスサイト スクリプティング、権限の取得、ディレクトリ トラバーサルなど。
  • API: はい
  • 自動スキャン: はい

メリット

  • SonarLint プラグインを利用して IDE と直接統合します。
  • コードの問題を検出し、コードを修正するよう開発者に自動的に警告します。
  • 特定のプロジェクトまたはチームに異なるルールを設定するための組み込みサポート

デメリット

  • 時間のかかる初期セットアップ、構成、管理

主な仕様:

サポートされているプログラミング言語: Java、NET、JavaScript、PHP など
導入オプション: Linuxでは、 macOS、 Windows
オープンソース: はい

リンク: https://www.sonarqube.org/


4) Zed攻撃プロキシ

Web アプリケーションの脆弱性の発見に最適

Open Web Application Security Project によって開発された ZAP または Zed Attack Proxy ペネトレーション テスト ツール (OWASP)。 Web アプリケーションの脆弱性を発見して解決するのは簡単です。これを使用すると、トップ 10 のほとんどを見つけることができます OWASP 脆弱性を簡単に発見できます。 API とデーモン モードを使用して、開発を完全に制御できます。

ZAP は、クライアントの Web ブラウザとサーバーの間の理想的なプロキシです。 このツールを使用すると、すべての通信を監視し、悪意のある試みを阻止できます。 テクノロジー スタックと簡単に統合するために使用できる REST ベースの API を提供します。

特徴:

  • ZAP は Web スキャンを通じてすべてのリクエストとレスポンスを記録し、検出された問題についてアラートを提供します
  • Jenkins プラグインを利用して、セキュリティ テストを CI/CD パイプラインに統合できます。
  • Fuzzer は、JavaScript ペイロードを挿入してアプリの脆弱性を明らかにするのに役立ちます
  • カスタム スクリプト アドオンにより、ZAP に挿入されたスクリプトを実行して内部データ構造にアクセスできるようになります
  • 脆弱性の検出: セキュリティの設定ミス、認証の失敗、機密データの漏洩など。
  • API: はい
  • 自動スキャン: はい

メリット

  • 柔軟なスキャン ポリシー管理を実現するカスタマイズ可能なパラメータ
  • 従来の Web クローラーと AJAX Web クローラーは、Web アプリケーションのすべてのページをスキャンします。
  • 高度なカスタマイズ性を保証する堅牢なコマンド ライン インターフェイス

デメリット

  • GUIベースのインターフェースがないため、初心者にとっては使いにくい

主な仕様:

サポートされているプログラミング言語: NodeJS、JavaScript、Python など。
導入オプション: Linuxでは、 macOS、 Windows.
オープンソース: はい

リンク: https://github.com/zaproxy/zaproxy


5) w3af

データが豊富なセキュリティ レポートの生成に最適

w3af は、Web アプリの脆弱性を特定して解決するのに最適なオープンソースのセキュリティ テスト ツールです。 このツールを使用すると、Web サイトの 200 以上の脆弱性を簡単に検出できます。 使いやすい GUI、堅牢なオンライン ナレッジ ベース、熱心なオンライン コミュニティ、初心者と経験豊富な専門家を支援するブログを提供します。

これを使用して、セキュリティ テストを実行し、データが豊富なセキュリティ レポートを生成できます。これは、SQL インジェクション試行、コード インジェクション、ブルート フォース攻撃などのさまざまな攻撃を防御するのに役立ちます。プラグインベースで使用できます archiニーズに基づいて機能を追加/削除する構造。

w3af

特徴:

  • XSS、SQLI、CSF などの複数の脆弱性をテストするためのソリューションを提供します
  • Sed プラグインは、さまざまな正規表現を使用してリクエストとレスポンスを変更するのに役立ちます
  • GUI ベースのエキスパート ツールは、カスタム HTTP リクエストの簡単な作成と送信に役立ちます。
  • ファジーおよび手動リクエスト Generator この機能により、手動 Web アプリケーション テストに関連する問題が解消されます。
  • 脆弱性の検出: LDAPインジェクション、SQLインジェクション、XSSインジェクション
  • API: いいえ
  • 自動スキャン: いいえ

メリット

  • コンソール、ファイル、ファイルなど、さまざまなファイル タイプをサポートします。mail、HTML、XML、テキスト
  • 制限された領域にアクセスしてクロールするためのデフォルトのユーザー名とパスワードを指定します
  • PHP の構成ミス、未処理のアプリケーション エラーなどの検出に役立ちます。

デメリット

  • 統合を作成および管理するための API が組み込まれていない

主な仕様:

サポートされているプログラミング言語: Python
導入オプション: Linuxでは、 macOS、 Windows
オープンソース: はい

リンク: http://w3af.org/


6) ワピチ

最高のオープンソース脆弱性検出器

Wapiti は、すべての技術スタックで動作する最高級の脆弱性検出プログラムです。 これを使用すると、サーバー上の潜在的に危険なファイルを自動的に識別して修復でき、セキュリティの脅威に対する強力な防御線になります。 これは、サーバーに対するブルート フォース攻撃を検出し、防御するための理想的なツールです。 さらに、このツールには、セットアップを支援し、専門家のアドバイスを提供するセキュリティ専門家の活発なコミュニティが存在します。

このツールを使用すると、.htaccess ファイルや危険なデータベースなどに関する潜在的な問題など、多数のサーバー レベルの脆弱性を検出できます。 さらに、このコマンドライン プログラムは、Web サイトにテスト ペイロードを挿入できます。

ワピチ

特徴:

  • HTML、XML、JSON、TXT などでデータドリブンの脆弱性レポートを生成します。
  • 基本、ダイジェスト、NTLM、または GET/POST メソッドを使用したログイン フォームの認証。
  • アクティブなセキュリティ スキャンを一時停止して再開できます。 later
  • あなたのウェブサイトをクロールし、「闇の行為」を行います。box」 適切なセキュリティテストをスキャンします
  • 脆弱性の検出: Shellshock または Bash のバグ、SSRF、XXE インジェクションなど。
  • API: いいえ
  • 自動スキャン: いいえ

メリット

  • HTML、XML、JSON、TXT などのさまざまな形式でデータ駆動型の脆弱性レポートを作成します。
  • 同時 HTTP リクエストの頻度を完全に制御します
  • wapiti-get cookie ツールを使用すると、Cookie を簡単にインポートできます。

デメリット

  • 自動脆弱性スキャンはサポートされていません。

主な仕様:

サポートされているプログラミング言語: Python のみ
導入オプション: FreeBSDとLinux
オープンソース: はい

リンク: https://wapiti-scanner.github.io/


7) スナック

コードを保護するための最高のセキュリティ プラットフォーム

Snyk は、展開前でもコードの脆弱性を検出できる理想的なツールです。 IDE、レポート、ワークフローに統合できます。 Sync 使用されます logic proコードの作成時にセキュリティの脆弱性を発見するためのグラム化原則。また、自己学習リソースを利用して、アプリケーションのセキュリティ テストを改善することもできます。

Snyk の組み込みインテリジェンスは、サーバー全体のさまざまなパラメーターに基づいてスキャン頻度を動的に調整します。 Jira 用に事前に構築された統合があり、 Microsoft Visual Studio、GitHub、CircleCI など。このツールは、さまざまなビジネス規模の固有のニーズを満たすために複数の料金プランを提供します。

スナック

特徴:

  • 一括コードテストでパターンを発見し、潜在的な脆弱性を特定できる
  • デプロイされたプロジェクトとコードを自動的に追跡し、新しい脆弱性が検出された場合に警告します。
  • ユーザーがセキュリティ自動化機能を変更できるようにします。
  • 推移的な脆弱性のトリアージを改善するための直接的な依存関係修正の提案
  • 脆弱性の検出: クロスサイト スクリプティング、SQL インジェクション、XML 外部エンティティ インジェクションなど。
  • API: はい
  • 自動スキャン: はい

メリット

  • さまざまなビジネスニーズを満たす複数のプラン
  • 正確なセキュリティ情報を取得するためのフィルタリングおよびレポートのオプションを許可します
  • すべての脆弱性を修正するためのインテリジェントで実用的な手順/推奨事項を提供します。

デメリット

  • ドキュメントが貧弱で初心者には理想的ではない

主な仕様:

サポートされているプログラミング言語: JavaScript、.NET、Python、Ruby など
導入オプション: Ubuntu、CentOS、Debian
オープンソース: はい

リンク: https://snyk.io/


8) ベガ

サーバーとクライアントの通信の監視に最適

Vega は、さまざまなプラットフォームでセキュリティ テストを行うための強力なオープンソース ツールです。 貴重な警告を提供することで、脆弱性と潜在的な脅威を特定するのに役立ちます。 これをプロキシとして使用して、サーバーとブラウザ間の通信を制御できます。 SQL インジェクションやブルート フォース攻撃などのさまざまなセキュリティ リスクからサーバーを保護します。

高度な API を使用して堅牢な攻撃モジュールを構築し、ニーズに応じてセキュリティ テストを実行できます。 それは最高の一つです ソフトウェアテストツール Web サイトに自動的にログインし、すべての制限領域に脆弱性がないかチェックします。

ベガ

特徴:

  • SSL インターセプトを実行し、すべてのクライアント/サーバー通信を分析します。
  • 定期テスト用の自動スキャナを含む戦術的検査ツールを提供します
  • ユーザーの資格情報が提供されると、Web サイトに自動的にログインします。
  • プロキシ機能により、ブラウザから Web アプリケーション サーバーへのリクエストをブロックできます。
  • 脆弱性の検出: ブラインドSQLインジェクション、ヘッダーインジェクション、シェルインジェクションなど
  • API: はい
  • 自動スキャン: はい

メリット

  • 自動、手動、およびハイブリッドのセキュリティ テストの組み込みサポート
  • ユーザーがリクエストしたすべてのページをプロキシ経由でアクティブにスキャンします。
  • ベース URL を手動で入力するか、既存のターゲット スコープを選択する柔軟性

デメリット

  • 誤検知の数が比較的多い
  • 高度なデータ駆動型分析を含まない基本的なレポートのみを提供します

主な仕様:

サポートされているプログラミング言語: Java、Python、HTMLなど
導入オプション: Linuxでは、 macOS、 Windows
オープンソース: はい

リンク: https://subgraph.com/vega/


9) SQLMap

SQLの脆弱性の検出に最適

SQLMap は、データベースのセキュリティ保護に特化したセキュリティ ツールです。これを利用して、データベース内のインジェクションの欠陥、脆弱性、弱点、および潜在的なデータ侵害の脅威をスキャンできます。高度な検出エンジンは、適切な侵入テストを効率的に実行します。ディープ スキャンは、サーバーの重大な構成ミスやシステムの弱点を特定するのに役立ちます。これを使用して、SQL インジェクションの欠陥や機密データの欠陥などをチェックできます。

ハッシュを使用してパスワードを自動的に認識し、パスワードを解読するための辞書攻撃の調整をサポートします。 MySQL などのさまざまなデータベース管理システムを保護できます。 Oracle、PostgreSQL、 IBM DB2など

SQLmap

特徴:

  • スタックされたクエリ、時間ベース、エラーベースの SQL クエリなどを使用して、脆弱性を定期的に検索します。
  • 現在のデータベース情報、セッションユーザー、DBMSバナーを自動的に取得します。
  • テスターは複数の攻撃を簡単にシミュレートして、システムの安定性をチェックし、サーバーの脆弱性を発見できます。
  • サポートされている攻撃には、ユーザーの列挙、パスワード ハッシュ、ブルート フォース テーブルが含まれます。
  • 脆弱性の検出: クロスサイトスクリプティング、 SQLインジェクション、XML 外部エンティティ インジェクションなど。
  • API: いいえ
  • 自動スキャン: はい

メリット

  • すべてのクエリに対して非常に細かい粒度で ETA を提供します
  • セキュアな DBMS 認証情報も提供wing SQLを挿入する必要のない直接ログイン
  • 完全なデータベース テーブルのダンプなど、効率的な一括データベース操作。

デメリット

  • Web ページやアプリケーションなどのテストには理想的ではありません。
  • グラフィック ユーザー インターフェイスは使用できません。

主な仕様:

プログラミング言語: Python、シェル、HTML、Perl、SQL など
導入オプション: Linuxでは、 macOS、 Windows
オープンソース: はい

リンク: https://sqlmap.org/


10) Kali Linux

インジェクションとパスワードスニッピングに最適

Kali Linux は、負荷テスト、倫理的ハッキング、未知の脆弱性の発見に最適なセキュリティ侵入テスト ツールです。活発なオンライン コミュニティは、あらゆる問題や疑問の解決に役立ちます。これを使用して、スニッフィング、デジタル フォレンジック、および WLAN/LAN 脆弱性評価を実行できます。の Kali NetHunter は、Android スマートフォン用のモバイル侵入テスト ソフトウェアです。

アンダーカバー モードは、あまり注目を集めることなく静かに実行されます。 VM、クラウド、USB などに導入できます。その高度なメタパッケージにより、ユースケースに合わせて最適化し、サーバーを微調整することができます。

Kali linux

特徴:

  • 初心者だけでなくベテランにも役立つ関連情報を含む詳細なドキュメント
  • Web アプリケーションに多くの侵入テスト機能を提供し、攻撃をシミュレートし、脆弱性分析を実行します。
  • ライブ USB ブート ドライブは、ホスト オペレーティング システムに干渉することなくテストに使用できます。
  • 脆弱性の検出: ブルート フォース攻撃、ネットワークの脆弱性、コード インジェクションなど
  • API: いいえ
  • 自動スキャン: はい

メリット

  • 常にアクティブな状態を維持し、ハッキングの試みにおける一般的なパターンを検出して理解します
  • Kali Undercover は、日常の使用では目立たないようにバックグラウンドで動作します。
  • ネットワーク マッピングを使用すると、ネットワーク セキュリティの抜け穴を見つけることができます。

デメリット

  • 利用可能な API はありません。

主な仕様:

サポートされているプログラミング言語: C と ASM
導入オプション: Linuxでは、 Windows、およびAndroid
オープンソース: はい

リンク: https://www.kali.org/

よくあるご質問

セキュリティ テストに最適なツールは次のとおりです。

セキュリティ テスト ツールの重要な機能は次のとおりです。

  • 言語サポート: 最高のセキュリティ ツールは、技術的なニーズに応じて必要となるすべてのプログラミング言語で利用できる必要があります。
  • 自動スキャン: 自動スキャンが可能であり、外部パラメータに基づいてスキャン頻度を調整できる必要があります。
  • ペネトレーションテスト: 選択したツールには、侵入テストを実行して脆弱性を発見するための適切な侵入テスト ソフトウェアが組み込まれている必要があります。
  • 分析された脆弱性: それ Web セキュリティ、アプリ セキュリティ、データベース セキュリティなど、特定のユースケースにおけるすべての脆弱性を検出できる必要があります。ニーズに合ったツールを見つけるには、これらを検討することを検討してください。 トップ 5 の侵入テスト ツール.
  • オープンソース: ツール内のセキュリティ上の欠陥を簡単に検出できるように、完全にオープンソース コードを備えたセキュリティ テスト ツールを選択する必要があります。

最高のオープンソース セキュリティ テスト ツール

お名前 脆弱性が検出されました 展開オプション プログラミング言語 リンク
ManageEngine Vulnerability Manager Plus クロスサイト スクリプティング、SSRF、XXE インジェクション、SQL インジェクションなど。 Windows, MacOS, Android, Linux Java、Python、JavaScript もっと読む
げっぷスイート クロスサイト スクリプティング、SQL インジェクション、XML 外部エンティティ インジェクションなど。 Linuxでは、 macOS、 Windows Java、Python、Ruby もっと読む
ソナーキューブ クロスサイト スクリプティング、特権獲得検出、ディレクトリ トラバーサルなど。 Linuxでは、 macOS、 Windows Java、NET、JavaScript、PHP など もっと読む
Zed攻撃プロキシ セキュリティの設定ミス、認証の失敗、機密データの漏洩など。 Linuxでは、 macOS、 Windows JavaScript、Pythonなど もっと読む
w3af LDAPインジェクション、SQLインジェクション、XSSインジェクションなど Linuxでは、 macOS、 Windows Pythonのみ もっと読む