什么工具使用,用于安全测试的网络应用程序?[关闭]
https://stackoverflow.com/questions/112687
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
是否有任何工具,你建议的安全测试的网络应用程序?
我已经使用WebScarab从异,但发现它有点困难和难以使用。
还有什么更好的,你会建议使用?
解决方案
而不是WebScarab,试试小提琴师代理(http://www.fiddlertool.com).更多的氛围。
其他比那"安全测试"是一个非常广泛的术语。
至少,你必须:
- 渗透测试-我用Appscan,许多其他人。
- 源代码的审查/静态的分析强化被认为是一个最好的,我爱上了Checkmarx(但它需要一个安全的人)...更多信息的特定技术/语言将有助于给你更多的有针对性的答案。
- 还有其他类型的"安全测试",但我不熟悉其他自动化工具,对于那些类型。
- 根据最后一点,更先进测试的前两个类型(PT/CR),手工测试的专家确实是最好的(如果不是最具成本效益的).
其他提示
HP有一个应用程序可以测试SQL注入,称为Scrawlr。
Fortify对我们来说做得很好。
我为一家进行网络应用渗透测试的公司工作,作为其业务的一部分。我们使用许多不同的工具。有些是用于特定项目的Ruby中的一种工具,或者是内部开发的框架或代理(再次是Ruby)。我们的大多数网络应用程序渗透测试都是使用webscarab,burpsuite或paros代理完成的。它们都具有某种记录功能,相当大的功率和一两个缺点。
我实际上发现webscarab是最容易使用的。但是,它不处理VIEWSTATE或为搜索做很多事情。我们实际上在VIEWSTATE中找到了不应该存在的数据,因此每当我们看到它们时,我们倾向于切换到不同的代理。 Burpsuite是我的下一个选择。它确实处理VIEWSTATE但是接口需要大量的习惯和输出,而技术上更完整 - 它保留原始和修改的请求/响应 - 更难使用。
不幸的是,问题的答案比一个好的代理稍微复杂一点。除了购买代理或扫描仪并让它们运行之外,还有更多功能。一个人必须验证工具找到的任何东西,并且有一些人找不到任何东西。
tqbf对此此处有一个很好的解释。
我使用 Nikto 。
Nikto 是一个开源(GPL)Web服务器扫描程序,可针对多个项目对Web服务器执行全面测试,包括3500多个潜在危险文件/ CGI超过900台服务器上的版本,以及超过250台服务器上的版本特定问题。扫描项目和插件经常更新,可以自动更新(如果需要)。
Nikto并非设计为过于隐蔽的工具。它将在尽可能短的时间内测试Web服务器,并且在日志文件中相当明显。但是,如果您想尝试(或测试您的IDS系统),可以支持LibWhisker的反IDS方法。
此列表也可以提供帮助:十大Web漏洞扫描程序
这些都是用于测试网络应用的笔测试
- curl - 探索的命令行工具
- nikto / wikto - 扫描器用于黑客
- w3af - 听说过很棒的事情没有尝试过很多
- sqlmap - 自动sql注入
- WebDeveloper和firebug - firefox extensions
- Twill和Selenium以及您自己的测试用例 http://ha.ckers.org/xss.html
我建议使用像findstr这样的简单字符串搜索工具进行手动检查。 这是asp.net的手动安全检查的一个很好的资源: http://msdn.microsoft.com/en-us/library/ms998364。 ASPX 或者,您可以直接跳到指导您找到安全漏洞的安全问题: http://msdn.microsoft.com/en-us/library/ms998375。 ASPX 我在这里得到了字符串搜索技术的摘要: http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-在-ASP净网络application.aspx
您可以使用Paros或Netsparker进行安全测试。以下URL可帮助您找到一些安全测试工具:
http://www.webresourcesdepot.com/10 -free-web的应用程序的安全性测试的工具/
