Какие инструменты вы используете для тестирования безопасности веб-приложений?[закрыто]
https://stackoverflow.com/questions/112687
-
02-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Есть ли какой-нибудь инструмент, который вы порекомендуете для тестирования безопасности веб-приложений?
Я использовал WebScarab от OWASP, но он показался мне немного сложным и громоздким в использовании.
Есть ли что-нибудь еще лучше, что вы бы предложили использовать?
Решение
Вместо WebScarab попробуйте прокси-сервер Fiddler (http://www.fiddlertool.com).Намного удобнее.
В остальном «тестирование безопасности» — это очень широкий термин.
По крайней мере, у вас есть:
- Тестирование на проникновение — я использую Appscan и многие другие.
- Обзор исходного кода/статический анализ — Fortify считается одним из лучших, я влюбился в Checkmarx (но для него нужен специалист по безопасности)…Дополнительная информация о вашей конкретной технологии/языке поможет вам дать более целевые ответы.
- Существуют и другие типы «тестирования безопасности», но я не знаком с другими автоматическими инструментами для этих типов.
- В соответствии с последним пунктом и более сложным тестированием первых двух типов (PT/CR), ручное тестирование экспертом действительно является лучшим (если не самым экономически эффективным).
Другие советы
У HP есть приложение для проверки SQL-инъекций под названием Scrawlr.
Fortify принёс нам пользу.
Я работаю в компании, которая в рамках своей деятельности проводит тестирование веб-приложений на проникновение.Мы используем много разных инструментов.Некоторые из них представляют собой одноразовые инструменты Ruby для конкретных проектов или являются собственными фреймворками или прокси (опять же Ruby).Большая часть наших тестов на проникновение веб-приложений проводится с использованием прокси-серверов webscarab, burpsuite или paros.Все они имеют какую-то функцию ведения журнала, приличную мощность и один-два недостатка.
На самом деле я обнаружил, что Webscarab самый простой в использовании.Но он не обрабатывает VIEWSTATE и не выполняет особых функций для поиска.На самом деле мы нашли в VIEWSTATE данные, которых там быть не должно, поэтому всякий раз, когда мы их видим, мы склонны переключаться на другой прокси.Burpsuite — мой следующий выбор.Он поддерживает VIEWSTATE, но к интерфейсу нужно долго привыкать, а его выходные данные, хотя технически более полные (он сохраняет исходные и измененные запросы/ответы), сложнее использовать.
К сожалению, ответ на ваш вопрос немного сложнее, чем просто хороший прокси.Это нечто большее, чем просто взять прокси или сканер и запустить их.Человек должен проверить все, что находит инструмент, и есть что-то, что человек не найдет.
У tqbf есть хорошее объяснение этому здесь.
я использую Никто.
Никто — это сканер веб-серверов с открытым исходным кодом (GPL), который выполняет комплексные тесты веб-серверов по множеству элементов, включая более 3500 потенциально опасных файлов/CGI, версии на более чем 900 серверах и проблемы, связанные с конкретной версией, на более чем 250 серверах.Элементы сканирования и плагины часто обновляются и могут обновляться автоматически (при желании).
Nikto не задуман как слишком скрытный инструмент.Он протестирует веб-сервер в кратчайшие сроки, и это совершенно очевидно в файлах журналов.Тем не менее, существует поддержка методов защиты от IDS LibWhisker на случай, если вы захотите попробовать (или протестировать свою систему IDS).
Этот список также может помочь: 10 лучших сканеров веб-уязвимостей
Это все для веб-приложений для тестирования на проникновение.
- Curl — инструмент командной строки для изучения
- nikto/wikto — сканер уязвимостей
- w3af - Слышал хорошие вещи, особо не пробовал
- sqlmap - автоматизированная SQL-инъекция
- WebDeveloper и firebug — расширения Firefox
- Twill и Selenium с вашими собственными тестовыми примерами http://ha.ckers.org/xss.html
Я бы предложил использовать ручную проверку с помощью простых инструментов поиска строк, таких как findstr.Вот отличный ресурс для ручной проверки безопасности для asp.net:http://msdn.microsoft.com/en-us/library/ms998364.aspxИли вы можете сразу перейти к контрольным вопросам, которые помогут вам найти уязвимости в системе безопасности:http://msdn.microsoft.com/en-us/library/ms998375.aspxЗдесь у меня есть краткое изложение методов поиска строк:http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
Вы можете использовать Paros или Netsparker для тестирования безопасности.Следующий URL-адрес может помочь найти некоторые инструменты тестирования безопасности:
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
