ما هي الأدوات التي تستخدم في اختبار أمن تطبيقات الويب?[مغلقة]

Question

هل هناك أي أداة تنصح الأمن اختبار تطبيقات الويب?

لقد استخدمت WebScarab من OWASP ، ولكن تجد أنه من الصعب بعض الشيء و غير عملي للاستخدام.

هل هناك أي شيء آخر أفضل لك أن تشير إلى استخدام ؟

Answer 1

بدلا من WebScarab ، في محاولة العابث الوكيل (http://www.fiddlertool.com).الكثير أكثر راحة.

بخلاف ذلك ، "اختبار الأمن" جدا واسعة المدى.
على الأقل لديك:

• اختبار الاختراق - استخدام Appscan, العديد من الآخرين.
• المصدر مراجعة التعليمات البرمجية / تحليل ثابت - تحصين تعتبر واحدة من أفضل, لقد وقعت في الحب مع Checkmarx (ولكنه يتطلب رجل الأمن)...المزيد من المعلومات حول الخاص بك محددة التكنولوجيا/اللغة من شأنه أن يساعد تعطيك أكثر استهدافا إجابات.
• وهناك أنواع أخرى من "اختبار الأمن" ، ولكن أنا لم تكن مألوفة مع غيرها من الأدوات التلقائي لتلك الأنواع.
• عملا النقطة الأخيرة ، وأكثر تقدما اختبار من النوعين الأولين (PT/CR) ، دليل الاختبار من قبل خبير هو حقا أفضل (إن لم يكن الأكثر فعالية من حيث التكلفة).

Answer 2

HP لديها تطبيق اختبار SQL حقن تسمى Scrawlr.

Scrawlr

Answer 3

تحصين جيد بالنسبة لنا.

http://www.fortify.com/

Answer 4

أنا أعمل في الشركة التي يعمل التطبيق على شبكة الإنترنت اختبار الاختراق كجزء من الأعمال.نحن نستخدم العديد من الأدوات المختلفة.بعض هي أحد أدوات في روبي لمشاريع محددة ، أو في تطوير أطر أو وكلاء (مرة أخرى روبي).معظم التطبيق على شبكة الإنترنت اختبار الاختراق باستخدام webscarab, burpsuite أو باروس الوكيل.أنهم جميعا لديهم نوعا من تسجيل وظيفة ، وهو مبلغ محترم من السلطة و عيب أو اثنين.

في الواقع لقد وجدت webscarab أن يكون أسهل للاستخدام.لكن, أنها لا تحمل VIEWSTATE أو تفعل الكثير من البحث.وجدنا البيانات في VIEWSTATE لا ينبغي أن يكون هناك, لذلك كلما كنا نراهم ونحن نميل إلى التحول إلى أشكال مختلفة من الوكيل.Burpsuite هو خيار المقبل.فإنه التعامل مع VIEWSTATE ولكن واجهة يأخذ الكثير من التعود و انتاجها بينما من الناحية الفنية أكثر اكتمالا - فإنه يحتفظ الأصلي و تعديل الطلبات/الردود - من الصعب استخدام.

للأسف الجواب لك السؤال هو قليلا أكثر تعقيدا من مجرد وكيل جيد.هناك ما هو أكثر من مجرد التقاط الوكيل أو الماسح الضوئي و السماح لهم تشغيل.شخص لديه للتحقق من أي شيء الأداة يجد هناك شئ قصيرة سوف تجد شخص.

tqbf له تفسير جيد من هذا هنا.

Answer 5

يمكنني استخدام Nikto.

Nikto هو مفتوح المصدر (GPL) ملقم ويب الماسح الضوئي الذي ينفذ اختبارات شاملة ضد ملقمات ويب متعددة العناصر, بما في ذلك أكثر من 3500 يحتمل أن تكون خطرة الملفات/وحدة تحقيقات خفر السواحل الإصدارات على أكثر من 900 خوادم النسخة مشاكل محددة على أكثر من 250 الخوادم.مسح العناصر والإضافات يتم تحديثها بشكل متكرر و يمكن تحديثها تلقائيا (إذا رغبت في ذلك).

Nikto ليست مصممة بشكل مفرط التخفي أداة.فإنه سيتم اختبار ملقم ويب في أقصر فترة زمنية ممكنة ، فإنه من الواضح في ملفات السجل.ومع ذلك ، هناك دعم LibWhisker مكافحة معرفات الطرق في حال كنت ترغب في محاولة إعطائها (أو اختبار نظام IDS).

هذا قائمة يمكن أن يساعد أيضا في: Top 10 Web الضعف الماسحات الضوئية

Answer 6

هذه جميع القلم اختبار تطبيقات الويب

1. حليقة - فلكس أداة لاستكشاف
2. nikto/wikto - الماسح الضوئي vulns
3. w3af - سمعت أشياء عظيمة لم تكن قد حاولت ذلك بكثير
4. sqlmap - التلقائية حقن sql
5. WebDeveloper و الحرائق - ملحقات فايرفوكس
6. حك والسيلينيوم مع الاختبار الخاصة بك الحالات http://ha.ckers.org/xss.html

Answer 7

أقترح استخدام التفتيش اليدوي مع بسيطة سلسلة أدوات البحث مثل findstr.هنا هو كبير من الموارد من دليل التفتيش الأمنية على asp.net:http://msdn.microsoft.com/en-us/library/ms998364.aspx أو يمكنك القفز مباشرة إلى الأمن الأسئلة التي توجه طريقك إلى إيجاد الثغرات الأمنية:http://msdn.microsoft.com/en-us/library/ms998375.aspx أنا عندي ملخص من سلسلة تقنيات البحث هنا:http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx

Answer 8

يمكنك استخدام باروس أو Netsparker الأمن الاختبار.URL التالية يمكن أن تساعد في العثور على بعض الأمنية أدوات الاختبار:

http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/