渗透测试工具[封闭]
https://stackoverflow.com/questions/72166
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我们有数以百计的网站,这是发达国家在asp.净和java和我们付出了很多钱一个外部机构做渗透测试对于我们的网站来检查安全漏洞。是否有任何(良好)软件(有偿或免费)来做这个?
或者..是否有任何技术的文章,它可以帮助我们制定这一工具吗?
解决方案
有几个不同的方向可以去自动化测试工具,用于网络的应用程序。
第一,有的 商业网扫描仪, 其惠普工作和合理AppScan是两个最受欢迎的。这些都是"一","火忘"的工具,你下载,并装上一个内部Windows桌面上,然后给一个网址蜘蛛你的网站,扫描,为众所周知的漏洞(即,东西已经打Bugtraq),并探针对跨站脚本和SQL注的漏洞。
第二,有的 源代码扫描工具, 其Coverity和巩固可能是两个最有名的。这些工具安装在开发人员的桌面上来处理你的Java或C#源代码和寻找知名的模式不安全的代码,就像可怜的输入验证。
最后,有的 渗透测试工具.迄今为止最受欢迎的网络应用渗透测试工具之间的安全专业人员是打嗝套房,你可以找到 http://www.portswigger.net/proxy.其他包括尖峰代理和异WebScarab.再次,你就会安装这一内部Windows桌面上。它将运行为HTTP代理,并且你将指浏览器。你会用你的应用程序作为一个正常的用户,同时它记录了你的行动。你可以再回到每个个人网页或HTTP行动和探测它对安全问题。
在复杂的环境中,尤其是如果您正在考虑任何DIY 我强烈推荐的渗透测试工具.这里就是为什么:
商业网扫描仪提供了很多的"广泛",随着出色的报告。但是:
他们往往错过的事情,因为每个应用程序是不同的。
他们昂贵的(工作开始,在10万).
你付出的东西,你不需要(如数据库已知的不良Cgi从90年代).
他们难以自定义。
它们可以产生嘈杂的结果。
源代码扫描仪是更彻底的网扫描仪。但是:
他们甚至更加昂贵比网页的扫描仪。
他们需要的源代码的工作。
是有效的,他们往往需要你的批注来源的代码(例如,挑选出入途径).
他们有一种倾向,产生误报。
商业扫描仪和源码扫描仪有一个坏习惯成为shelfware.更糟糕的是,甚至如果他们的工作,它们的成本相当于得到1或2个应用程序的审计由一个咨询;如果你信任你的顾问,你保证获得更好的成果从他们比从的工具。
渗透测试工具有缺点:
他们更难以用于火灾和忘记的商业扫描仪。
他们假设一些专门知识的网络应用程序漏洞---你知道你在找什么。
它们产生很少或没有正式的报告。
在另一方面:
他们很多,很便宜---好的,打嗝套件,费用仅99EU,并拥有一个免费版本。
他们是容易的定义,并添加一个测试工作流程。
他们更好地帮助你"知道"你的应用程序从内部。
这里的东西你会做一笔测试工具,用于一个基本的网页应用程序:
登入应用程序通过代理
创建一个"黑名单"的主要职能领域的应用程序,以及行使的每一次。
使用的"蜘蛛"工具在你的笔试验应用程序,以找到所有网页和行动和处理程序中的应用。
对于每一个动态网页和各HTML形式的蜘蛛发现,使用"模糊器"工具(打嗝呼吁它的一个"入侵者")行使每一个参数有效投入。最fuzzers来与基本测试串,其中包括:
SQL元字符
HTML/Javascript逃和元字符
国际化变这些逃避输入的过滤器
众所周知的默认形式领域的名称和值
众所周知目录名称,文件名称和处理程序的动词
花几个小时过滤产生的错误(典型的模糊运行为的一种形式可能产生的1000人)寻找可疑的反应。
这是一个劳动密集型的,"裸"的做法。但是当你的公司拥有的实际应用,裸的方法支付关闭,因为可以用它来建立回归测试套运行的像时钟一样,在每个开发周期的每个应用程序。这是一个双赢了一堆的原因:
您的安全检测将需要可预测量的时间和资源,每个应用程序,它允许你预算和分流。
你的团队将得到最大限度地准确和彻底的结果,因为测试是要进行调整以应用程序。
这是要去成本低于商业扫描仪和少超过顾问。
当然,如果你走这条路,你们基本上把自己变成一个安全顾问对你的公司。我不认为这是一件坏事;如果你不想要那专业知识、工作或巩固不会帮助你多少反正。
其他提示
我知道你要求具体的有关pentesting工具,但由于那些已经充分回答了(我常常去同一个混合的AppScan和训练有素的pentester),我认为重要的是要指出, pentesting不是唯一的方法"检查安全漏洞",并且往往是 不是最有效的.
源代码审查的工具,可以提供更好的看到你的代码,发现许多缺陷,pentesting不会。
这些包括巩固和OunceLabs(昂贵,对于许多语言)VisualStudio.NET CodeAnalysis(。净和C++、免费ONLINE,不错但不伟大),异的推移Java(免费、体面不伟大),CheckMarx(不便宜,奇妙的工具。净和爪哇,但高开销),以及许多更多。
很重要的一点必须注意-(大多数)的自动化工具没有找到所有的脆弱性,不甚至关闭。你可以指望自动化工具,以找到大约35-40%secbugs,将是发现通过一个专业pentester;这同样适用于自动化系手册的源代码的审查。
当然,一个适当的系统开发生命周期(安全开发生命周期),包括威胁建模、设计审查,等等,将有助于甚至更...
我听说过好的事情SpiDynamics的工作尽可支付的解决方案,以及Nikto(对于一个免费的解决方案)和其它公开来源工具。涅是一个极好的工具,用于基础设施需要检查,层。你可以拿起一个活的cd有几个工具它所谓的Nubuntu(审计员的螺旋,或任何其他安全基础的分配工作太)和随后的谷歌了一些教程的具体工具。总是,总是确保到扫描从本地网络。你冒的风险具有自己的阻止通过该数据中心如果你扫描一个框从广域网而无需授权。经验教训的困难的方式。;)
Skipfish,w3af,arachni,ratproxy、将清除、WebScarab:所有免费的和非常良好的国际海事组织
http://www.nessus.org/nessus/ --涅将有助于建议的方式让你的服务器更好。它不能真正测试的定制应用程序本身,但我认为插件都比较容易建立在你自己的。
看看 理性应用程序的扫描 (使用被称为Watchfire).它不是免费的,但有一个很好的UI,死了强大,生成的报告(定制和对标准的合规性框架,如Basel2)和我相信你可以脚本到你的CI的建立。
怎么样 nikto ?
对于这种类型的测试你真的想要看一些类型的绒毛的测试仪。 穗代理 是一对夫妇的绒毛的测试人员对于网络的应用程序。它是开放源代码和编写蟒蛇。我相信有一些视频从黑帽级防御状态或使用尖那里的某处,但我难以寻找他们。
有一对夫妇的高端的专业软件的软件包,将完成这一网络应用程序,测试和更多。一个更受欢迎的工具将是 CoreImpact
如果你计划要通过笔试验对你自己我强烈建议你读过很多 异的项目的文件.具体而言异应用程序安全性检验和测试/发展指南。思维方式需要进行彻底的测试应用程序是有一点不同于正常的发展思维方式(而不是它应该是不同的,但它通常是)。
怎么样 代理鼠?
一个半自动的,主要是被动网 应用安全审核的工具, 优化了一个准确和 灵敏的检测,而自动 注,潜在的问题和 安全相关的设计图案 基于观察到的现有的、 用户发起的交通在复杂的网络 2.0环境。
检测并优先处理广泛的课程 安全问题,例如动态 截网站的信托模型考虑因素, 脚本中列入的问题,内容 服务的问题,不足XSRF 和XSS的防御,以及更多
Ratproxy目前认为Linux的支持,FreeBSD,mac os X,and Windows(Cygwin)的环境。
我知道你要求具体的有关pentesting工具,但由于那些已经充分回答了(我常常去同一个混合的AppScan和训练有素的pentester),我认为重要的是要指出,pentesting不是唯一的方法"检查安全漏洞",并往往不是最有效的。
源代码审查的工具,可以提供更好的看到你的代码,发现许多缺陷,pentesting不会。
这些包括巩固和OunceLabs(昂贵,对于许多语言)VisualStudio.NET CodeAnalysis(。净和C++、免费ONLINE,不错但不伟大),异的推移Java(免费、体面不伟大),CheckMarx(不便宜,奇妙的工具。净和爪哇,但高开销),以及许多更多。
很重要的一点必须注意-(大多数)的自动化工具没有找到所有的脆弱性,不甚至关闭。你可以指望自动化工具,以找到大约35-40%secbugs,将是发现通过一个专业pentester;这同样适用于自动化系手册的源代码的审查。
当然,一个适当的系统开发生命周期(安全开发生命周期),包括威胁建模、设计审查,等等,将有助于甚至更...
