Какие инструменты вы используете для тестирования безопасности веб-приложений?
Есть ли какой-нибудь инструмент, который вы рекомендуете для тестирования безопасности веб-приложений?
Я использовал WebScarab из OWASP, но считаю его немного сложным и громоздким в использовании.
Есть ли что-нибудь еще лучше, что вы бы предложили использовать?
Ответы
Ответ 1
Вместо WebScarab попробуйте прокси-сервер Fiddler (http://www.fiddlertool.com). Гораздо удобнее.
Кроме этого, "тестирование безопасности" - очень широкий термин.
По крайней мере, у вас есть:
- Проверка на проникновение - я использую Appscan, многие другие.
- Обзор исходного кода/статический анализ - Fortify считается одним из лучших, я влюбился в Checkmarx (но для этого нужен парень безопасности)... Дополнительная информация о вашей конкретной технологии/языке поможет вам получить более целенаправленные ответы.
- Существуют и другие типы "тестирования безопасности", но я не знаком с другими автоматическими инструментами для этих типов.
- В соответствии с последним моментом и более расширенным тестированием первых двух типов (PT/CR), ручное тестирование экспертом действительно является лучшим (если не самым экономичным).
Ответ 2
У HP есть приложение для тестирования инъекций SQL под названием Scrawlr.
Scrawlr
Ответ 3
Fortify преуспел для нас.
http://www.fortify.com/
Ответ 4
Я работаю в компании, которая тестирует проникновение в веб-приложение как часть этого бизнеса. Мы используем много разных инструментов. Некоторые из них - один из инструментов Ruby для конкретных проектов или в разработанных структурах или прокси-серверах (снова Ruby). Большинство тестирования проникновения в веб-приложение выполняется с использованием webscarab, burpsuite или paros proxy. У всех есть какая-то функция ведения журнала, приличное количество мощности и недостаток или два.
Я действительно нашел webscarab самым простым в использовании. Но он не обрабатывает VIEWSTATE или делает много для поиска. Мы действительно нашли данные в VIEWSTATE, которых не должно быть, поэтому, когда мы их видим, мы склонны переключаться на другой прокси. Burpsuite - мой следующий выбор. Он обрабатывает VIEWSTATE, но интерфейс требует многого, и его результат в то время как технически более полный - он сохраняет исходные и измененные запросы/ответы - сложнее использовать.
К сожалению, ответ на ваш вопрос немного сложнее, чем просто хороший прокси. Для этого есть нечто большее, чем просто поднять прокси или сканер и позволить им работать. Человек должен проверять все, что находит инструмент, и есть что-то, кроме человека.
tqbf имеет хорошее объяснение этого здесь.
Ответ 5
Я использую Nikto.
Nikto - это сканер веб-сервера с открытым исходным кодом (GPL), который выполняет комплексные тесты против веб-серверов для нескольких элементов, в том числе более 3500 потенциально опасных файлов /CGI, версий на более чем 900 серверах и конкретных версий проблемы на более чем 250 серверах. Детали сканирования и плагины часто обновляются и могут автоматически обновляться (при желании).
Nikto не разработан как слишком скрытый инструмент. Он будет тестировать веб-сервер в кратчайшие сроки, и это довольно очевидно в файлах журналов. Тем не менее, существует поддержка методов Anti-IDS LibWhisker, если вы хотите попробовать (или проверить свою систему IDS).
Этот список также может помочь: Топ-10 сканеров уязвимостей в Интернете
Ответ 6
Все это для веб-приложений для проверки пера
- curl - инструмент командной строки для изучения
- nikto/wikto - сканер для вулканов
- w3af - слышали, что великие вещи не пробовали много.
- sqlmap - автоматическая SQL-инъекция
- WebDeveloper и firebug - расширения firefox
- Twill and Selenium с вашими собственными тестовыми примерами http://ha.ckers.org/xss.html
Ответ 7
Я бы предложил использовать ручную проверку с помощью простых инструментов поиска строк, таких как findstr.
Вот большой ресурс ручной проверки безопасности для asp.net:
http://msdn.microsoft.com/en-us/library/ms998364.aspx
Или вы можете перейти прямо к вопросам безопасности, которые помогут вам найти уязвимости безопасности:
http://msdn.microsoft.com/en-us/library/ms998375.aspx
У меня есть сводка методов поиска строк здесь:
http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
Ответ 8
Вы можете использовать Paros или Netsparker для тестирования безопасности. Следующий URL-адрес может помочь найти некоторые средства тестирования безопасности:
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
