Інструменти для перевірки наявності загальних уразливостей?


35

Чи є якісь хороші інструменти (настільні чи онлайн), які дозволяють перевірити, чи має ваш веб-сайт загальні вразливості (наприклад, SQL Injection, XSS)?


Просто пам’ятайте, що інструмент не виявить усіх можливих вад безпеки вашого сайту. Якби я був ти, я б більше зосередився на вивченні та використанні найкращого режиму безпеки, а не на використанні інструменту для виявлення можливих вад.
HoLyVieR

1
@HoLyVieR: Немає причини, щоб не можна було використовувати обидва. Як і сканери, розробники не є ідеальними. Можливо, ви або хтось із вашої команди чи розробник стороннього компонента допустили помилки. Навіть якщо ви вручну переглядаєте кожен рядок коду, який надходить у вашу програму, ви все одно можете щось пропустити. Тестування ручками та використання сканерів на вразливість забезпечує додатковий рівень захисту. Варто докласти зусиль ІМО.
Lèse majesté

Відповіді:


10

websecurify - це найкращі проекти FOSS, які я знайшов.


2
Для тих, хто не знає, що таке FOSS (як я 20 секунд тому), він розшифровується як вільне та відкрите програмне забезпечення ( en.wikipedia.org/wiki/Free_and_open_source_software )
Paperjam

2
І якщо ви відчуваєте себе багатомовним, FLOSS означає те саме, що І чудово підходить для ваших ясен!
JasonBirch

5

Ви можете перевірити Skipfish Google , його надзвичайно вичерпний і працює зі словників, які ви постачаєте, включені за замовчуванням (стандартна / кухонна мийка).

Це також трохи "ніжніше", ніж інші, якими я користувався, але я не можу знайти щось з тими ж можливостями, з якими можна порівняти результати.

Його написаний C, ДУЖЕ інформативний вихід і надзвичайно простий у використанні. Рекомендую запустити його з будь-якого стандартного * nix-сервера або з дому, якщо у вас швидке з'єднання. Також вона отримала інтелектуальну систему черги запитів з оновленнями в реальному часі. Насправді цікаво спостерігати, як це працює.

Він повідомляє про більшість уразливостей, а також про багато інших проблем, про які ви можете не знати. Це трохи педантично, але педантичність - це хороша якість для такого інструменту.

Знімок екрана (трохи старий):

alt text http://skipfish.googlecode.com/files/skipfish-screen.png


Це виглядає дійсно приємно. Я перевірю це напевно.
jessegavin

5

Існує багато хороших автоматизованих сканерів на вразливість веб-додатків із відкритим кодом з чорним кодом

  • w3af
  • веб-переслідувати
  • рибалка
  • Netsparker Community Edition (безкоштовно з обмеженою функціональністю)
  • Нікто

Найкраще не покладатися лише на один автоматизований сканер, кожен має свої сильні та слабкі сторони, тому завжди запускайте декілька з них і порівнюйте результати. Вам також доведеться перевірити наявність помилкових позитивних результатів та помилкових негативів.

Автоматизоване сканування вразливості має своє місце і є корисним, проте його завжди має підтримувати професіонал безпеки, який розуміє вразливості, а також може перевірити подальші вручну. Автоматизоване сканування - це хороший початок і краще, ніж нічого.



2

RatProxy від Google також є дійсно чудовим варіантом перевірки на XSS. Оскільки він створений і працює як проксі, він простий у використанні, оскільки він просто слідкує за веб-переглядачем, коли ви нормально тестуєте свій сайт. Він записує всі взаємодії, POST, GET та ін., І може відтворювати ті взаємодії, які намагаються ввести шкідливий вміст. Після того, як він відтворить запити, він перевірить вихід на ознаки XSS. Крім того, він зберігає запис про весь життєвий цикл HTTP, який може бути використаний для подальшої налагодження.



1

Я вже давно займаюся подібними справами, і погоджуюся, що найкращим рішенням є використання досвідчених тестерів для перевірки профілю безпеки, проте тестування на такі типи вразливості насправді досить легко автоматизувати. Отримавши програму для тестування близько 1000 веб-додатків протягом 6 місяців, я можу сказати, що інструментами, що виділяються, для мене є AppScan та Burp IBM - і для більшості цілей Burp легше, швидше, налаштованіше і набагато дешевше!

Дуже просто отримати Burp, щоб перевірити на наявність помилок перевірки вхідних даних - і розібратися з проблемами введення SQL та XSS. Ви можете отримати надзвичайно гарне покриття цього типу вразливих місць.


1

w3af - одна з найкращих доступних деталей для веб-аудиту, і це також FOSS

"w3af - це система атаки та аудиту веб-додатків. Мета проекту - створити рамку для пошуку та використання вразливих сторінок веб-додатків, яка проста у використанні та розширенні."

не забудьте спробувати


1

Вразливість веб-сторінок Acunetix - це дуже добре, я використовував її і дуже подобається. Ви можете сканувати веб-сайт на предмет XSS, ін'єкцій SQL, слабкої системи завантаження та багатьох інших. Насолоджуйся цим.


Я вважаю, що безкоштовна версія сканує лише XSS. Невільна версія - це, як я вважаю, кілька тисяч доларів (понад 4000 доларів) за ліцензію.
Lèse majesté

Ну, насправді я використовую невільну версію, і рекомендую її.
АЛГ

Так, якщо ви можете собі це дозволити, Acunetix WVS виглядає як справді хороший продукт. У їхньому блозі також є багато хороших порад щодо безпеки.
Lèse majesté
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.