Web アプリケーションのセキュリティ テストにはどのようなツールを使用しますか?[閉まっている]
-
02-07-2019 - |
質問
Web アプリケーションのセキュリティ テストに推奨するツールはありますか?
OWASP の WebScarab を使用したことがありますが、少し難しくて扱いにくいと感じています。
他にもっと良いものはありますか?
解決
WebScarab の代わりに、Fiddler プロキシ (http://www.fiddlertool.com)。ずっと快適です。
それ以外に、「セキュリティ テスト」は非常に幅広い用語です。
少なくとも次のものがあります。
- 侵入テスト - 私は Appscan をはじめ、その他多くのツールを使用しています。
- ソース コード レビュー / 静的分析 - Fortify は最高の 1 つと考えられていますが、私は Checkmarx に夢中になりました (ただし、セキュリティ担当者が必要です)...特定のテクノロジー/言語に関する詳細情報があれば、より的を絞った回答が得られます。
- 他の種類の「セキュリティ テスト」もありますが、私はそれらの種類の他の自動ツールに詳しくありません。
- 最後の点と、最初の 2 つのタイプ (PT/CR) のより高度なテストに従って、専門家による手動テストが実際には最良です (最も費用対効果が高くない場合でも)。
他のヒント
HP には、Scrawlr と呼ばれる SQL インジェクションをテストするアプリがあります。
Fortify は私たちにとって良い働きをしてくれました。
私は業務の一環として Web アプリの侵入テストを行う会社で働いています。私たちはさまざまなツールを使用します。一部は、特定のプロジェクト用の Ruby の 1 回限りのツール、または社内で開発されたフレームワークまたはプロキシ (これも Ruby) です。当社の Web アプリ侵入テストのほとんどは、Webscarab、burpsuite、またはパロス プロキシを使用して行われます。それらはすべて、ある種のログ機能、かなりの量のパワー、そして欠点の 1 つまたは 2 つを備えています。
実際のところ、Webscarab が最も使いやすいことがわかりました。ただし、VIEWSTATE を処理したり、検索についてはあまり機能しません。実際、VIEWSTATE 内に存在すべきではないデータが見つかったので、それらを見つけるたびに別のプロキシに切り替える傾向があります。次の選択肢は Burpsuite です。VIEWSTATE は処理しますが、インターフェースとその出力には慣れるまでに多くの時間がかかりますが、技術的にはより完全であり、元のリクエスト/応答と変更されたリクエスト/レスポンスが保持されているため、使用するのは困難です。
残念ながら、あなたの質問に対する答えは、単なる適切なプロキシよりも少し複雑です。プロキシやスキャナを選択して実行するだけではありません。ツールが見つけたものはすべて人間が検証する必要がありますが、人間が見つけなければならないものは何もありません。
tqbfにはこれについて良い説明があります ここ.
私が使う ニクト.
ニクト は、3500 を超える潜在的に危険なファイル/CGI、900 を超えるサーバー上のバージョン、250 を超えるサーバー上のバージョン固有の問題など、複数の項目について Web サーバーに対して包括的なテストを実行するオープン ソース (GPL) Web サーバー スキャナーです。スキャン項目とプラグインは頻繁に更新され、(必要に応じて) 自動的に更新できます。
Nikto は過度にステルスなツールとしては設計されていません。可能な限り短い時間で Web サーバーをテストし、それはログ ファイルで明らかです。ただし、試してみたい (または IDS システムをテストしたい) 場合に備えて、LibWhisker の IDS 対策メソッドがサポートされています。
これ リスト 次のような場合にも役立ちます。 トップ 10 の Web 脆弱性スキャナー
これらはすべて Web アプリの侵入テスト用です
- curl - 探索するコマンドライン ツール
- nikto/wikto - 脆弱性のスキャナー
- w3af - 素晴らしいことは聞いたことがあるが、あまり試したことはない
- sqlmap - 自動SQLインジェクション
- WebDeveloper と firebug - Firefox 拡張機能
- 独自のテスト ケースを使用した Twill と Selenium http://ha.ckers.org/xss.html
findstr のような単純な文字列検索ツールを使用して手動検査を使用することをお勧めします。ここに、asp.net の手動セキュリティ検査に関する優れたリソースがあります。http://msdn.microsoft.com/en-us/library/ms998364.aspxまたは、セキュリティの脆弱性を見つけるためのガイドとなるセキュリティの質問に直接ジャンプすることもできます。http://msdn.microsoft.com/en-us/library/ms998375.aspx文字列検索テクニックの概要をここに示します。http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
セキュリティ テストには Paros または Netsparker を使用できます。次の URL は、いくつかのセキュリティ テスト ツールを見つけるのに役立ちます。
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/