it-swarm-eu.dev

Jaké nástroje jsou k dispozici pro posouzení bezpečnosti webové aplikace?

Jaké nástroje jsou k dispozici pro posouzení bezpečnosti webové aplikace?

Uveďte malý popis toho, co tento nástroj dělá.

Aktualizace: Konkrétněji hledám nástroje, které nepředpokládají žádný přístup ke zdrojovému kódu (černé pole).

63
Olivier Lalonde

existuje velké množství aplikací, které lze použít při hodnocení webových aplikací. Jedna věc, kterou je třeba zvážit, je, jaký nástroj hledáte. Některé z nich se lépe používají spolu s ručním testem, kde jiné jsou více určeny pro pracovníky IT specialistů bez zabezpečení jako další skenovací nástroje „černé skříňky“.

Kromě toho existuje obrovské množství skriptů a bodových nástrojů, které lze použít k posouzení konkrétních oblastí zabezpečení webových aplikací.

Některé z mých oblíbených

Burp suite - http://www.portswigger.net . Zdarma a komerční nástroj. Vynikající doplněk k ručnímu testování a má také dobrou schopnost skenování. Z profesionálních testerů webových aplikací, které vím, většina jich používá.

W3af - http://w3af.org/ - Nástroj pro skenování s otevřeným zdrojovým kódem, zdá se, že se v tuto chvíli vyvíjí docela dost, primárně se zaměřuje na stránku automatizovaného skenování věcí, stále ještě vyžaduje trochu znalostí efektivně využívat.

Na čistě skenovací straně je k dispozici řada komerčních nástrojů.

Netsparker - http://www.mavitunasecurity.com/netsparker/

IBM AppScan - http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__

Cenzic Hailstorm - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjektivy NTOSpider - http://www.ntobjectives.com/ntospider

29
Rory McCune

Moje upřednostňovaná taška na nářadí k provádění pera webové aplikace černé skříňky. test je v současné době:

  • BURP Suite "je zachycující proxy server pro testování bezpečnosti webových aplikací. Funguje jako prostředník mezi prohlížečem a cílovou aplikací"
  • Fiddler další proxy nástroj "fiddler vám umožní kontrolovat veškerý HTTP (S) provoz, nastavit body přerušení a" fiddle "s příchozími nebo odchozími daty"
  • Fiddler x5s addon - x5s si klade za cíl pomáhat testerům penetrace při hledání zranitelností při skriptování mezi weby.
  • Fiddler addon Watcher n - Watcher je pasivní analytický nástroj pro webové aplikace.

Výše uvedené nástroje vyžadují určitou znalost, kterou lze ovládat na plný výkon, a nejlépe se používají poloautomatizovaným způsobem (např. Vyberte konkrétní webový formulář, který chcete otestovat, nastavte „útočné“ běhy, poté zkontrolujte výsledky a určete zranitelnosti nebo body, které chcete otestovat). více)

Plně automatizované skenery pro zachycení nízko visících plodů a získání šíře v testovacím pokrytí:

  • Netsparker - automatizovaný komerční skener aplikací
  • Skipfish - automatický skener aplikací

Možná AppScan nebo WebInpsect , pokud mám přístup k licenci (tyto nástroje jsou drahé)

15
Tate Hansen

Je obtížné udržovat tento seznam aktuální. Podle mého názoru - to je BAD OTÁZKA.

Správná otázka by měla znít: „Jaké techniky jsou k dispozici pro posouzení bezpečnosti webové aplikace, jak jsou běžně implementovány a jak udržujete krok s nejnovějšími vylepšeními technik a jejich implementací?“

Například již jsou k dispozici lepší nástroje, protože byly předloženy tyto odpovědi: Hatkit, WATOBO, Arachniho webové rozhraní, et al.

Hlavním problémem komerčních nástrojů je jejich nedostatečná schopnost inovovat a zlepšovat se. V tomto okamžiku - téměř všechny komerční produkty v prostoru zabezpečení webových aplikací byly zakršeny patentovými válkami a ztrátou individuálního a sociálního kapitálu. Kdy jste naposledy viděli komunitu kolem skeneru aplikací, aplikačního firewallu nebo statické analýzy zaměřené na zabezpečení PRODUKT/SLUŽBA? Správná odpověď je „NIKDY“. Bitva je o bezplatné (a/nebo open-source) nástroje, které se snaží inovovat kolem bariéry z roku 2004, kterou předložili tito idiotští a neohlížející ne-talentovaní klauni, kteří obsluhovali skener aplikací, firewall aplikací a zabezpečení - zaměřené statické analýzy společnosti, které jsou nyní většinou zaniklé.

Doslova, jak je vidět na 1.4beta Burp Suite Professional, JEN PERSON inovující na tomto trhu je PortSwigger. Společnost Cigital inovuje, ale ceny se objevují na spotřebitelských a výzkumných trzích.

10
atdre

Líbilo se mi SkipFish

8
gbr

A je zde také OWASP Zed Attack Proxy: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Citace z domovské stránky:

„Zed Attack Proxy (ZAP) je snadno použitelný integrovaný nástroj pro testování penetrace pro nalezení zranitelností ve webových aplikacích.

Je navržen tak, aby jej mohli používat lidé se širokou škálou bezpečnostních zkušeností, a je proto ideální pro vývojáře a funkční testery, kteří jsou pro penetrační testování noví.

ZAP poskytuje automatizované skenery a sadu nástrojů, které vám umožní najít bezpečnostní chyby ručně. “

Je to vidlička Paros a je zdarma, otevřený zdroj a je aktivně udržován.

Psiinon (vedoucí projektu ZAP)

6
Psiinon

Proč nedáte Arachni vyzkoušet. Je napsáno v Ruby) a zdá se, že je velmi slibné.

6
Paolo Perego

Organizace OWASP je nezisková celosvětová charitativní organizace zaměřená na zvyšování bezpečnosti aplikačního softwaru a má několik pěkných nástrojů pro pomáhají detekovat zranitelnosti a chránit aplikace .

4
Eric Warriner

K dispozici je také OWASP WebScarab a Paros .

Nicméně tato stránka obsahuje seznam, který by měl mít to, co chcete.

4
Jeff

Níže uvedená webová stránka Web Application Security Consortium obsahuje řadu různých nástrojů pro různé role.

http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

Některé z nástrojů, které pravidelně používám, jsou:

AppScan a WebInspect: automatizované analytické nástroje, výkonné pro automatizaci určitých typů kontrol, ale postrádají schopnost hloubkové kontroly. Používané v manuálním režimu obsahují některé zajímavé funkce, ale podle mé zkušenosti se uživatelské rozhraní dostane do cesty funkčnosti.

Zed Attack Proxy: zachycující proxy, který je vidličkou a aktualizací špatně zastaralého Paros Proxy. Poměrně silný pro ruční testování a obsahuje některé funkce automatického testování.

Skipfish: zajímavý, vysokorychlostní skener webových aplikací; postrádá hloubku sady funkcí komerčních aplikačních skenerů, ale nikdy netvrdí, že je mají. Nepodporuje pokročilé funkce skenování, jako je ověřování aplikací, ale má výkonnou schopnost fuzzingu pro určité typy defektů.

4
ygjb

Nessus opravdu špatný pro fuzzing webových aplikací. Svět s otevřeným zdrojovým kódem může nabídnout Wapiti , Skipfish a w3af (druh zlomeného). Acunetix je dobrý komerční produkt za rozumnou cenu. NTOSpider je jedním z nástrojů pro zmatení webové aplikace, ale stojí to 10 000 $ + a vaše první narození. Sitewatch má bezplatnou službu, která stojí za vyzkoušení.

4
rook

Packet Storm má rozsáhlý archiv skenerů:

http://packetstormsecurity.org/files/tags/scanner/

2
user1454

Protože to nikdo nezmínil, insecure.orgs 's sectools.org seznam je skvělým výchozím bodem pro aplikační zdroje obecně, zejména pro ty, kteří jsou relativně novými aktivními podílejí se na zabezpečení IT související se sítí. Pokud jste to ještě nezkontrolovali, rozhodně bych doporučil prozkoumat jejich seznam 100 nejlepších a seznámit se s některými nástroji (zejména nástroji pro útoky), které jsou tam venku. S ohledem na výše uvedené námitky (a další předpokládané) je zde stránka pro jejich 10 nejlepších skenerů zranitelnosti web .

2
jgbelacqua

Pravděpodobně se budete chtít podívat do Burp Suite. Mají bezplatnou a placenou verzi, ale placená verze je relativně levná.

2
wickett

Můj oblíbený nástroj pro PCI DSS audity/hodnocení z hlediska webové aplikace je Fiddler (nebo FiddlerCap). Můžete dát některému z těchto nástrojů nováčkům nebo babičce a oni to budou schopni přijít na to ven s malou instrukcí.

Necháte je, aby vám poslali soubor SAZ (nebo soubor FiddlerCap), který je zahrnuje pomocí dialogového okna uložení po použití aplikace Internet Explorer k procházení jejich webového aplikace.

Poté můžete vidět provoz HTTP/TLS a určit, jak aplikace funguje a jak zpracovává informace o platební kartě. Plugin Fiddler, Casaba Watche r umí zpracovat relace offline poté, co jste mu dali nějaké informace o webu (přidejte do domény nejvyšší úrovně a subdomén). Watcher provede některé aktivity OWASP ASVS, které můžete mapovat zpět do ASVS a zkontrolovat. To vše je možné bez přístupu k aplikaci (například by to mohlo být v prostředí QA nebo dev). Tyto informace obvykle chcete získat, jakmile má vývojář k dispozici sestavu wifreframe - před tím, než aplikace přejde do inscenace nebo výroby.

Pokud máte přístup k webappu, pak Fiddler může být také užitečný. Navrhuji vybrat jakoukoli část, která má uživatelský vstup a spustit proti ní Casaba x5s plugin . Konfigurace x5s je poněkud komplikovaná, ale autoři a další online by určitě byli ochotni vám pomoci nakonfigurovat a porozumět výsledkům. Fiddler má schopnost opakovat požadavky, takže je nejlepší tuto funkci použít (tj. Přehrát jednu žádost najednou) namísto procházení webu naživo s Fiddlerem a x5s nakonfigurovanými ke spuštění. Analýza výsledků není tak složitá jako konfigurace, protože to absolutně nevyžaduje, abyste věděli něco o HTML nebo JavaScript.

Výsledky z těchto 3 nástrojů nejsou přesvědčivé. Jsou však VÍCE přesvědčivější než běh webového aplikačního skeneru nebo bezpečnostního nástroje - komerční, 500 $/rok nebo ne. Nedoporučuji NTOSpider, Acunetix, Netsparker, Hailstorm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Free/Professional nebo jakýkoli jiný „skener/nástroj“ pro PCI DSS audit nebo hodnotící práce.

Po základech potřebujete najmout a pracovat s poradenskou společností zabývající se bezpečností aplikací, která se specializuje na tyto druhy hodnocení. Je velmi pravděpodobné, že mají vlastní nástroje, které byly vyvinuty doma, že nejsou ochotny sdílet nebo prodávat.

Budou chtít přístup k kopii sestavitelného zdrojového kódu webové aplikace (aplikací). Nejlepší je poskytnout jim soubor vmdk/OVF/VHD, který obsahuje kopii vývojáře vašeho IDE a/nebo server sestavení s fungujícím sestavením, včetně všech závislostí a sad SDK). uveďte potřebnou konfiguraci a další doporučení pro případ, kdy aplikace přejde do inscenace nebo výroby.

2
atdre

Zatímco docela starý (zastaralý?) Wapiti je další svobodná volba: http://wapiti.sourceforge.net/

1
Ben Scobie

musíte kombinovat více nástrojů dohromady, abyste dosáhli dobrých výsledků, a také musíte obtěžovat web na svém počítači (manuální testy) a ruční metoda je lepší, protože jiné než komerční nástroje rozumí obchodní logice, takže navrhuji následující nástroje:

pokud jde o automatizované nástroje, myslím, že je dobré jít s acuentix, netsparkerem, sadou burpů, webovým zabezpečením google a svou webovou aplikaci můžete vyzkoušet s více z nich.

pro manuální metodu musíte studovat 10 nejlepších OWASP, abyste věděli o běžných zranitelnostech webových aplikací, a poté byste měli začít testovat web.

následující nástroje vám pomohou při provádění ručních testů: Paros Proxy pro úpravu HTTP požadavku/odpovědi. fiddler vám umožní kontrolovat provoz, nastavit body přerušení a "fiddle" s příchozími nebo odchozími daty.

Rozšíření Firefoxu (Tamper Data, webový vývojář): upravit HTTP Request/Response, aby se zjistilo, jak server reaguje. Google tyto nástroje a uvidíte spoustu tutoriálů tam, jak je používat

1
P3nT3ster