Ortak güvenlik açıklarını kontrol etmek için araçlar?


35

Web sitenizde ortak güvenlik açıkları olup olmadığını kontrol etmenize izin veren herhangi bir iyi araç (masaüstü veya çevrimiçi) var mı (örneğin, SQL Injection, XSS)?


Yalnızca, aracın sitenizdeki tüm olası güvenlik kusurlarını algılamayacağını unutmayın. Yerinde olsam, en iyi güvenlik uygulamalarını öğrenmeye ve kullanmaya daha çok odaklanacağım, daha sonra olası hataları tespit etmek için bir araç kullanmaya başlayacağım.
HoLyVieR

1
@HoLyVieR: Her ikisini de kullanamamanızın bir nedeni yok. Tıpkı tarayıcılar gibi, geliştiriciler de mükemmel değildir. Siz veya ekibinizdeki birisinin veya bir üçüncü taraf bileşeninin geliştiricisinin hata yapmış olması mümkündür. Uygulamanıza giren her bir kod satırını manuel olarak göz önüne alsanız bile, yine de bir şeyi gözden kaçırabilirsiniz. Kalem testi ve güvenlik açığı tarayıcılarının kullanılması size ekstra bir koruma katmanı sağlar. IMO'nun emeğine değer.
Majesteleri

Yanıtlar:



5

Google’ın Skipfish’ine bakmak isteyebilirsiniz , son derece kapsamlı ve sağladığınız sözlüklerin eserleri, varsayılanlar (standart / mutfak lavabosu) dahildir.

Ayrıca kullandığım diğerlerinden biraz daha 'yumuşak', ancak sonuçları karşılaştırmak için aynı özelliklere sahip bir şey bulamıyorum.

Yazılı C, ÇOK bilgilendirici çıktıya sahiptir ve kullanımı son derece kolaydır. Hızlı bir bağlantınız varsa onu herhangi bir standart * nix sunucusundan veya evden çalıştırmanızı öneririm. Aynı zamanda gerçek zamanlı güncellemeler ile akıllı bir istek kuyruk sistemi var. Çalışmasını izlemek gerçekten eğlenceli.

Çoğu güvenlik açığı ve bunun farkında olamayabileceğiniz birçok sorun hakkında rapor verir. Biraz bilgiçlik taslayan, ancak bilgiçlik taslayan, böyle bir araç için iyi bir kalitedir.

Sonuçların ekran görüntüsü (biraz eski):

alt metin http://skipfish.googlecode.com/files/skipfish-screen.png


Bu gerçekten hoş görünüyor. Bunu kesin olarak kontrol edeceğim.
jessegavin

5

Birçok iyi otomatik açık kaynaklı kara kutu web uygulaması güvenlik açığı tarayıcısı vardır.

  • w3af
  • websecurify
  • skipfish
  • Netsparker Community Edition (Sınırlı işlevsellik ile ücretsiz)
  • Nikto

Tek bir otomatik tarayıcıya güvenmemek en iyisidir, her birinin güçlü ve zayıf yönleri vardır, bu yüzden daima bir kaçını çalıştırın ve sonuçları karşılaştırın. Ayrıca yanlış pozitifleri ve yanlış negatifleri de kontrol etmeniz gerekecektir.

Otomatik güvenlik açığı taraması kendi yerindedir ve kullanışlıdır, ancak güvenlik açıklarını anlayan ve başkalarını da el ile kontrol edebilen bir güvenlik uzmanı tarafından her zaman desteklenmelidir. Otomatik tarama iyi bir başlangıçtır ve hiç olmamasından iyidir.



2

Google’ın RatProxy’si , XSS’i kontrol etmek için de harika bir seçenek. Kurulduğundan ve bir proxy olarak çalıştığından, sitenizi normal bir şekilde test ederken tarayıcınızı takip etmesi nedeniyle kullanımı kolaydır. Tüm etkileşimleri, POST'leri, GET'leri vb. Kaydeder ve kötü niyetli içerik enjekte etmeye çalışan bu etkileşimleri tekrarlayabilir. İstekleri tekrarladıktan sonra, XSS belirtilerinin çıkışını kontrol edecektir. Ek olarak, daha fazla hata ayıklama için kullanılabilecek tüm HTTP yaşam döngüsünün kaydını tutar.



1

Uzun zamandır tam olarak bu tür şeyler yapıyorum ve en iyi çözümün güvenlik profilinizi kontrol etmek için deneyimli test cihazları kullanmak olduğunu kabul ediyorum, ancak bu tür güvenlik açıklarını test etmek aslında oldukça kolay. Yaklaşık 6 ay boyunca yaklaşık 1000 web uygulamasını test edecek bir program yönettiğimde, benim için çarpıcı araçların IBM'in AppScan ve Burp olduğunu söyleyebilirim - ve çoğu amaç için Burp daha hafif, daha hızlı, daha yapılandırılabilir ve çok daha ucuz!

Burp'in giriş doğrulama hatalarını kontrol etmesini sağlamak çok kolaydır - ve SQL enjeksiyon ve XSS sorunlarını çözün. Bu tür güvenlik açıklarını fazlasıyla iyi karşılayabilirsiniz.


1

w3af web denetimi için mevcut en iyi parçalardan biri ve aynı zamanda FOSS

"w3af bir Web Uygulaması Saldırı ve Denetim Çerçevesidir. Projenin amacı, kullanımı ve genişletilmesi kolay web uygulaması güvenlik açıklarını bulmak ve kullanmak için bir çerçeve oluşturmaktır."

bir denediğinizden emin olun


1

Acunetix web güvenlik açığı gerçekten çok iyi, kullandım ve çok beğendim. Web sitesini XSS, SQL enjeksiyonu, zayıf yükleme sistemi ve daha birçok şey için tarayabilirsiniz. Tadını çıkar.


Ben ücretsiz sürüm sadece XSS için tarar inanıyorum. Özgür olmayan versiyonun, lisans başına binlerce dolar (4000 doların üzerinde) gibi olduğuna inanıyorum.
Majesteleri

Aslında, ücretsiz olmayan sürümünü kullanıyorum ve tavsiye ediyorum.
ALH

Evet, karşılayabiliyorsanız, Acunetix WVS gerçekten iyi bir ürün gibi görünüyor. Bloglarında da birçok iyi güvenlik ipucu var.
Lèse majesté
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.