Ferramentas para verificar vulnerabilidades comuns?

35

Existem boas ferramentas (desktop ou online) que permitem verificar se o seu site tem vulnerabilidades comuns (por exemplo, SQL Injection, XSS)?

jessegavin
fonte
Lembre-se de que a ferramenta não detectará todas as falhas de segurança possíveis do seu site. Se eu fosse você, focaria mais em aprender e usar as melhores práticas de segurança, em vez de usar a ferramenta para detectar possíveis falhas.
21710 HoLyVieR em:
11
@HoLyVieR: Não há razão para que você não possa usar os dois. Assim como os scanners, os desenvolvedores não são perfeitos. É possível que você ou alguém da sua equipe ou o desenvolvedor de um componente de terceiros cometa erros. Mesmo se você examinar manualmente cada linha de código que entra no seu aplicativo, ainda poderá ignorar algo. O teste de caneta e o uso de scanners de vulnerabilidade oferecem uma camada extra de proteção. Vale a pena o esforço da OMI.
Lèse majesté

Respostas:

10

websecurify são os melhores projetos de software livre que encontrei.

corymathews
fonte
2
Para aqueles que não sabem o que FOSS é (como me 20 segundos atrás), que defende Software Livre e Open Source ( en.wikipedia.org/wiki/Free_and_open_source_software )
paperjam
2
E se você está se sentindo multilíngue, o FLOSS significa a mesma coisa E é ótimo para as gengivas!
JasonBirch
5

Você pode querer conferir o Skipfish do Google , que é extremamente abrangente e funciona a partir de dicionários que você fornece, incluindo padrões (pia da cozinha / padrão).

Também é um pouco mais 'gentil' do que outros que eu já usei, mas não consigo encontrar algo com os mesmos recursos para comparar os resultados.

Seu C escrito, tem saída MUITO informativa e é extremamente fácil de usar. Eu recomendo executá-lo em qualquer servidor * nix padrão ou em casa, se você tiver uma conexão rápida. Também possui um sistema de fila de solicitações inteligente com atualizações em tempo real. É realmente divertido vê-lo funcionar.

Ele relata a maioria das vulnerabilidades, além de muitos outros problemas dos quais você talvez não esteja ciente. É um pouco pedante, mas pedante é uma boa qualidade para essa ferramenta.

Captura de tela dos resultados (um pouco antiga):

texto alternativo http://skipfish.googlecode.com/files/skipfish-screen.png

Tim Post
fonte
Isso parece muito bom. Vou verificar isso com certeza.
Jessegavin
5

Existem muitos scanners automatizados de vulnerabilidades de aplicativos da web de caixa preta de código aberto.

  • w3af
  • websecurify
  • skipfish
  • Netsparker Community Edition (gratuito com funcionalidade limitada)
  • Nikto

É melhor não confiar em apenas um scanner automatizado, cada um com seus pontos fortes e fracos; portanto, sempre execute alguns deles e compare os resultados. Você também precisará verificar se há falsos positivos e falsos negativos.

A verificação automatizada de vulnerabilidades tem seu lugar e é útil, no entanto, sempre deve ser feita por um profissional de segurança que entenda as vulnerabilidades e também possa verificar outras manualmente. A digitalização automatizada é um bom começo e melhor do que nada.

ryan dewhurst
fonte
2

O RatProxy do Google também é uma ótima opção para verificar o XSS. Como é configurado e opera como um proxy, é fácil de usar, pois simplesmente segue o seu navegador enquanto você testa seu site normalmente. Ele registra todas as interações, POSTs, GETs etc., e pode reproduzir essas interações tentando injetar conteúdo malicioso. Depois de repetir as solicitações, ele verificará a saída quanto aos sinais de XSS. Além disso, mantém um registro de todo o ciclo de vida do HTTP, que pode ser usado para depuração adicional.

Chris Henry
fonte
1

A HP possui o Scrawlr para verificar vulnerabilidades comuns de injeção SQL.

plntxt
fonte
1

Faço exatamente esse tipo de coisa há muito tempo e concordaria que a melhor solução é usar testadores experientes para verificar seu perfil de segurança; no entanto, testar esses tipos de vulnerabilidades é realmente muito fácil de automatizar. Tendo gerenciado um programa para testar cerca de 1000 aplicativos da web em um período de 6 meses, posso dizer que as ferramentas de destaque para mim são o AppScan e o Burp da IBM - e, na maioria dos casos, o Burp é mais leve, mais rápido, mais configurável e muito mais barato!

É muito fácil fazer com que o Burp verifique se há falhas na validação de entrada - e resolva seus problemas de injeção de SQL e XSS. Você pode obter uma cobertura extremamente boa desse tipo de vulnerabilidade.

Rory Alsop
fonte
1

O w3af é uma das melhores peças disponíveis para auditoria na Web, e também é FOSS

"O w3af é uma estrutura de ataque e auditoria de aplicativos da Web. O objetivo do projeto é criar uma estrutura para localizar e explorar vulnerabilidades de aplicativos da web fáceis de usar e estender."

certifique-se de experimentá-lo

pootzko
fonte
1

A vulnerabilidade da web da Acunetix é muito boa, eu a usei e realmente gostei. Você pode verificar o site em busca de XSS, injeção de SQL, sistema de carregamento fraco e muito mais. Aproveite.

ALH
fonte
Eu acredito que a versão gratuita apenas analisa o XSS. A versão não-gratuita é como vários milhares de dólares (mais de US $ 4000) por licença, acredito.
Lèse majesté
Bem, na verdade eu uso a versão não-livre e recomendo.
ALH 24/12
Sim, se você puder pagar, o Acunetix WVS parece um produto realmente bom. Eles também têm muitas dicas de segurança em seu blog.
Lèse majesté