¿Qué herramientas utiliza para las pruebas de seguridad de aplicaciones web?[cerrado]

StackOverflow https://stackoverflow.com/questions/112687

Pregunta

¿Recomienda alguna herramienta para realizar pruebas de seguridad de aplicaciones web?

He usado WebScarab de OWASP, pero lo encuentro un poco difícil y difícil de manejar.

¿Hay algo más mejor que sugerirías usar?

¿Fue útil?

Solución

En lugar de WebScarab, pruebe el proxy Fiddler (http://www.fiddlertool.com).Mucho más cómodo.

Aparte de eso, "pruebas de seguridad" es un término muy amplio.
Como mínimo tienes:

  • Pruebas de penetración: uso Appscan y muchos otros.
  • Revisión del código fuente/Análisis estático: Fortify es considerado uno de los mejores, me enamoré de Checkmarx (pero requiere un encargado de seguridad)...Más información sobre su tecnología/lenguaje específico le ayudaría a obtener respuestas más específicas.
  • Existen otros tipos de "pruebas de seguridad", pero no estoy familiarizado con otras herramientas automáticas para esos tipos.
  • De acuerdo con el último punto, y con pruebas más avanzadas de los dos primeros tipos (PT/CR), las pruebas manuales realizadas por un experto son realmente las mejores (si no las más rentables).

Otros consejos

HP tiene una aplicación para probar inyecciones de SQL llamada Scrawlr.

garabatear

Fortify nos ha ido bien.

http://www.fortify.com/

Trabajo para una empresa que realiza pruebas de penetración de aplicaciones web como parte de su negocio.Usamos muchas herramientas diferentes.Algunas son herramientas únicas en Ruby para proyectos específicos, o marcos o servidores proxy desarrollados internamente (nuevamente Ruby).La mayoría de nuestras pruebas de penetración de aplicaciones web se realizan utilizando webscarab, burpsuite o paros proxy.Todos tienen algún tipo de funcionalidad de registro, una cantidad decente de energía y uno o dos inconvenientes.

De hecho, descubrí que webscarab es el más fácil de usar.Pero no maneja VIEWSTATE ni hace mucho por la búsqueda.De hecho, encontramos datos en VIEWSTATE que no deberían estar allí, por lo que cada vez que los vemos tendemos a cambiar a un proxy diferente.Burpsuite es mi próxima opción.Maneja VIEWSTATE, pero requiere mucho tiempo para acostumbrarse a la interfaz y su resultado, aunque técnicamente más completo (mantiene las solicitudes/respuestas originales y modificadas), es más difícil de usar.

Desafortunadamente, la respuesta a su pregunta es un poco más complicada que simplemente un buen proxy.Hay más que simplemente tomar un proxy o un escáner y dejar que se ejecuten.Una persona tiene que verificar todo lo que encuentre la herramienta y hay algunas cosas que una persona encontrará.

tqbf tiene una buena explicación de esto. aquí.

yo suelo nikto.

nikto es un escáner de servidores web de código abierto (GPL) que realiza pruebas exhaustivas en servidores web para múltiples elementos, incluidos más de 3500 archivos/CGI potencialmente peligrosos, versiones en más de 900 servidores y problemas específicos de versiones en más de 250 servidores.Los elementos y complementos de escaneo se actualizan con frecuencia y se pueden actualizar automáticamente (si lo desea).

Nikto no está diseñado como una herramienta demasiado sigilosa.Probará un servidor web en el menor tiempo posible y es bastante obvio en los archivos de registro.Sin embargo, existe soporte para los métodos anti-IDS de LibWhisker en caso de que desee probarlo (o probar su sistema IDS).

Este lista También podría ayudar: Los 10 mejores escáneres de vulnerabilidad web

Todos estos son para aplicaciones web de prueba de penetración.

  1. curl - herramienta de línea de comandos para explorar
  2. nikto/wikto - escáner de vulnerabilidades
  3. w3af - He escuchado grandes cosas, no lo he probado mucho.
  4. mapa sql - inyección SQL automatizada
  5. WebDeveloper y firebug - extensiones de Firefox
  6. Twill y Selenium con tus propios casos de prueba http://ha.ckers.org/xss.html

Sugeriría utilizar la inspección manual con herramientas simples de búsqueda de cadenas como findtr.Aquí hay un gran recurso de inspección de seguridad manual para asp.net:http://msdn.microsoft.com/en-us/library/ms998364.aspxO puede pasar directamente a las preguntas de seguridad que le guiarán para encontrar vulnerabilidades de seguridad:http://msdn.microsoft.com/en-us/library/ms998375.aspxTengo un resumen de las técnicas de búsqueda de cadenas aquí:http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx

Puede utilizar Paros o Netsparker para pruebas de seguridad.La siguiente URL puede ayudar a encontrar algunas herramientas de prueba de seguridad:

http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top