it-swarm-tr.com

Ortak güvenlik açıklarını kontrol etmek için araçlar?

Web sitenizde ortak güvenlik açıkları olup olmadığını (örn., SQL Injection, XSS) kontrol etmenizi sağlayan herhangi bir iyi araç (masaüstü veya çevrimiçi) var mı?

35
jessegavin

websecurify Bulduğum en iyi FOSS projeleri.

10
corymathews

Google'ın Skipfish , son derece kapsamlı ve sağladığınız sözlüklerden eserleri dikkate almak isteyebilirsiniz, varsayılanlar (standart/mutfak lavabosu) dahildir.

Ayrıca kullandığım diğerlerinden biraz daha 'yumuşak', ancak sonuçları karşılaştırmak için aynı özelliklere sahip bir şey bulamıyorum.

Yazılı C, ÇOK bilgilendirici çıktıya sahiptir ve kullanımı son derece kolaydır. Hızlı bir bağlantınız varsa onu herhangi bir standart * nix sunucusundan veya evden çalıştırmanızı öneririm. Aynı zamanda gerçek zamanlı güncellemeler ile akıllı bir istek kuyruğu sistemi var. Çalışmasını izlemek gerçekten eğlenceli.

Çoğu güvenlik açığı ve bunun farkında olamayabileceğiniz birçok sorun hakkında rapor verir. Biraz bilgiçlik taslayan, ancak bilgiçlik taslayan, böyle bir araç için iyi bir kalitedir.

Sonuçların ekran görüntüsü (biraz eski):

alt metin http://skipfish.googlecode.com/files/skipfish-screen.png

5
Tim Post

Birçok iyi otomatik açık kaynaklı kara kutu web uygulaması güvenlik açığı tarayıcısı vardır.

  • w3af
  • websecurify
  • skipfish
  • Netsparker Community Edition (Sınırlı işlevsellik ile ücretsiz)
  • Nikto

Tek bir otomatik tarayıcıya güvenmemek en iyisidir, her birinin güçlü ve zayıf yönleri vardır, bu yüzden daima bir kaçını çalıştırın ve sonuçları karşılaştırın. Ayrıca yanlış pozitifleri ve yanlış negatifleri de kontrol etmeniz gerekecektir.

Otomatik güvenlik açığı taraması kendi yerindedir ve kullanışlıdır, ancak güvenlik açıklarını anlayan ve başkalarını da el ile kontrol edebilen bir güvenlik uzmanı tarafından her zaman desteklenmelidir. Otomatik tarama iyi bir başlangıçtır ve hiç olmamasından iyidir.

5
ryan dewhurst

Microsoft, bir Kod Analizi Aracı (bunu yapan bir Kanal 9 videos üzerinde) ve burada bir indirme linki v1 için vardır. Wikipedia da oldukça iyi bir liste --- statik kod analizi araçlar.

2
Larry Smithmier

Google’ın RatProxy , XSS’i kontrol etmek için de harika bir seçenek. Kurulduğundan ve bir proxy olarak çalıştığından, sitenizi normal bir şekilde test ederken tarayıcınızı takip etmesi nedeniyle kullanımı kolaydır. Tüm etkileşimleri, POST'leri, GET'leri vb. Kaydeder ve kötü niyetli içerik enjekte etmeye çalışan bu etkileşimleri tekrarlayabilir. İstekleri tekrarladıktan sonra, XSS belirtileri için çıktıyı kontrol edecektir. Ek olarak, daha fazla hata ayıklama için kullanılabilecek tüm HTTP yaşam döngüsünün kaydını tutar.

2
Chris Henry

HP'de ortak SQL Injection açıklarını kontrol etmek için Scrawlr var.

1
plntxt

Uzun zamandır tam olarak bu tür şeyler yapıyorum ve en iyi çözümün güvenlik profilinizi kontrol etmek için deneyimli test uzmanları kullanmak olduğuna karar verdim, ancak bu tür güvenlik açıklarını test etmek aslında oldukça kolaydır. Yaklaşık 6 ay boyunca yaklaşık 1000 web uygulamasını test edecek bir programı yönettiğimde, benim için çarpıcı araçların IBM'in AppScan ve Burp - olduğunu söyleyebilirim ve çoğu amaç için Burp daha hafif, daha hızlı, daha yapılandırılabilir ve çok daha ucuz!

Burp'in giriş doğrulama hatalarını kontrol etmesini sağlamak çok kolaydır - ve SQL enjeksiyon ile XSS sorunlarını çözün. Bu tür güvenlik açıklarını fazlasıyla iyi karşılayabilirsiniz.

1
Rory Alsop

Acunetix web güvenlik açığı gerçekten çok iyi, kullandım ve çok beğendim. Web sitesini XSS, SQL enjeksiyonu, zayıf yükleme sistemi ve daha birçok şey için tarayabilirsiniz. Tadını çıkar.

1
ALH

w3af web denetimi için mevcut en iyi parçalardan biri ve aynı zamanda FOSS

"w3af bir Web Uygulaması Saldırı ve Denetim Çerçevesidir. Projenin amacı, kullanımı ve genişletilmesi kolay web uygulaması güvenlik açıklarını bulmak ve kullanmak için bir çerçeve oluşturmaktır."

bir denediğinizden emin olun

1
pootzko