Evaluation of Open Source Web Application Vulnerability Scanners
DOI:
https://doi.org/10.25007/ajnu.v9n1a532الكلمات المفتاحية:
Web Application Security, Open Web Application Security Project (OWASP), Vulnerability Scanner, Penetration Testing.الملخص
Nowadays, web applications are essential part of our lives. Web applications are used by people for information gathering, communication, e-commerce and variety of other activities. Since they contain valuable and sensitive information, the attacks against them have increased in order to find vulnerabilities and steal information. For this reason, it is essential to check web application vulnerabilities to ensure that it is secure. However, checking the vulnerabilities manually is a tedious and time-consuming job. Therefore, there is an exigent need for web application vulnerability scanners. In this study, we evaluate two open source web application vulnerability scanners Paros and OWASP Zed Attack Proxy (OWASP ZAP) by testing them against two vulnerable web applications buggy web application (bWAPP) and Damn Vulnerable Web Application (DVWA).
التنزيلات
المراجع
2. Farah T., Shojol M., Hassan M. & Alam D. (2016). Assessment of vulnerabilities of web applications of Bangladesh: A case study of XSS & CSRF. Sixth International Conference on Digital Information and Communication Technology and its Applications (DICTAP), Konya, 2016, (pp. 74-78).
3. OWASP. (2018).The Open Web Application Security Project. Retrieved from https://www.owasp.org/
4. Makino Y. & Klyuev V. (2015). Evaluation of web vulnerability scanners. Intelligent Data Acquisition and Advanced Computing Systems:Technology and Applications (IDAACS), IEEE 8th InternationalConference vol. 1. IEEE, 2015, (pp. 399–402).
5. Nagpure S. & Kurkure S. (2017). Vulnerability Assessment and Penetration Testing of Web Application. International Conference on Computing, Communication, Control and Automation (ICCUBEA), Pune, 2017, (pp. 1-6).
6. Srinivasan S. & Sangwan R. (2017). Web App Security: A Comparison and Categorization of Testing Frameworks. IEEE Software, vol. 34, no. 1, IEEE, 2017, (pp. 99-102).
7. Suteva N., Zlatkovski D. & Mileva A. (2013). Evaluation and testing of several free/open source web vulnerability scanners, 10th Conference for Informatics and Information Technology, Bitola, Macedonia, 2013.
8. Jiménez R. (2016). Pentesting on web applications using ethical - hacking. IEEE 36th Central American and Panama Convention (CONCAPAN XXXVI), San Jose, 2016, (pp. 1-6).
9. BWAPP. (2018). A buggy Web Application. Retrieved from http://itsecgames.com/
10. Gaddam R. & Nandhini M. (2017). An analysis of various snort based techniques to detect and prevent intrusions in networks proposal with code refactoring snort tool in Kali Linux environment. International Conference on Inventive Communication and Computational Technologies (ICICCT), Coimbatore, 2017 (pp. 10-15).
11. Denis M., Zena C. & Hayajneh T. (2016). Penetration testing: Concepts, attack methods, and defense strategies. IEEE Long Island Systems, Applications and Technology Conference (LISAT), Farmingdale, NY, 2016 (pp. 1-6).
12. Daud N.,Bakar K. & Hasan M. (2014) .A case study on web application vulnerability scanning tools. Science and Information Conference, London, 2014 (pp. 595-600).
13. OWASP ZAP. (2018). Zed Attack Proxy Project - OWASP. Retrieved from https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
14. Engebretson P. (2013). The Basics of Hacking and Penetration Testing. Waltham, MA: Syngress.
15. Goel J., Asghar M., Kumar V. & Pandey S. (2016). Ensemble based approach to increase vulnerability assessment and penetration testing accuracy. International Conference on Innovation and Challenges in Cyber Security (ICICCS-INBUSH), Noida, 2016 (pp. 330-335).
التنزيلات
منشور
كيفية الاقتباس
إصدار
القسم
الرخصة
بيان الحقوق الفكرية
حقوق التأليف
يوافق المؤلفون الذين ينشرون في هذه المجلة على المصطلحات التالية:
١. يحتفظ المؤلفون بحقوق الطبع والنشر ومنح حق المجلة في النشر الأول مع العمل المرخص له في نفس الوقت بموجب ترخيص المشاع الإبداعي [سيسي بي-نك-ند 4.0] الذي يسمح للآخرين بمشاركة العمل مع الإقرار بحقوق التأليف والنشر الأولي في هذه المجلة.
٢. يمكن للمؤلفين الدخول في ترتيبات تعاقدية إضافية منفصلة للتوزيع غير الحصري للنسخة المنشورة من المجلة من العمل (على سبيل المثال، نشرها في مستودع مؤسسي أو نشرها في كتاب) مع الإقرار بنسخة أولية نشر في هذه المجلة.
٣. يسمح للمؤلفين وتشجيعهم على نشر عملهم عبر الإنترنت (على سبيل المثال، في المستودعات المؤسسية أو على موقعهم على الويب) قبل وأثناء عملية التقديم، حيث يمكن أن يؤدي إلى التبادلات الإنتاجية، فضلا عن الاستشهاد المبكر والأكبر للعمل المنشورة ( انظر تأثير النفاذ المفتوح).
نقل حقوق الطبع والنشر
بيان الخصوصية
المجلة الأكاديمية لجامعة نوروز ملتزمة بحماية خصوصية مستخدمي موقع المجلة هذا. سيتم استخدام الأسماء والتفاصيل الشخصية وعناوين البريد الإلكتروني التي تم إدخالها في هذا الموقع الإلكتروني فقط للأغراض المعلنة لهذه المجلة ولن يتم إتاحتها لأطراف ثالثة بدون إذن المستخدم أو الإجراءات القانونية الواجبة. موافقة المستخدمين مطلوبة لتلقي الاتصالات من المجلة الأكاديمية لجامعة نوروز للأغراض المعلنة للمجلة. ويمكن توجيه الاستفسارات المتعلقة بالخصوص إلى [email protected]