Інструменти для перевірки наявності загальних уразливостей?

Чи є якісь хороші інструменти (настільні чи онлайн), які дозволяють перевірити, чи має ваш веб-сайт загальні вразливості (наприклад, SQL Injection, XSS)?

websecurify - це найкращі проекти FOSS, які я знайшов.

Ви можете перевірити Skipfish Google , його надзвичайно вичерпний і працює зі словників, які ви постачаєте, включені за замовчуванням (стандартна / кухонна мийка).

Це також трохи "ніжніше", ніж інші, якими я користувався, але я не можу знайти щось з тими ж можливостями, з якими можна порівняти результати.

Його написаний C, ДУЖЕ інформативний вихід і надзвичайно простий у використанні. Рекомендую запустити його з будь-якого стандартного * nix-сервера або з дому, якщо у вас швидке з'єднання. Також вона отримала інтелектуальну систему черги запитів з оновленнями в реальному часі. Насправді цікаво спостерігати, як це працює.

Він повідомляє про більшість уразливостей, а також про багато інших проблем, про які ви можете не знати. Це трохи педантично, але педантичність - це хороша якість для такого інструменту.

Знімок екрана (трохи старий):

alt text http://skipfish.googlecode.com/files/skipfish-screen.png

Існує багато хороших автоматизованих сканерів на вразливість веб-додатків із відкритим кодом з чорним кодом

• w3af
• веб-переслідувати
• рибалка
• Netsparker Community Edition (безкоштовно з обмеженою функціональністю)
• Нікто

Найкраще не покладатися лише на один автоматизований сканер, кожен має свої сильні та слабкі сторони, тому завжди запускайте декілька з них і порівнюйте результати. Вам також доведеться перевірити наявність помилкових позитивних результатів та помилкових негативів.

Автоматизоване сканування вразливості має своє місце і є корисним, проте його завжди має підтримувати професіонал безпеки, який розуміє вразливості, а також може перевірити подальші вручну. Автоматизоване сканування - це хороший початок і краще, ніж нічого.

У Microsoft є інструмент аналізу коду, який робить це (ось на ньому відео 9 каналу , і ось посилання на завантаження для v1). У Вікіпедії також є досить непоганий список інструментів аналізу статичних кодів .

RatProxy від Google також є дійсно чудовим варіантом перевірки на XSS. Оскільки він створений і працює як проксі, він простий у використанні, оскільки він просто слідкує за веб-переглядачем, коли ви нормально тестуєте свій сайт. Він записує всі взаємодії, POST, GET та ін., І може відтворювати ті взаємодії, які намагаються ввести шкідливий вміст. Після того, як він відтворить запити, він перевірить вихід на ознаки XSS. Крім того, він зберігає запис про весь життєвий цикл HTTP, який може бути використаний для подальшої налагодження.

HP має Scrawlr для перевірки загальних уразливостей SQL Injection.

Я вже давно займаюся подібними справами, і погоджуюся, що найкращим рішенням є використання досвідчених тестерів для перевірки профілю безпеки, проте тестування на такі типи вразливості насправді досить легко автоматизувати. Отримавши програму для тестування близько 1000 веб-додатків протягом 6 місяців, я можу сказати, що інструментами, що виділяються, для мене є AppScan та Burp IBM - і для більшості цілей Burp легше, швидше, налаштованіше і набагато дешевше!

Дуже просто отримати Burp, щоб перевірити на наявність помилок перевірки вхідних даних - і розібратися з проблемами введення SQL та XSS. Ви можете отримати надзвичайно гарне покриття цього типу вразливих місць.

w3af - одна з найкращих доступних деталей для веб-аудиту, і це також FOSS

"w3af - це система атаки та аудиту веб-додатків. Мета проекту - створити рамку для пошуку та використання вразливих сторінок веб-додатків, яка проста у використанні та розширенні."

не забудьте спробувати

Вразливість веб-сторінок Acunetix - це дуже добре, я використовував її і дуже подобається. Ви можете сканувати веб-сайт на предмет XSS, ін'єкцій SQL, слабкої системи завантаження та багатьох інших. Насолоджуйся цим.