Чи є якісь хороші інструменти (настільні чи онлайн), які дозволяють перевірити, чи має ваш веб-сайт загальні вразливості (наприклад, SQL Injection, XSS)?
Чи є якісь хороші інструменти (настільні чи онлайн), які дозволяють перевірити, чи має ваш веб-сайт загальні вразливості (наприклад, SQL Injection, XSS)?
Відповіді:
websecurify - це найкращі проекти FOSS, які я знайшов.
Ви можете перевірити Skipfish Google , його надзвичайно вичерпний і працює зі словників, які ви постачаєте, включені за замовчуванням (стандартна / кухонна мийка).
Це також трохи "ніжніше", ніж інші, якими я користувався, але я не можу знайти щось з тими ж можливостями, з якими можна порівняти результати.
Його написаний C, ДУЖЕ інформативний вихід і надзвичайно простий у використанні. Рекомендую запустити його з будь-якого стандартного * nix-сервера або з дому, якщо у вас швидке з'єднання. Також вона отримала інтелектуальну систему черги запитів з оновленнями в реальному часі. Насправді цікаво спостерігати, як це працює.
Він повідомляє про більшість уразливостей, а також про багато інших проблем, про які ви можете не знати. Це трохи педантично, але педантичність - це хороша якість для такого інструменту.
Знімок екрана (трохи старий):
alt text http://skipfish.googlecode.com/files/skipfish-screen.png
Існує багато хороших автоматизованих сканерів на вразливість веб-додатків із відкритим кодом з чорним кодом
Найкраще не покладатися лише на один автоматизований сканер, кожен має свої сильні та слабкі сторони, тому завжди запускайте декілька з них і порівнюйте результати. Вам також доведеться перевірити наявність помилкових позитивних результатів та помилкових негативів.
Автоматизоване сканування вразливості має своє місце і є корисним, проте його завжди має підтримувати професіонал безпеки, який розуміє вразливості, а також може перевірити подальші вручну. Автоматизоване сканування - це хороший початок і краще, ніж нічого.
У Microsoft є інструмент аналізу коду, який робить це (ось на ньому відео 9 каналу , і ось посилання на завантаження для v1). У Вікіпедії також є досить непоганий список інструментів аналізу статичних кодів .
RatProxy від Google також є дійсно чудовим варіантом перевірки на XSS. Оскільки він створений і працює як проксі, він простий у використанні, оскільки він просто слідкує за веб-переглядачем, коли ви нормально тестуєте свій сайт. Він записує всі взаємодії, POST, GET та ін., І може відтворювати ті взаємодії, які намагаються ввести шкідливий вміст. Після того, як він відтворить запити, він перевірить вихід на ознаки XSS. Крім того, він зберігає запис про весь життєвий цикл HTTP, який може бути використаний для подальшої налагодження.
Я вже давно займаюся подібними справами, і погоджуюся, що найкращим рішенням є використання досвідчених тестерів для перевірки профілю безпеки, проте тестування на такі типи вразливості насправді досить легко автоматизувати. Отримавши програму для тестування близько 1000 веб-додатків протягом 6 місяців, я можу сказати, що інструментами, що виділяються, для мене є AppScan та Burp IBM - і для більшості цілей Burp легше, швидше, налаштованіше і набагато дешевше!
Дуже просто отримати Burp, щоб перевірити на наявність помилок перевірки вхідних даних - і розібратися з проблемами введення SQL та XSS. Ви можете отримати надзвичайно гарне покриття цього типу вразливих місць.
Вразливість веб-сторінок Acunetix - це дуже добре, я використовував її і дуже подобається. Ви можете сканувати веб-сайт на предмет XSS, ін'єкцій SQL, слабкої системи завантаження та багатьох інших. Насолоджуйся цим.