당신은 어떤 도구를 사용하여 보안에 대한 테스트의 웹 응용 프로그램은 무엇입니까?[마감]
-
02-07-2019 - |
문제
이 있는 도구를 추천한 보안에 대한 테스트의 웹 응용 프로그램은 무엇입니까?
내가 사용 WebScarab 에서 OWASP 지만,조금 어려운 찾을하고 다루기 힘든 사용합니다.
다른 것은 더 나은 당신이 사용하는 것이 좋?
해결책
대신 WebScarab 도 Fiddler 프록시(http://www.fiddlertool.com).더 많은 편안합니다.
다른 것보다,"보험은"매우 넓은 용어입니다.
적어도,당신은:
- 침투 테스트를 사용하 Appscan,많은 다른 사람입니다.
- 소스 코드 검토/정적 분석-을 강화하는 것,사랑에 빠진 Checkmarx(그러나 그것은 필요한 보안 사람)...에 대한 자세한 정보는 특정 기술/언어 도움이 될 것이 당신에게 더 많은 대상으로 답변이 있습니다.
- 다른 형태의"보안 테스트",그러나 나는 익숙하지 않은 기타 자동적인 도구들.
- 에 따라 마지막 지점과 고급 테스트의 첫번째 두 가지 유형(PT/CR),수동 테스트 전문가에 의해 정말 최고입니다(하지 않을 경우 가장 비용 효과적이다).
다른 팁
HP 있을 테스트하는 응용 프로그램에 대한 SQL 라는 주사 Scrawlr.
Fortify 수행합니다.
내가 회사를 위해 일하는 웹앱 침투 테스트로 그것의 일부의 사업이다.우리가 사용하는 많은 서로 다른 도구입니다.일부는 하나 떨어져 도구에서 루비에 대한 특정 프로젝트 또는에서 개발한 프레임워크 또는 프록시(다 루비).대부분의 우리의 웹 응용 프로그램을 침투 테스트를 사용하여 수행됩 webscarab,burpsuite 또는 파로스에 프록시합니다.그들은 그들 모두는 일종의 로깅 기능,적당량의 힘과 단점이다.
나는 사실을 발견 webscarab 을 수 있는 가장 쉬운 사용합니다.하지만,그것은 처리하지 않 VIEWSTATE 나 많은 일을 위해 찾고 있다.우리는 사실을 발견한 데이터 VIEWSTATE 는 할 수 없다,그래서 때마다 우리는 그들을 우리는 경향이 전환하는 다른 프록시합니다.Burpsuite 내 옆의 선택입니다.그것은 처리 VIEWSTATE 하지만 인터페이스이 많이 소요되고 출력하는 동안 기술적으로 더 완전하게 유지 원래의 수정 요청/응답-은 열심히 사용합니다.
불행히도 대답하신 질문은 약간 더 복잡한 보다 좋은 프록시합니다.더 보기 프록시하거나 스캐너 시켜서 그들을 실행합니다.사람을 확인하는 아무것도 발견하고 있는 일은 아무것도 없는 사람을 찾을 것입니다.
tqbf 는 좋은 설명의 이 기.
내가 사용하는 Nikto.
Nikto 오픈 소스(GPL)는 웹 서버 스캐너가 수행하는 포괄적인 테스트에 대해 웹 서버를 위한 여러 항목을 포함하여,3500 잠재적으로 위험한 파일을/Cgi,버전에서 900 서버 버전을 특정 문제에서 250 개 이상 서버에 있습니다.검색 항목이와 플러그인은 자주 업데이트되고 자동으로 업데이트할 수 있(원하는 경우).
Nikto 설계되지 않았으로 지나치게 남의 눈을 피 도구입니다.그것은 테스트를 웹서버에서 가장 짧은 기간 가능하며,그것은 매우 명백한 로그 파일이 있습니다.그러나,거기에 대한 지원 LibWhisker 의 반 ID 방법을 할 경우에 당신은 그것을 시도를 제공(또는 테스트를 당신의 ID 시스템)가 있습니다.
이 목록 을 할 수 있도록 도와 줄 것: Top10 웹 취약점 스캐너
이들은 모두에 대한 테스트 web apps
- 컬-명령행 도구를 탐구하는
- nikto/wikto-스캐너 vulns
- w3af-이 들었을 시도하지 않은 그것에 많
- sqlmap 자동화 sql injection
- WebDeveloper 및 방화-firefox extensions
- 트윌 셀레늄으로 자신의 테스트 사례 http://ha.ckers.org/xss.html
나는 사용 설명서 검사와 함께 간단한 문자열 검색 툴 같은 findstr.여기에는 훌륭한 자원의 설명서 보안 검사 asp.net:http://msdn.microsoft.com/en-us/library/ms998364.aspx 나로 바로 이동할 수 있습을 보안하는 질문 가이드에 당신의 방법을 찾는 보안 취약점:http://msdn.microsoft.com/en-us/library/ms998375.aspx 나의 요약 문자열 기술을 여기에서 검색:http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
당신이 사용할 수 있는 파로스 또는 Netsparker 보안에 대한 테스트합니다.다음과 같은 URL 을을 찾는 데 도움이 될 수 있는 몇 가지 보안 도구를 테스트:
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/