Welche Tools verwenden Sie für Sicherheitstests von Web-Anwendungen? [geschlossen]

StackOverflow https://stackoverflow.com/questions/112687

Frage

Gibt es Werkzeug, das Sie für Sicherheitstests von Web-Applikationen empfehlen?

Ich habe WebScarab von OWASP verwendet, aber es ist ein bisschen schwierig und unhandlich zu bedienen.

Gibt es noch etwas besser würde vorschlagen, Sie verwenden?

War es hilfreich?

Lösung

Statt WebScarab, versuchen Fiddler Proxy ( http://www.fiddlertool.com ). Viel mehr bequem.

Anders als die „Sicherheitstest“ ist ein sehr weiter Begriff.
Zumindest haben Sie:

  • Penetrationstests -. Ich benutze AppScan, viele andere
  • Quelle Code Review / Static Analysis - Fortify eine der besten angesehen wird, verliebte ich mich in mit Checkmarx (aber es erfordert einen Sicherheitsmann) ... Mehr Informationen über Ihre spezielle Technologie / Sprache würde helfen Ihnen gezieltere Antworten .
  • Es gibt auch andere Arten von „Sicherheitstests“, aber ich bin nicht vertraut mit anderen automatischen Werkzeugen für diese Typen.
  • Nach dem letzten Punkt, und erweiterte Prüfung der ersten beiden Typen (PT / CR), die manuelle Prüfung durch einen Sachverständigen ist wirklich die beste (wenn nicht die kostengünstigste).

Andere Tipps

HP hat eine App für SQL-Injektionen genannt Scrawlr zu testen.

Scrawlr

Fortify hat gut daran getan für uns.

http://www.fortify.com/

Ich arbeite für eine Firma, die Web-App Penetrationstests tut als Teil es ist Geschäft. Wir verwenden viele verschiedene Werkzeuge. Einige sind ein off-Tools in Ruby für bestimmte Projekte oder in eigens entwickelten Frameworks oder Proxies (wieder Rubin). Die meisten unserer Web-App Penetrationstests verwendet WebScarab, burpsuite oder paros Proxy getan. Sie alle haben eine Art von Logging-Funktionalität, einen angemessenen Betrag von Leistung und einen Nachteil oder zwei.

Ich habe tatsächlich gefunden WebScarab am einfachsten zu bedienen. Aber, behandeln sie nicht VIEWSTATE oder viel tun für die Suche. Wir haben festgestellt, tatsächlich Daten in VIEWSTATE, die nicht da sein sollte, so, wenn wir sie sehen neigen wir dazu, auf einen anderen Proxy zu wechseln. Burpsuite ist meine nächste Wahl. Es tut VIEWSTATE handhaben, aber die Schnittstelle nimmt eine Menge zu, und sein Ausgang Gewöhnung während technisch vollständigere - es sind die ursprünglichen und modifizierten Anforderungen / Antworten hält -. Schwieriger zu verwenden

Leider ist die Antwort auf die Frage Sie ist etwas komplizierter als nur ein guter Proxy. Es ist mehr, als nur einen Proxy oder einen Scanner Aufnehmen und ließ sie laufen. Eine Person hat zu überprüfen, alles das Werkzeug findet und es gibt Somethings nichts Geringeres als eine Person finden.

tqbf hat eine gute Erklärung für diese hier .

Ich benutze Nikto .

Nikto ist ein Open Source (GPL) Web-Server-Scanner, die umfassenden Tests gegen Web-Server für mehrere Elemente durchführt, darunter mehr als 3500 potenziell gefährliche Dateien / CGIs Versionen auf mehr als 900 Servern und versionsspezifische Probleme auf mehr als 250 Servern. Scan-Elemente und Plugins werden häufig aktualisiert und können automatisch aktualisiert werden (wenn gewünscht).
Nikto wird nicht als übermäßig schleich-Tool entwickelt. Es wird einen Web-Server in der kürzesten Zeitspanne möglich testen, und es ist ziemlich offensichtlich, in Log-Dateien. Allerdings gibt es Unterstützung für LibWhisker Anti-IDS-Methoden, wenn Sie es ausprobieren wollen (oder testen Sie Ihr IDS-System).

Diese Liste könnte auch helfen: Top 10 Web Vulnerability Scanner

Diese sind alle für den Stift Testen von Web-Anwendungen

  1. curl - Kommandozeilen-Tool erkunden
  2. nikto / wikto - Scanner für vulns
  3. w3af - Haben Sie gehört große Dinge haben es nicht versucht viel
  4. sqlmap - automatisierte SQL-Injection
  5. WebDeveloper und Firebug - Firefox-Erweiterungen
  6. Twill und Selen mit Ihrem eigenen Testfälle http://ha.ckers.org/xss.html

Ich würde vorschlagen, eine manuelle Inspektion mit einfachen String-Suche-Tools wie findstr verwenden. Hier ist eine große Ressource der manuellen Sicherheitskontrolle für asp.net: http://msdn.microsoft.com/en-us/library/ms998364. aspx Oder Sie können direkt auf die Sicherheitsfragen springen, die den Weg weisen Sicherheitslücken zu finden: http://msdn.microsoft.com/en-us/library/ms998375. aspx Ich habe hier eine Zusammenfassung der String-Suchtechniken bekommt: http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities- in-asp-net-web-Application.aspx

Sie können für Sicherheitstests Paros oder Netsparker verwenden. Die folgende URL kann helfen, einige Sicherheits Test-Tools zu finden:

http://www.webresourcesdepot.com/10 -freie-Web-Applikation-security-Test-tools /

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top