it-swarm-eu.dev

Nástroje ke kontrole běžných chyb zabezpečení?

Existují nějaké dobré nástroje (na počítači nebo online), které vám umožní zkontrolovat, zda má váš web běžné chyby (např. SQL Injection, XSS)?

35
jessegavin

websecurify jsou nejlepší projekty FOSS, které jsem našel.

10
corymathews

Možná budete chtít podívat na Skipfish , Google, jeho extrémně komplexní a práce ze slovníků, které dodáváte, výchozí hodnoty (standardní/kuchyňský dřez) jsou v ceně.

Je to také trochu „jemnější“ než ostatní, které jsem použil, ale nemohu najít něco se stejnými funkcemi, s nimiž bych mohl porovnat výsledky.

Jeho psaný C, má velmi informativní výstup a je velmi snadno použitelný. Doporučuji jej spustit z jakéhokoli standardního serveru * nix nebo z domova, pokud máte rychlé připojení. Jeho také dostal inteligentní systém fronty požadavků s aktualizacemi v reálném čase. Je to opravdu zábavné sledovat, jak to funguje.

Hlášení o většině zranitelností a spoustě dalších problémů, o kterých nemusíte vědět. Je to trochu pedantické, ale pedantické je pro takový nástroj dobrá kvalita.

Screenshot výsledků (trochu starý):

alt text http://skipfish.googlecode.com/files/skipfish-screen.png

5
Tim Post

Existuje mnoho dobrých automatizovaných skenerů zranitelností webových aplikací s černým rámečkem.

  • w3af
  • websecurify
  • skipfish
  • Netsparker Community Edition (zdarma s omezenou funkčností)
  • Nikto

Nejlepší je nespoléhat se pouze na jeden automatizovaný skener, každý má své silné a slabé stránky, takže vždy spusťte několik z nich a porovnejte výsledky. Budete také muset zkontrolovat falešné pozitivy a falešné negativy.

Automatické skenování zranitelnosti má své místo a je užitečné, ale vždy by jej měl zálohovat odborník na zabezpečení, který chápe zranitelnosti a může také ručně vyhledat další. Automatické skenování je dobrý začátek a lepší než nic.

5
ryan dewhurst

Microsoft má Nástroj pro analýzu kód , který to dělá (zde je Video 9 kanál , a tady je odkaz ke stažení pro v1). Wikipedia má také docela dobrý seznam nástrojů statická analýza kód .

2
Larry Smithmier

RatProxy společnosti Google je také skvělá volba pro kontrolu XSS. Vzhledem k tomu, že je nastaven a funguje jako proxy, lze jej snadno používat, protože při běžném testování webu jednoduše sleduje váš prohlížeč. Zaznamenává všechny interakce, POST, GET atd. A může přehrát ty interakce, které se pokoušejí vložit škodlivý obsah. Jakmile nahradí požadavky, zkontroluje výstup na známky XSS. Kromě toho uchovává záznam celého životního cyklu HTTP, který lze použít pro další ladění.

2
Chris Henry

HP má Scrawlr pro kontrolu běžných zranitelností SQL Injection.

1
plntxt

Dělal jsem přesně takovou věc po dlouhou dobu a souhlasím s tím, že nejlepším řešením je použít zkušené testery k ověření vašeho bezpečnostního profilu, avšak testování těchto typů zranitelností je ve skutečnosti docela snadné automatizovat. Po zvládnutí programu pro testování kolem 1000 webových aplikací po dobu 6 měsíců mohu říci, že standout nástroje pro mě jsou IBM's AppScan a Burp - a pro většinu účelů je Burp lehčí, rychlejší, konfigurovatelnější a je mnohem levnější!

Je velmi snadné sehnat Burp a zkontrolovat selhání ověření vstupu - a vyřešit problémy s SQL injekcí a XSS. Můžete získat mimořádně dobré pokrytí těchto typů zranitelností.

1
Rory Alsop

Zranitelnost webu Acunetix je opravdu dobrá, použil jsem ji a opravdu se mi ji líbil. Můžete skenovat webové stránky pro XSS, SQL injekci, slabý systém nahrávání a mnoho dalších. Užij si to.

1
ALH

w3af je jedním z nejlepších dostupných kousků pro webový audit a je to také FOSS

"w3af je rámec webových aplikací pro útok a audit. Cílem projektu je vytvořit rámec pro nalezení a zneužití zranitelností webových aplikací, které lze snadno použít a rozšířit."

nezapomeňte to zkusit

1
pootzko