it-swarm-id.com

Alat apa yang tersedia untuk menilai keamanan aplikasi web?

Alat apa yang tersedia untuk menilai keamanan aplikasi web?

Harap berikan deskripsi kecil tentang apa yang dilakukan alat ini.

Perbarui: Lebih khusus, saya mencari alat yang menganggap tidak ada akses ke kode sumber (kotak hitam).

63
Olivier Lalonde

ada sejumlah besar aplikasi yang dapat digunakan dalam penilaian aplikasi web. Satu hal yang perlu dipertimbangkan adalah alat apa yang Anda cari. Beberapa dari mereka lebih baik digunakan bersamaan dengan tes manual, di mana yang lain lebih dirancang untuk staf TI spesialis non-keamanan sebagai alat pemindaian "kotak hitam" yang lebih banyak.

Selain itu ada sejumlah besar skrip dan alat poin yang dapat digunakan untuk menilai bidang keamanan aplikasi web tertentu.

Beberapa favorit saya

Burp suite - http://www.portswigger.net . Alat gratis dan komersial. Sangat baik untuk pengujian manual dan memiliki kemampuan pemindai yang baik juga. Penguji aplikasi web profesional yang saya tahu, sebagian besar menggunakan ini.

W3af - http://w3af.org/ - Alat pemindaian sumber terbuka, tampaknya sedang berkembang sedikit saat ini, terutama berfokus pada sisi pemindaian otomatis, masih memerlukan sedikit pengetahuan untuk digunakan secara efektif.

Di sisi pemindaian murni ada sejumlah alat komersial yang tersedia.

Netsparker - http://www.mavitunasecurity.com/netsparker/

IBM AppScan - http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__

Cenzic Hailstorm - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider - http://www.ntobjectives.com/ntospider

29
Rory McCune

Tas alat pilihan saya untuk melakukan pena aplikasi web kotak hitam. tes saat ini:

  • BURP Suite "adalah server proxy pencegat untuk pengujian keamanan aplikasi web. Ini beroperasi sebagai man-in-the-middle antara browser Anda dan aplikasi target"
  • Fiddler alat proxy lain "fiddler memungkinkan Anda untuk memeriksa semua lalu lintas HTTP (S), mengatur breakpoints, dan" mengutak-atik "dengan data yang masuk atau keluar"
  • Fiddler addon x5s - x5s bertujuan untuk membantu penguji penetrasi dalam menemukan kerentanan skrip lintas situs.
  • Fiddler addo pengamat n - Watcher adalah alat analisis pasif runtime untuk aplikasi Web.

Alat-alat di atas memerlukan keakraban untuk menggunakan dengan kekuatan penuh dan paling baik digunakan dengan cara semi-otomatis (mis. Pilih formulir web tertentu yang ingin Anda uji, setup "serangan" berjalan, kemudian tinjau hasil dan tunjukkan kerentanan atau poin untuk menguji lebih)

Pemindai otomatis untuk menangkap buah yang tergantung rendah dan untuk mendapatkan cakupan pengujian yang luas:

Mungkin AppScan atau WebInpsect jika saya memiliki akses ke lisensi (alat ini mahal)

15
Tate Hansen

Sulit untuk tetap memperbarui daftar ini. Menurut pendapat saya - ini adalah PERTANYAAN BURUK.

Pertanyaan yang benar adalah, "Teknik apa yang tersedia untuk menilai keamanan suatu aplikasi web, bagaimana penerapannya secara umum, dan bagaimana Anda mengikuti perkembangan terbaru untuk teknik dan implementasinya?"

Misalnya, alat yang lebih baik sudah tersedia sejak jawaban ini diajukan: Hatkit, WATOBO, antarmuka web Arachni, dkk.

Masalah utama dengan alat komersial adalah kurangnya kemampuan untuk berinovasi dan meningkatkan. Pada titik ini - hampir semua produk komersial di ruang keamanan aplikasi web telah terhambat oleh perang paten dan kehilangan modal individu dan sosial. Kapan terakhir kali Anda melihat KOMUNITAS di sekitar pemindai aplikasi, firewall aplikasi, atau analisis statis yang berfokus pada keamanan PRODUCT/SERVICE? Jawaban yang benar, ya, adalah "TIDAK PERNAH". Pertarungan ini adalah alat gratis (dan/atau open-source) untuk mencoba berinovasi melewati penghalang 2004 yang diajukan oleh badut-bakat-badut yang bodoh dan tidak berpandangan maju ini yang mengelola pemindai aplikasi, firewall aplikasi, dan keamanan- perusahaan analisis statis terfokus yang sebagian besar sekarang mati.

Secara harfiah, seperti yang terlihat pada 1.4beta dari Burp Suite Professional, ONLY PERSON yang berinovasi di pasar ini adalah PortSwigger. Cigital berinovasi, tetapi mereka telah menghargainya sendiri dari pasar konsumen dan peneliti.

10
atdre

Saya menikmati SkipFish

8
gbr

Dan ada juga OWASP Zed Attack Proxy: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Mengutip dari beranda:

"Zed Attack Proxy (ZAP) adalah alat pengujian penetrasi terintegrasi yang mudah digunakan untuk menemukan kerentanan dalam aplikasi web.

Ini dirancang untuk digunakan oleh orang-orang dengan berbagai pengalaman keamanan dan karena itu sangat ideal untuk pengembang dan penguji fungsional yang baru dalam pengujian penetrasi.

ZAP menyediakan pemindai otomatis dan juga seperangkat alat yang memungkinkan Anda menemukan kerentanan keamanan secara manual. "

Ini adalah garpu Paros dan gratis, open source, dan dipelihara secara aktif.

Psiinon (pimpinan proyek ZAP)

6
Psiinon

Mengapa Anda tidak memberi Arachni coba. Itu ditulis dalam Ruby dan tampaknya sangat menjanjikan.

6
Paolo Perego

Organisasi OWASP adalah organisasi amal nirlaba di seluruh dunia yang berfokus pada peningkatan keamanan perangkat lunak aplikasi dan memiliki beberapa alat yang bagus untuk membantu mendeteksi kerentanan dan melindungi aplikasi .

4
Eric Warriner

Ada juga OWASP WebScarab dan Paros .

Namun, halaman ini berisi daftar yang harus memiliki apa yang Anda inginkan.

4
Jeff

Halaman web Konsorsium Keamanan Aplikasi Web yang tercantum di bawah ini berisi sejumlah alat yang berbeda untuk peran yang berbeda.

http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

Beberapa alat yang saya gunakan secara teratur adalah:

AppScan dan WebInspect: alat analisis otomatis, kuat untuk mengotomatisasi jenis pemeriksaan tertentu tetapi tidak memiliki kemampuan inspeksi yang mendalam. Digunakan dalam mode manual berisi beberapa fitur menarik, tetapi dalam pengalaman saya antarmuka pengguna menghalangi fungsi.

Zed Attack Proxy: proxy pencegat yang merupakan persimpangan dan pembaruan dari Proxy Paros yang kedaluwarsa. Cukup kuat untuk pengujian manual, dan berisi beberapa fitur pengujian otomatis.

Skipfish: pemindai aplikasi web kecepatan tinggi yang menarik; tidak memiliki kedalaman set fitur pemindai aplikasi komersial, tetapi tidak pernah mengklaim memilikinya. Itu tidak mendukung fitur pemindaian canggih seperti otentikasi aplikasi, tetapi memiliki kemampuan fuzzing yang kuat untuk jenis cacat tertentu.

4
ygjb

Nessus benar-benar buruk untuk fuzzing aplikasi web. Dunia open source dapat menawarkan Wapiti , Skipfish dan w3af (agak rusak). Acunetix adalah produk komersial yang bagus dengan harga yang wajar. NTOSpider adalah salah satu alat fuzzing aplikasi web, tetapi harganya $ 10.000 + dan Anda yang pertama kali lahir. Sitewatch memiliki layanan gratis yang patut untuk dicoba.

4
rook

Packet Storm memiliki arsip pemindai yang luas:

http://packetstormsecurity.org/files/tags/scanner/

2
user1454

Karena tidak ada yang menyebutkannya, insecure.orgs 's sectools.org daftar adalah titik awal yang bagus untuk sumber daya aplikasi secara umum, terutama bagi yang relatif baru terlibat aktif dalam keamanan TI terkait jaringan. Jika Anda belum memeriksanya, saya benar-benar akan merekomendasikan melihat daftar Top 100 mereka untuk membiasakan diri dengan beberapa alat (terutama alat serangan) yang ada di luar sana. Mengingat peringatan yang telah disebutkan (dan yang lainnya berasumsi), inilah halaman untuk 10 Pemindai Kerentanan Web Teratas mereka .

2
jgbelacqua

Anda mungkin ingin melihat ke Burp Suite juga. Mereka memiliki versi gratis dan berbayar tetapi versi berbayar relatif murah.

2
wickett

Alat favorit saya untuk PCI DSS audit/penilaian dalam hal aplikasi web adalah Fiddler (atau FiddlerCap). Anda dapat memberikan salah satu dari alat ini kepada pemula atau nenek dan mereka akan dapat menemukannya dengan sedikit instruksi.

Anda meminta mereka mengirimi Anda file SAZ (atau file FiddlerCap), yang melibatkan mereka menggunakan dialog simpan setelah menggunakan Internet Explorer untuk menjalankan aplikasi web mereka.

Lalu, Anda dapat melihat lalu lintas HTTP/TLS dan membuat keputusan tentang cara kerja aplikasi, dan cara memproses informasi kartu pembayaran. Plugin Fiddler, Casaba Watche r dapat memproses sesi offline setelah Anda memberikannya beberapa informasi situs (tambahkan domain dan subdomain tingkat atas). Watcher akan melakukan beberapa kegiatan OWASP ASVS, yang dapat Anda petakan kembali ke ASVS dan tinjau. Ini semua dimungkinkan tanpa akses ke aplikasi (mis. Itu bisa di lingkungan QA atau dev). Anda biasanya ingin mendapatkan informasi ini segera setelah pengembang memiliki wifreframe build yang tersedia sebelum aplikasi masuk ke panggung atau produksi.

Jika Anda memiliki akses ke aplikasi web, maka Fiddler juga dapat digunakan lebih lanjut. Saya sarankan memilih bagian mana saja yang memiliki input pengguna dan menjalankan plugin Casaba x5s menentangnya. Konfigurasi x5 agak rumit, tetapi penulis dan orang lain online pasti akan bersedia membantu Anda mengonfigurasinya dan memahami hasilnya. Fiddler memiliki kemampuan untuk memutar ulang permintaan, jadi yang terbaik adalah menggunakan fungsi ini (mis. Memutar ulang satu permintaan sekaligus) alih-alih menjelajahi situs secara langsung dengan Fiddler dan x5 yang dikonfigurasikan untuk dijalankan. Menganalisis hasil tidak serumit konfigurasi, karena tidak mutlak mengharuskan Anda tahu apa-apa tentang HTML atau JavaScript.

Hasil dari 3 alat ini tidak konklusif. Namun, mereka LEBIH konklusif daripada menjalankan aplikasi web scanner atau alat keamanan - komersial, $ 500 ribu/tahun, atau tidak. Saya tidak merekomendasikan NTOSpider, Acunetix, Netsparker, Hailstorm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Gratis/Profesional, atau "pemindai/alat" lain untuk PCI DSS audit atau pekerjaan penilaian.

Apa yang Anda butuhkan setelah dasar-dasarnya adalah menyewa dan bekerja dengan perusahaan konsultan keamanan aplikasi yang berspesialisasi dalam penilaian semacam ini. Sangat mungkin bahwa mereka memiliki alat sendiri, dikembangkan di rumah, bahwa mereka tidak mau berbagi atau menjual.

Mereka akan menginginkan akses ke salinan kode sumber yang dapat dibangun dari aplikasi web. Yang terbaik adalah memberikan file vmdk/OVF/VHD kepada mereka yang menyertakan salinan pengembang dari IDE dan/atau server build dengan build yang berfungsi, termasuk semua dependensi dan SDK. Mereka kemudian dapat memberikan konfigurasi yang diperlukan dan rekomendasi lainnya ketika aplikasi masuk ke panggung atau produksi.

2
atdre

Sementara cukup lama (ketinggalan zaman?) Wapiti adalah pilihan bebas lain: http://wapiti.sourceforge.net/

1
Ben Scobie

anda harus menggabungkan beberapa alat bersama-sama untuk mendapatkan hasil yang baik dan Anda juga harus menganiaya situs web Anda pada (tes manual) dan metode manual lebih baik karena tidak ada alat komersial yang memahami logika bisnis, jadi saya sarankan alat berikut:

untuk alat otomatis saya pikir acuentix, netsparker, bersendawa suite, websecurify google baik untuk digunakan dan Anda dapat menguji aplikasi web Anda dengan lebih dari mereka.

untuk metode manual Anda harus mempelajari 10 OWASP teratas untuk mengetahui tentang kerentanan aplikasi web umum dan setelah itu Anda harus mulai menguji situs web.

alat-alat berikut ini akan banyak membantu Anda dalam melakukan tes manual: Proxy Paros untuk mengedit Permintaan/Respons HTTP. fiddler memungkinkan Anda untuk memeriksa lalu lintas, mengatur breakpoints, dan "mengutak-atik" dengan data yang masuk atau keluar.

Ekstensi Firefox (Data Tamper, pengembang web): untuk mengedit Permintaan/Respons HTTP untuk melihat bagaimana reaksi server Anda. Google alat ini dan Anda akan melihat banyak tutorial di luar sana tentang cara menggunakannya

1
P3nT3ster