Strumenti per verificare le vulnerabilità comuni?

35

Esistono buoni strumenti (desktop o online) che ti consentono di verificare se il tuo sito Web ha vulnerabilità comuni (ad esempio SQL Injection, XSS)?

security

— jessegavin
fonte

Tieni presente che lo strumento non rileva tutti i possibili difetti di sicurezza del tuo sito. Se fossi in te, mi concentrerei di più sull'apprendimento e sull'uso della migliore pratica di sicurezza piuttosto che sull'uso di uno strumento per rilevare possibili difetti.

— HoLyVieR

1

@HoLyVieR: non c'è motivo per cui non si possano usare entrambi. Proprio come gli scanner, gli sviluppatori non sono perfetti. È possibile che tu o qualcuno del tuo team o lo sviluppatore di un componente di terze parti abbia commesso errori. Anche se analizzi manualmente ogni singola riga di codice che entra nella tua applicazione, potresti comunque trascurare qualcosa. Il test con la penna e l'uso degli scanner delle vulnerabilità offrono un ulteriore livello di protezione. Vale la pena lo sforzo dell'IMO.

— Lèse majesté,

10

websecurify è il miglior progetto FOSS che ho trovato.

— corymathews
fonte

2

Per coloro che non sanno cos'è FOSS (come me 20 secondi fa), sta per Software gratuito e open source ( en.wikipedia.org/wiki/Free_and_open_source_software )

— Paperjam

2

E se ti senti multilingue, FLOSS significa la stessa cosa ed è ottimo per le tue gengive!

— JasonBirch,

5

Potresti voler controllare Skipfish di Google , è estremamente completo e funziona dai dizionari che fornisci, sono inclusi i valori predefiniti (standard / lavello della cucina).

È anche un po 'più "gentile" rispetto ad altri che ho usato, ma non riesco a trovare qualcosa con le stesse funzionalità con cui confrontare i risultati.

La sua scritta C ha un output MOLTO informativo ed è estremamente facile da usare. Ti consiglio di eseguirlo da qualsiasi server * nix standard o da casa se hai una connessione veloce. Ha anche un sistema di coda richieste intelligente con aggiornamenti in tempo reale. È davvero divertente vederlo funzionare.

Segnala la maggior parte delle vulnerabilità, oltre a molti altri problemi di cui potresti non essere a conoscenza. È un po 'pedante, ma pedante è una buona qualità per un tale strumento.

Schermata dei risultati (un po 'vecchia):

testo alternativo http://skipfish.googlecode.com/files/skipfish-screen.png

— Tim Post
fonte

Sembra davvero carino. Lo controllerò di sicuro.

— jessegavin,

5

Esistono molti buoni scanner automatici di vulnerabilità delle applicazioni Web open source open box.

w3af
websecurify
Skipfish
Netsparker Community Edition (gratuito con funzionalità limitate)
Nikto

È meglio non fare affidamento su un solo scanner automatico, ognuno ha i suoi punti di forza e di debolezza, quindi esegui sempre alcuni di essi e confronta i risultati. Dovrai anche verificare la presenza di falsi positivi e falsi negativi.

La scansione automatica delle vulnerabilità ha il suo posto ed è utile, tuttavia dovrebbe sempre essere supportata da un professionista della sicurezza che capisce le vulnerabilità e può anche verificarne altre manualmente. La scansione automatica è un buon inizio e meglio di niente però.

— ryan dewhurst
fonte

2

Microsoft ha uno strumento di analisi del codice che lo fa (qui c'è un video di Channel 9 su di esso, ed ecco un link per il download per v1). Wikipedia ha anche un buon elenco di strumenti di analisi del codice statico .

— Larry Smithmier
fonte

2

RatProxy di Google è anche un'ottima opzione per controllare XSS. Dal momento che è impostato e funziona come proxy, è facile da usare, poiché segue semplicemente il tuo browser mentre collaudi il tuo sito normalmente. Registra tutte le interazioni, i POST, i GET, ecc. E può riprodurre quelle interazioni nel tentativo di iniettare contenuti dannosi. Una volta ripetute le richieste, controllerà l'output per i segni di XSS. Inoltre, mantiene un registro dell'intero ciclo di vita HTTP, che può essere utilizzato per un ulteriore debug.

— Chris Henry
fonte

1

HP ha Scrawlr per il controllo delle vulnerabilità comuni di SQL Injection.

— plntxt
fonte

1

Ho fatto esattamente questo genere di cose per molto tempo e sarei d'accordo sul fatto che la soluzione migliore sia usare tester esperti per controllare il tuo profilo di sicurezza, tuttavia i test per questi tipi di vulnerabilità sono in realtà abbastanza facili da automatizzare. Dopo aver gestito un programma per testare circa 1000 applicazioni Web in un periodo di 6 mesi, posso affermare che gli strumenti migliori per me sono AppScan e Burp di IBM - e per la maggior parte degli scopi Burp è più leggero, più veloce, più configurabile ed è molto più economico!

Burp è molto facile da verificare per errori di convalida dell'input e per risolvere i problemi di iniezione SQL e XSS. È possibile ottenere una copertura estremamente buona di questo tipo di vulnerabilità.

— Rory Alsop
fonte

1

w3af è uno dei migliori pezzi disponibili per l'audit web ed è anche FOSS

"w3af è un framework per gli attacchi e gli audit delle applicazioni Web. L'obiettivo del progetto è quello di creare un framework per trovare e sfruttare le vulnerabilità delle applicazioni Web che sia facile da usare ed estendere."

assicurati di provarlo

— pootzko
fonte

1

La vulnerabilità del web Acunetix è davvero buona, l'ho usata e mi piace davvero. È possibile eseguire la scansione del sito Web per XSS, iniezione SQL, sistema di caricamento debole e molti altri. Divertirsi.

— ALH
fonte

Credo che la versione gratuita scansiona solo XSS. La versione non gratuita è come diverse migliaia di dollari (oltre $ 4000) per licenza credo.

— Lèse majesté,

Bene, in realtà uso una versione non gratuita e la consiglio.

— ALH,

Sì, se te lo puoi permettere, Acunetix WVS sembra davvero un buon prodotto. Hanno anche molti buoni consigli di sicurezza sul loro blog.

— Lèse majesté,