Инструменты для проверки распространенных уязвимостей?
35
Существуют ли какие-либо хорошие инструменты (настольные или онлайн), которые позволяют вам проверить, есть ли на вашем сайте общие уязвимости (например, SQL Injection, XSS)?
Просто имейте в виду, что инструмент не обнаружит все возможные недостатки безопасности вашего сайта. Если бы я был вами, я бы больше сосредоточился на изучении и использовании наилучшей практики безопасности, а не на использовании инструмента для выявления возможных недостатков.
HoLyVieR
1
@HoLyVieR: нет никаких причин, почему вы не можете использовать оба. Как и сканеры, разработчики не идеальны. Возможно, что вы, кто-то из вашей команды или разработчик стороннего компонента допустили ошибки. Даже если вы вручную просматриваете каждую строку кода, которая входит в ваше приложение, вы все равно можете что-то упустить. Тестирование пером и использование сканеров уязвимостей дает вам дополнительный уровень защиты. Это стоит усилий ИМО.
Lèse Majesté
Ответы:
10
websecurify - лучшие из найденных мной проектов FOSS.
И если вы чувствуете многоязычность, FLOSS означает то же самое И отлично подходит для ваших десен!
JasonBirch
5
Возможно, вы захотите проверить Google Skipfish , его чрезвычайно полный и работает из словарей, которые вы поставляете, по умолчанию (стандартная / кухонная раковина) включены.
Это также немного «нежнее», чем другие, которые я использовал, но я не могу найти что-то с теми же функциями, чтобы сравнить результаты с.
Он написан на C, имеет ОЧЕНЬ информативный вывод и чрезвычайно прост в использовании. Я рекомендую запускать его с любого стандартного * nix-сервера или из дома, если у вас быстрое соединение. Он также получил умную систему очереди запросов с обновлениями в реальном времени. На самом деле интересно смотреть, как это работает.
Он сообщает о большинстве уязвимостей, а также о множестве других проблем, о которых вы можете не знать. Это немного педантично, но педантично хорошее качество для такого инструмента.
Лучше не полагаться только на один автоматический сканер, каждый из которых имеет свои сильные и слабые стороны, поэтому всегда запускайте несколько из них и сравнивайте результаты. Вы также должны будете проверить на ложные срабатывания и ложные отрицания.
Автоматическое сканирование на наличие уязвимостей имеет свое место и полезно, однако оно должно всегда поддерживаться специалистом по безопасности, который понимает уязвимости, а также может вручную проверить другие. Автоматическое сканирование - хорошее начало и лучше, чем ничего.
Google RatProxy также является отличным вариантом для проверки XSS. Поскольку он настроен и работает как прокси-сервер, его легко использовать, поскольку он просто следует вашему браузеру, когда вы тестируете свой сайт в обычном режиме. Он записывает все взаимодействия, POST, GET и т. Д. И может воспроизводить эти взаимодействия, пытаясь внедрить вредоносный контент. Как только он повторяет запросы, он проверит выходные данные на наличие признаков XSS. Кроме того, он ведет учет всего жизненного цикла HTTP, который можно использовать для дальнейшей отладки.
Я занимался именно такими вещами в течение долгого времени и согласен, что лучшее решение - использовать опытных тестировщиков для проверки вашего профиля безопасности, однако тестирование этих типов уязвимостей на самом деле довольно легко автоматизировать. Управляя программой для тестирования около 1000 веб-приложений за 6-месячный период, я могу сказать, что выдающимися инструментами для меня являются IBM AppScan и Burp - и для большинства целей Burp легче, быстрее, более настраиваем и намного дешевле!
Очень легко заставить Burp проверять наличие ошибок при проверке входных данных - и решать проблемы с внедрением SQL и XSS. Вы можете получить очень хороший охват этих типов уязвимостей.
w3af - одна из лучших доступных веб-аудиторий, а также FOSS
«w3af - это платформа для атаки и аудита веб-приложений. Цель проекта - создать платформу для поиска и использования уязвимостей веб-приложений, которые легко использовать и расширять».
Веб-уязвимость Acunetix действительно хороша, я ей пользовался и она мне очень нравится. Вы можете сканировать веб-сайт на наличие XSS, SQL-инъекций, слабой системы загрузки и многого другого. Наслаждайся этим.
Я считаю, что бесплатная версия сканирует только XSS. Я считаю, что несвободная версия стоит несколько тысяч долларов (более 4000 долларов) за лицензию.
Lèse Majesté
Ну, на самом деле я использую несвободную версию и рекомендую ее.
ALH
Да, если вы можете себе это позволить, Acunetix WVS выглядит действительно хорошим продуктом. У них также есть много хороших советов по безопасности в своем блоге.
Ответы:
websecurify - лучшие из найденных мной проектов FOSS.
источник
Возможно, вы захотите проверить Google Skipfish , его чрезвычайно полный и работает из словарей, которые вы поставляете, по умолчанию (стандартная / кухонная раковина) включены.
Это также немного «нежнее», чем другие, которые я использовал, но я не могу найти что-то с теми же функциями, чтобы сравнить результаты с.
Он написан на C, имеет ОЧЕНЬ информативный вывод и чрезвычайно прост в использовании. Я рекомендую запускать его с любого стандартного * nix-сервера или из дома, если у вас быстрое соединение. Он также получил умную систему очереди запросов с обновлениями в реальном времени. На самом деле интересно смотреть, как это работает.
Он сообщает о большинстве уязвимостей, а также о множестве других проблем, о которых вы можете не знать. Это немного педантично, но педантично хорошее качество для такого инструмента.
Скриншот результатов (немного старый):
альтернативный текст http://skipfish.googlecode.com/files/skipfish-screen.png
источник
Существует много хороших автоматических сканеров уязвимостей веб-приложений с открытым исходным кодом.
Лучше не полагаться только на один автоматический сканер, каждый из которых имеет свои сильные и слабые стороны, поэтому всегда запускайте несколько из них и сравнивайте результаты. Вы также должны будете проверить на ложные срабатывания и ложные отрицания.
Автоматическое сканирование на наличие уязвимостей имеет свое место и полезно, однако оно должно всегда поддерживаться специалистом по безопасности, который понимает уязвимости, а также может вручную проверить другие. Автоматическое сканирование - хорошее начало и лучше, чем ничего.
источник
У Microsoft есть инструмент для анализа кода, который делает это (вот видео на канале 9 , а здесь ссылка для скачивания v1). В Википедии также есть довольно хороший список инструментов для статического анализа кода .
источник
Google RatProxy также является отличным вариантом для проверки XSS. Поскольку он настроен и работает как прокси-сервер, его легко использовать, поскольку он просто следует вашему браузеру, когда вы тестируете свой сайт в обычном режиме. Он записывает все взаимодействия, POST, GET и т. Д. И может воспроизводить эти взаимодействия, пытаясь внедрить вредоносный контент. Как только он повторяет запросы, он проверит выходные данные на наличие признаков XSS. Кроме того, он ведет учет всего жизненного цикла HTTP, который можно использовать для дальнейшей отладки.
источник
У HP есть Scrawlr для проверки распространенных уязвимостей SQL-инъекций.
источник
Я занимался именно такими вещами в течение долгого времени и согласен, что лучшее решение - использовать опытных тестировщиков для проверки вашего профиля безопасности, однако тестирование этих типов уязвимостей на самом деле довольно легко автоматизировать. Управляя программой для тестирования около 1000 веб-приложений за 6-месячный период, я могу сказать, что выдающимися инструментами для меня являются IBM AppScan и Burp - и для большинства целей Burp легче, быстрее, более настраиваем и намного дешевле!
Очень легко заставить Burp проверять наличие ошибок при проверке входных данных - и решать проблемы с внедрением SQL и XSS. Вы можете получить очень хороший охват этих типов уязвимостей.
источник
w3af - одна из лучших доступных веб-аудиторий, а также FOSS
не забудьте попробовать
источник
Веб-уязвимость Acunetix действительно хороша, я ей пользовался и она мне очень нравится. Вы можете сканировать веб-сайт на наличие XSS, SQL-инъекций, слабой системы загрузки и многого другого. Наслаждайся этим.
источник