Security Audit Tools

Rekan-rekan,
Adakah diantara kita yang pernah membuat website? Apakah pernah khawatir akan segi keamanan dari website tersebut? Pernahkah berpikir untuk memeriksa celah-celah keamanan dari website yang kita buat? Pernahkah melakukan security audit terhadap web yang kita buat?

Saat ini ada banyak tools yang menawarkan fasilitas security audit, baik yang gratis, ataupun yang bayar. Di jajaran yang gratis ada W3AF, Nikto, dll. Di jajaran berbayar ada Acunetix yang sudah cukup terkenal di jajaran tools security audit. Masing-masing memiliki kelebihannya sendiri-sendiri, dan tentu saja bagi kita, yang gratis memiliki nilai tersendiri (kecuali jika pembelian software ditanggung kantor).

W3AF (Web Application Attack and Audit Framework) adalah sebuah project di Sourceforge (Project page untuk W3AF ) yang bertujuan untuk menemukan celah-celah keamanan yang dapat dimanfaatkan pada sebuah web. Dari halaman detil project W3AF diantaranya memberikan beberapa contoh penggunaannya dalam security audit seperti untuk memeriksa celah keamanan pada perintah-perintah console, menguji coba SQL Injection, ataupun kesalahan konfigurasi DAV.

Dalam hal dokumentasi, W3AF menyediakan user guide dalam format pdf. Tools security audit W3AF sendiri bisa didownload secara GRATIS dalam bentuk Windows Installer. W3AF ditulis dalam bahasa Phyton yang walaupun saat ini masih dalam status Beta tapi sudah cukup layak digunakan untuk proses security audit web yang kita buat.

Tools gratis berikutnya adalah Nikto. Fungsi dan kegunaanya sama dengan W3AF, yaitu security audit untuk web, menemukan celah keamanan, dll. Dan satu kesamaan lagi untuk dua tools security audit ini adalah keduanya dirilis sebagai aplikasi Open Source (GPL).

Saat ini Nikto telah dirilis dalam versi kedua. Dari website tools Nikto ini, disebutkan beberapa update dari versi pertamanya adalah :

  • Fingerprinting web servers via favicon.ico files
  • 404 checking for each file type
  • Enhanced false positive reduction via multiple methods: headers, page content, and content hashing
  • Scan tuning to include or exclude entire classes of vulnerability checks
  • Expanded scan database can have multiple positive or negative triggers, to allow AND/OR/NOT for flexible checks
  • Uses LibWhisker 2, which has its own long list of enhancements
  • A “single” scan mode that allows you to craft an HTTP request by hand
  • Updated and greatly enhanced documentation
  • Authorization guessing handles any directory, not just the root directory
  • New HTML report
  • Basic template engine so that HTML reports can be easily customized
  • An experimental knowledge base for scans, which will allow regenerated reports and retests (future)

Dokumentasi seputar Nikto bisa dilihat disini. Jika sudah mencoba melakukan security audit dengan Nikto, tidak ada salahnya mencoba satu lagi tools security audit yang mungkin menarik, Wikto.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: