Quels outils utilisez-vous pour tester la sécurité des applications Web? [fermé]

StackOverflow https://stackoverflow.com/questions/112687

Question

Recommandez-vous un outil pour tester la sécurité des applications Web?

J'ai utilisé WebScarab d'OWASP, mais le trouve un peu difficile et lourd à utiliser.

Y a-t-il autre chose que vous recommanderiez mieux d'utiliser?

Était-ce utile?

La solution

Au lieu de WebScarab, essayez le proxy Fiddler ( http://www.fiddlertool.com ). Beaucoup plus confortable.

En dehors de cela, "test de sécurité". est un terme très large.
À tout le moins, vous avez:

  • Tests d'intrusion - J'utilise Appscan et bien d'autres.
  • Examen du code source / Analyse statique - Fortify est considéré comme l'un des meilleurs. Je suis tombé amoureux de Checkmarx (mais cela nécessite un responsable de la sécurité) ... Plus d'informations sur votre technologie / langage spécifique vous aideraient à mieux cibler vos réponses .
  • Il existe d'autres types de "tests de sécurité", mais je ne connais pas les autres outils automatiques pour ces types.
  • Conformément au dernier point et aux tests plus avancés des deux premiers types (PT / CR), les tests manuels effectués par un expert sont vraiment les meilleurs (sinon les plus rentables).

Autres conseils

HP dispose d'une application pour tester les injections SQL appelée Scrawlr.

Scrawlr

Fortify a bien fait pour nous.

http://www.fortify.com/

Je travaille pour une entreprise qui effectue des tests d'intrusion d'applications Web dans le cadre de ses activités. Nous utilisons beaucoup d'outils différents. Certains sont des outils uniques dans Ruby pour des projets spécifiques, ou des cadres ou des mandataires développés en interne (à nouveau Ruby). La plupart de nos tests de pénétration des applications Web sont effectués à l'aide de Webscarab, burpsuite ou proxy paros. Ils ont tous une fonctionnalité de journalisation, une quantité d’énergie décente et un ou deux inconvénients.

J'ai en fait trouvé que webscarab était le plus facile à utiliser. Mais, il ne gère pas VIEWSTATE ou fait beaucoup pour la recherche. Nous avons en fait trouvé dans VIEWSTATE des données qui ne devraient pas y figurer. Par conséquent, chaque fois que nous les voyons, nous avons tendance à passer à un proxy différent. Burpsuite est mon prochain choix. Il prend en charge VIEWSTATE mais l’interface demande beaucoup de temps pour s’habituer et sa sortie, bien que techniquement plus complète - elle conserve les requêtes / réponses originales et modifiées - est plus difficile à utiliser.

Malheureusement, la réponse à votre question est légèrement plus compliquée qu’un bon proxy. Il ne suffit pas de prendre un proxy ou un scanner pour les laisser fonctionner. Une personne doit vérifier tout ce que l'outil trouve et il y a quelque chose que personne ne trouvera jamais.

tqbf a une bonne explication de cette ici .

J'utilise Nikto .

Nikto est un scanner de serveur Web Open Source (GPL) qui effectue des tests complets sur des serveurs Web pour plusieurs éléments, y compris plus de 3 500 fichiers / CGI potentiellement dangereux. , versions sur plus de 900 serveurs et problèmes spécifiques à la version sur plus de 250 serveurs. Les éléments et les plug-ins d'analyse sont fréquemment mis à jour et peuvent être mis à jour automatiquement (si vous le souhaitez).

Nikto n'est pas conçu comme un outil excessivement furtif. Il testera un serveur Web dans les délais les plus brefs, ce qui est assez évident dans les fichiers journaux. Cependant, les méthodes anti-IDS de LibWhisker sont prises en charge au cas où vous souhaiteriez l'essayer (ou tester votre système IDS).

Cette liste pourrait également vous aider: Les 10 meilleurs analyseurs de vulnérabilité Web

Toutes ces applications sont destinées aux applications Web de test de stylet

  1. curl - outil de ligne de commande à explorer
  2. nikto / wikto - scanner pour vulns
  3. w3af - J'ai entendu de grandes choses qui ne l'ont pas beaucoup essayée
  4. sqlmap - injection SQL automatisée
  5. WebDeveloper et firebug - extensions firefox
  6. Twill et Selenium avec vos propres cas de test http://ha.ckers.org/xss.html

Je suggérerais d'utiliser l'inspection manuelle avec des outils de recherche de chaînes simples comme findstr. Voici une excellente ressource d'inspection de sécurité manuelle pour asp.net: http://msdn.microsoft.com/en-us/library/ms998364. aspx Vous pouvez également passer directement aux questions de sécurité qui vous guident dans la recherche de vulnérabilités de sécurité: http://msdn.microsoft.com/en-us/library/ms998375. aspx J'ai un résumé des techniques de recherche de chaînes ici: http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities- in-asp-net-web-application.aspx

Vous pouvez utiliser Paros ou Netsparker pour les tests de sécurité. L’URL suivante peut aider à trouver certains outils de test de sécurité:

http://www.webresourcesdepot.com/10 -free-web-application-security-testing-tools /

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top