it-swarm-tr.com

Bir web uygulamasının güvenliğini değerlendirmek için hangi araçlar mevcuttur?

Bir web uygulamasının güvenliğini değerlendirmek için hangi araçlar mevcuttur?

Lütfen aracın ne yaptığının küçük bir açıklamasını girin.

Güncelleme: Daha spesifik olarak, kaynak koduna (kara kutu) erişimi olmayan araçları arıyorum.

63
Olivier Lalonde

web uygulaması değerlendirmelerinde kullanılabilecek çok sayıda uygulama var. Dikkate alınması gereken bir şey, ne tür bir araç aradığınızdır. Bazıları manuel testin yanında daha iyi kullanılırken, diğerleri güvenlik dışı uzman BT personeli için daha fazla "kara kutu" tarama aracı olarak tasarlanmıştır.

Bunun da ötesinde, web uygulama güvenliğinin belirli alanlarını değerlendirmek için kullanılabilecek çok çeşitli komut dosyaları ve nokta araçları bulunmaktadır.

Bazı favorilerim

Burp takımı - http://www.portswigger.net . Ücretsiz ve ticari bir araç. Manuel test için mükemmel bir yardımcıdır ve iyi bir tarayıcı kapasitesine sahiptir. Profesyonel web uygulama test edicilerden, çoğu bunu kullanıyorum.

W3af - http://w3af.org/ - Açık kaynak tarama aracı, şu anda biraz gelişiyor gibi görünüyor, öncelikle şeylerin otomatik tarama tarafına odaklanıyor, hala biraz gerektiriyor etkin bir şekilde kullanmak için bilgi.

Saf tarama tarafında bir dizi ticari araç vardır.

Netsparker - http://www.mavitunasecurity.com/netsparker/

IBM AppScan - http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__

Cenzic Hailstorm - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider - http://www.ntobjectives.com/ntospider

29
Rory McCune

Kara kutu web uygulaması kalemi yapmak için tercih ettiğim alet çantası. test şu anda:

  • BURP Suite "web uygulamalarının güvenlik testi için kesişen bir proxy sunucusudur. Tarayıcınız ve hedef uygulama arasında ortadaki bir adam olarak çalışır"
  • Fiddler başka bir proxy aracı "fiddler tüm HTTP (S) trafiğini denetlemenize, kesme noktaları belirlemenize ve gelen veya giden verilerle" keman "yapmanıza olanak tanır"
  • Fiddler x5s addon - x5s, penetrasyon test kullanıcılarına siteler arası komut dosyası oluşturma güvenlik açıklarını bulmalarında yardımcı olmayı amaçlıyor.
  • Fiddler watcher addo n - Watcher, Web uygulamaları için bir çalışma zamanı pasif analiz aracıdır.

Yukarıdaki araçlar tam güçte kullanmak için biraz aşinalık gerektirir ve en iyi şekilde yarı otomatik bir şekilde kullanılır (örn. Test etmek istediğiniz belirli bir web formunu seçin, "saldırı" çalıştırmalarını ayarlayın, ardından sonuçları gözden geçirin ve güvenlik açıklarını veya test edilecek noktaları kesin olarak belirleyin Daha)

Düşük asılı meyveleri yakalamak ve test kapsamında genişlik elde etmek için tam otomatik tarayıcılar:

  • Netsparker - otomatik ticari uygulama tarayıcısı
  • Skipfish - otomatik uygulama tarayıcı

Belki bir lisansa erişimim varsa AppScan veya WebInpsect (bu araçlar pahalıdır)

15
Tate Hansen

Bu listeyi güncel tutmak zor. Bence - bu KÖTÜ BİR SORU.

Doğru soru şudur: "Bir web uygulamasının güvenliğini değerlendirmek için hangi teknikler mevcuttur, bunlar yaygın olarak nasıl uygulanmaktadır ve hem tekniklerde hem de uygulamalarında en son gelişmelere nasıl ayak uyduruyorsunuz?"

Örneğin, bu cevaplar ortaya konduğundan daha iyi araçlar mevcuttur: Hatkit, WATOBO, Arachni'nin web arayüzü, et al.

Ticari araçlarla ilgili temel sorun, yenilik yapma ve geliştirme yeteneklerinin olmamasıdır. Bu noktada - web uygulaması güvenlik alanındaki neredeyse tüm ticari ürünler, patent savaşları ve bireysel ve sosyal sermayenin kaybedilmesiyle engellendi. Bir uygulama tarayıcısı, uygulama güvenlik duvarı veya güvenlik odaklı statik analiz çevresinde en son ne zaman bir TOPLULUK gördünüz? PRODUCT/SERVICE Doğru cevap, evet, "ASLA" dır. Savaş, uygulama tarayıcısına, uygulama güvenlik duvarına ve güvenliğe sahip olan bu aptal ve ileriye dönük olmayan yeteneksiz palyaçoların ortaya koyduğu 2004 engelini aşmaya çalışan ücretsiz (ve/veya açık kaynaklı) araçlar içindir. çoğunlukla geçersiz olan odaklı statik analiz şirketleri.

Kelimenin tam anlamıyla, Burp Suite Professional 1.4beta'da görüldüğü gibi, bu pazarda yenilik yapan TEK KİŞİ PortSwigger. Cigital inovasyon yapıyor, ancak kendilerini tüketici ve araştırmacı pazarlarından fiyatlandırdılar.

10
atdre

Zevk aldım SkipFish

8
gbr

Ve ayrıca OWASP Zed Attack Proxy: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Ana sayfadan alıntı yapmak için:

"Zed Attack Proxy (ZAP), web uygulamalarındaki güvenlik açıklarını bulmak için kullanımı kolay entegre penetrasyon test aracıdır.

Çok çeşitli güvenlik deneyimine sahip kişiler tarafından kullanılmak üzere tasarlanmıştır ve bu nedenle penetrasyon testinde yeni olan geliştiriciler ve fonksiyonel test kullanıcıları için idealdir.

ZAP, otomatik olarak tarayıcıların yanı sıra güvenlik açıklarını el ile bulmanızı sağlayan bir dizi araç da sunar. "

Paros çatalı ve serbest, açık kaynaklıdır ve aktif olarak korunmaktadır.

Psiinon (ZAP proje lideri)

6
Psiinon

Neden denemiyorsun Arachni . Ruby) ile yazılmış ve çok umut verici görünüyor.

6
Paolo Perego

OWASP organizasyon, uygulama yazılımının güvenliğini geliştirmeye odaklanmış ve kâr amacı gütmeyen dünya çapında bir hayır kurumudur ve bazı güzel araçlara sahiptir güvenlik açıkları ve uygulamaları koruma .

4
Eric Warriner

Ayrıca OWASP WebScarab ve Paros var.

Ancak, bu sayfa istediğinizi içermesi gereken bir liste içerir.

4
Jeff

Aşağıda listelenen Web Uygulaması Güvenlik Konsorsiyumu web sayfası, farklı roller için bir dizi farklı araç içerir.

http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

Düzenli olarak kullandığım araçlardan bazıları:

AppScan ve WebInspect: belirli analiz türlerini otomatikleştirmek için güçlü ancak derin denetim yeteneklerinden yoksun otomatik analiz araçları. Manuel modda kullanılan bazı ilginç özellikler içerir, ancak benim deneyimime göre kullanıcı arayüzü işlevselliğin önüne geçer.

Zed Attack Proxy: Kötü olan Paros Proxy'nin çatal ve güncellemesi olan yakalayıcı bir proxy. Manuel test için oldukça güçlü ve bazı otomatik test özellikleri içeriyor.

Skipfish: ilginç, yüksek hızlı bir web uygulaması tarayıcısı; ticari uygulama tarayıcılarının özellik derinliğinden yoksundur, ancak hiçbir zaman sahip olduklarını iddia etmez. Uygulama kimlik doğrulaması gibi gelişmiş tarama özelliklerini desteklemez, ancak belirli hata türleri için güçlü bir bulanıklaştırma özelliğine sahiptir.

4
ygjb

Nessus web uygulaması için gerçekten kötü . Açık kaynak dünyası Wapiti , Skipfish ve w3af (bir çeşit kırık) sunabilir. Acunetix makul bir fiyata iyi bir ticari üründür. NTOSpider, web uygulaması tüylendirme araçlarından biridir, ancak 10.000 $ ve ilk doğanınız maliyeti. Sitewatch , kontrol edilmeye değer ücretsiz bir hizmete sahiptir.

4
rook

Packet Storm geniş bir tarayıcı arşivine sahiptir:

http://packetstormsecurity.org/files/tags/scanner/

2
user1454

Kimse bundan bahsetmediği için insecure.orgs 's sectools.org listesi, genel olarak uygulama kaynakları için, özellikle de aktif olarak nispeten yeni olanlar için harika bir başlangıç ​​noktasıdır. ağ ile ilgili BT güvenliğine dahil. Eğer kontrol etmediyseniz, kesinlikle orada olan bazı araçları (özellikle saldırı araçları) tanımak için Top 100 listesine bakmanızı tavsiye ederim. Daha önce bahsedilen (ve varsayıldığı diğer) uyarıları göz önünde bulundurarak, İlk 10 Web Güvenlik Açığı Tarayıcısı için sayfa.

2
jgbelacqua

Muhtemelen Burp Suite'e de bakmak istersiniz. Ücretsiz ve ücretli bir sürümleri var, ancak ücretli sürüm nispeten ucuz.

2
wickett

PCI DSS denetimler/değerlendirmeler için en sevdiğim araç Fiddler'dir (veya FiddlerCap)) Bu araçlardan birini yeni başlayanlara veya büyükanneye verebilirsiniz ve bunu anlayabilecekler küçük talimatlarla dışarı.

Size bir SAZ dosyası (veya FiddlerCap dosyası) gönderirsiniz; bu dosyalar, web uygulamalarını yürütmek için Internet Explorer kullandıktan sonra kaydet iletişim kutusunu kullanmalarını içerir.

Ardından, HTTP/TLS trafiğini görebilir ve uygulamanın nasıl çalıştığı ve ödeme kartı bilgilerini nasıl işlediği hakkında tespitler yapabilirsiniz. Fiddler eklentisi, Casaba Watche r, bazı site bilgileri verdikten sonra oturumları çevrimdışı olarak işleyebilir (üst düzey alan adını ve alt alan adlarını ekleyin). Watcher, ASVS'ye geri dönüp inceleyebileceğiniz bazı OWASP ASVS aktiviteleri gerçekleştirecektir. Tüm bunlar uygulamaya erişmeden mümkündür (örneğin KG veya geliştirici ortamında olabilir). Genellikle bir geliştirici, uygulama aşamalandırma veya üretime geçmeden önce bir wifreframe derlemesi hazır olur olmaz elde etmek istersiniz.

Web uygulamasına erişiminiz varsa, Fiddler daha fazla kullanılabilir. Kullanıcı girdisi olan herhangi bir parçayı seçip Casaba x5s eklentisi ile çalışmasını öneriyorum. X5'lerin yapılandırması oldukça karmaşıktır, ancak yazarlar ve çevrimiçi olan diğerleri kesinlikle onu yapılandırmanıza ve sonuçları anlamanıza yardımcı olmaya istekli olacaktır. Fiddler, istekleri yeniden oynatma özelliğine sahiptir, bu nedenle siteye Fiddler ve çalışmak üzere yapılandırılmış x5'ler ile canlı olarak göz atmak yerine bu işlevi kullanmak (yani her seferinde bir isteği yeniden yürütmek) en iyisidir. Sonuçları analiz etmek yapılandırma kadar karmaşık değildir, çünkü HTML veya JavaScript hakkında hiçbir şey bilmenizi kesinlikle gerektirmez.

Bu 3 araçtan elde edilen sonuçlar kesin değildir. Ancak, bir web uygulaması tarayıcı veya güvenlik aracı - ticari, 500.000 $/yıl veya daha fazla çalıştırmaktan daha kesin. Ben PCI DSS denetim veya değerlendirme çalışması.

Temel bilgilerden sonra ihtiyacınız olan şey, bu tür değerlendirmelerde uzmanlaşmış bir uygulama güvenlik danışmanlığı şirketi kiralamak ve onunla çalışmaktır. Evlerinde geliştirilen kendi araçlarına sahip olmaları, paylaşmaya veya satmaya istekli olmamaları çok muhtemeldir.

Web uygulamalarının oluşturulabilir kaynak kodunun bir kopyasına erişmek isteyeceklerdir. Onlara IDE ve/veya derleme sunucunuzun tüm bağımlılıklar ve SDK'lar dahil olmak üzere çalışan bir derleme içeren bir geliştirici kopyasını içeren bir vmdk/OVF/VHD dosyası sağlamak en iyisidir. uygulamanın sahnelemeye veya üretime ne zaman gireceği için gerekli yapılandırmayı ve diğer önerileri sağlayın.

2
atdre

Oldukça eski (eskimiş?) Wapiti başka bir özgür seçim: http://wapiti.sourceforge.net/

1
Ben Scobie

iyi bir sonuç almak için birden fazla aracı bir araya getirmeniz ve ayrıca web sitenizi (manuel testler) üzerinde taciz etmeniz gerekir ve manuel yöntem daha iyidir çünkü ticari araçların olmayanları iş mantığını anlar, bu yüzden aşağıdaki araçları öneririm:

acuentix, netsparker, burp suite, google'ın websecurify olduğunu düşünüyorum otomatik araçlar için gitmek için iyi ve onlarla daha web uygulaması test edebilirsiniz.

manuel yöntem için, yaygın web uygulaması güvenlik açıklarını öğrenmek için OWASP ilk 10'u incelemeniz gerekir ve bundan sonra web sitesini test etmeye başlamalısınız.

aşağıdaki araçlar manuel testler yaparken size çok yardımcı olacaktır: HTTP İsteğini/Yanıtını düzenlemek için Paros Proxy. kemancı, trafiği denetlemenize, kesme noktaları belirlemenize ve gelen veya giden verilerle "keman" yapmanıza olanak tanır.

Firefox eklentileri (Tamper Data, web geliştiricisi): sunucunuzun nasıl tepki verdiğini görmek için HTTP İsteğini/Yanıtını düzenlemek için. Google'ın bu araçları kullandığınızda, bunları nasıl kullanacağınızla ilgili birçok öğretici göreceksiniz.

1
P3nT3ster