Lembre-se de que a ferramenta não detectará todas as falhas de segurança possíveis do seu site. Se eu fosse você, focaria mais em aprender e usar as melhores práticas de segurança, em vez de usar a ferramenta para detectar possíveis falhas.
21710 HoLyVieR em:
11
@HoLyVieR: Não há razão para que você não possa usar os dois. Assim como os scanners, os desenvolvedores não são perfeitos. É possível que você ou alguém da sua equipe ou o desenvolvedor de um componente de terceiros cometa erros. Mesmo se você examinar manualmente cada linha de código que entra no seu aplicativo, ainda poderá ignorar algo. O teste de caneta e o uso de scanners de vulnerabilidade oferecem uma camada extra de proteção. Vale a pena o esforço da OMI.
Lèse majesté
Respostas:
10
websecurify são os melhores projetos de software livre que encontrei.
E se você está se sentindo multilíngue, o FLOSS significa a mesma coisa E é ótimo para as gengivas!
JasonBirch
5
Você pode querer conferir o Skipfish do Google , que é extremamente abrangente e funciona a partir de dicionários que você fornece, incluindo padrões (pia da cozinha / padrão).
Também é um pouco mais 'gentil' do que outros que eu já usei, mas não consigo encontrar algo com os mesmos recursos para comparar os resultados.
Seu C escrito, tem saída MUITO informativa e é extremamente fácil de usar. Eu recomendo executá-lo em qualquer servidor * nix padrão ou em casa, se você tiver uma conexão rápida. Também possui um sistema de fila de solicitações inteligente com atualizações em tempo real. É realmente divertido vê-lo funcionar.
Ele relata a maioria das vulnerabilidades, além de muitos outros problemas dos quais você talvez não esteja ciente. É um pouco pedante, mas pedante é uma boa qualidade para essa ferramenta.
É melhor não confiar em apenas um scanner automatizado, cada um com seus pontos fortes e fracos; portanto, sempre execute alguns deles e compare os resultados. Você também precisará verificar se há falsos positivos e falsos negativos.
A verificação automatizada de vulnerabilidades tem seu lugar e é útil, no entanto, sempre deve ser feita por um profissional de segurança que entenda as vulnerabilidades e também possa verificar outras manualmente. A digitalização automatizada é um bom começo e melhor do que nada.
O RatProxy do Google também é uma ótima opção para verificar o XSS. Como é configurado e opera como um proxy, é fácil de usar, pois simplesmente segue o seu navegador enquanto você testa seu site normalmente. Ele registra todas as interações, POSTs, GETs etc., e pode reproduzir essas interações tentando injetar conteúdo malicioso. Depois de repetir as solicitações, ele verificará a saída quanto aos sinais de XSS. Além disso, mantém um registro de todo o ciclo de vida do HTTP, que pode ser usado para depuração adicional.
Faço exatamente esse tipo de coisa há muito tempo e concordaria que a melhor solução é usar testadores experientes para verificar seu perfil de segurança; no entanto, testar esses tipos de vulnerabilidades é realmente muito fácil de automatizar. Tendo gerenciado um programa para testar cerca de 1000 aplicativos da web em um período de 6 meses, posso dizer que as ferramentas de destaque para mim são o AppScan e o Burp da IBM - e, na maioria dos casos, o Burp é mais leve, mais rápido, mais configurável e muito mais barato!
É muito fácil fazer com que o Burp verifique se há falhas na validação de entrada - e resolva seus problemas de injeção de SQL e XSS. Você pode obter uma cobertura extremamente boa desse tipo de vulnerabilidade.
O w3af é uma das melhores peças disponíveis para auditoria na Web, e também é FOSS
"O w3af é uma estrutura de ataque e auditoria de aplicativos da Web. O objetivo do projeto é criar uma estrutura para localizar e explorar vulnerabilidades de aplicativos da web fáceis de usar e estender."
A vulnerabilidade da web da Acunetix é muito boa, eu a usei e realmente gostei. Você pode verificar o site em busca de XSS, injeção de SQL, sistema de carregamento fraco e muito mais. Aproveite.
Eu acredito que a versão gratuita apenas analisa o XSS. A versão não-gratuita é como vários milhares de dólares (mais de US $ 4000) por licença, acredito.
Lèse majesté
Bem, na verdade eu uso a versão não-livre e recomendo.
ALH 24/12
Sim, se você puder pagar, o Acunetix WVS parece um produto realmente bom. Eles também têm muitas dicas de segurança em seu blog.
Respostas:
websecurify são os melhores projetos de software livre que encontrei.
fonte
Você pode querer conferir o Skipfish do Google , que é extremamente abrangente e funciona a partir de dicionários que você fornece, incluindo padrões (pia da cozinha / padrão).
Também é um pouco mais 'gentil' do que outros que eu já usei, mas não consigo encontrar algo com os mesmos recursos para comparar os resultados.
Seu C escrito, tem saída MUITO informativa e é extremamente fácil de usar. Eu recomendo executá-lo em qualquer servidor * nix padrão ou em casa, se você tiver uma conexão rápida. Também possui um sistema de fila de solicitações inteligente com atualizações em tempo real. É realmente divertido vê-lo funcionar.
Ele relata a maioria das vulnerabilidades, além de muitos outros problemas dos quais você talvez não esteja ciente. É um pouco pedante, mas pedante é uma boa qualidade para essa ferramenta.
Captura de tela dos resultados (um pouco antiga):
texto alternativo http://skipfish.googlecode.com/files/skipfish-screen.png
fonte
Existem muitos scanners automatizados de vulnerabilidades de aplicativos da web de caixa preta de código aberto.
É melhor não confiar em apenas um scanner automatizado, cada um com seus pontos fortes e fracos; portanto, sempre execute alguns deles e compare os resultados. Você também precisará verificar se há falsos positivos e falsos negativos.
A verificação automatizada de vulnerabilidades tem seu lugar e é útil, no entanto, sempre deve ser feita por um profissional de segurança que entenda as vulnerabilidades e também possa verificar outras manualmente. A digitalização automatizada é um bom começo e melhor do que nada.
fonte
A Microsoft possui uma ferramenta de análise de código que faz isso (aqui está um vídeo do Channel 9 e um link para download da v1). A Wikipedia também possui uma lista muito boa de ferramentas de análise de código estático .
fonte
O RatProxy do Google também é uma ótima opção para verificar o XSS. Como é configurado e opera como um proxy, é fácil de usar, pois simplesmente segue o seu navegador enquanto você testa seu site normalmente. Ele registra todas as interações, POSTs, GETs etc., e pode reproduzir essas interações tentando injetar conteúdo malicioso. Depois de repetir as solicitações, ele verificará a saída quanto aos sinais de XSS. Além disso, mantém um registro de todo o ciclo de vida do HTTP, que pode ser usado para depuração adicional.
fonte
A HP possui o Scrawlr para verificar vulnerabilidades comuns de injeção SQL.
fonte
Faço exatamente esse tipo de coisa há muito tempo e concordaria que a melhor solução é usar testadores experientes para verificar seu perfil de segurança; no entanto, testar esses tipos de vulnerabilidades é realmente muito fácil de automatizar. Tendo gerenciado um programa para testar cerca de 1000 aplicativos da web em um período de 6 meses, posso dizer que as ferramentas de destaque para mim são o AppScan e o Burp da IBM - e, na maioria dos casos, o Burp é mais leve, mais rápido, mais configurável e muito mais barato!
É muito fácil fazer com que o Burp verifique se há falhas na validação de entrada - e resolva seus problemas de injeção de SQL e XSS. Você pode obter uma cobertura extremamente boa desse tipo de vulnerabilidade.
fonte
O w3af é uma das melhores peças disponíveis para auditoria na Web, e também é FOSS
certifique-se de experimentá-lo
fonte
A vulnerabilidade da web da Acunetix é muito boa, eu a usei e realmente gostei. Você pode verificar o site em busca de XSS, injeção de SQL, sistema de carregamento fraco e muito mais. Aproveite.
fonte