it-swarm-id.com

Alat untuk memeriksa kerentanan umum?

Adakah alat yang bagus (desktop atau online) yang memungkinkan Anda memeriksa apakah situs web Anda memiliki kerentanan yang sama (mis. SQL Injection, XSS)?

35
jessegavin

websecurify adalah proyek FOSS terbaik yang saya temukan.

10
corymathews

Anda mungkin ingin memeriksa Google Skipfish , ini sangat komprehensif dan berfungsi dari kamus yang Anda berikan, standarnya (standar/wastafel dapur) disertakan.

Ini juga sedikit lebih 'lembut' daripada yang saya gunakan, tetapi saya tidak dapat menemukan sesuatu dengan fitur yang sama untuk membandingkan hasil.

C tertulis, memiliki output SANGAT informatif dan sangat mudah digunakan. Saya sarankan menjalankannya dari server * nix standar, atau dari rumah jika Anda memiliki koneksi cepat. Ini juga mendapat sistem antrian permintaan pintar dengan pembaruan waktu nyata. Sebenarnya menyenangkan melihatnya bekerja.

Ini melaporkan sebagian besar kerentanan, ditambah banyak masalah lain yang mungkin tidak Anda ketahui. Agak pedantic, tapi pedantic adalah kualitas yang bagus untuk alat seperti itu.

Tangkapan layar hasil (agak lama):

alt teks http://skipfish.googlecode.com/files/skipfish-screen.png

5
Tim Post

Ada banyak pemindai kerentanan aplikasi web open source kotak hitam otomatis baik yang bagus.

  • w3af
  • websecurify
  • skipfish
  • Edisi Komunitas Netsparker (Gratis dengan fungsi terbatas)
  • Nikto

Yang terbaik adalah tidak hanya mengandalkan satu pemindai otomatis, masing-masing memiliki kekuatan dan kelemahannya, jadi selalu jalankan beberapa dari mereka dan bandingkan hasilnya. Anda juga harus memeriksa positif palsu dan negatif palsu.

Pemindaian kerentanan otomatis memiliki tempatnya dan berguna namun harus selalu didukung oleh profesional keamanan yang memahami kerentanan dan juga dapat memeriksa yang lebih lanjut secara manual. Pemindaian otomatis adalah awal yang baik dan lebih baik daripada tidak sama sekali.

5
ryan dewhurst

Microsoft memiliki Alat Analisis Kode yang melakukan ini (di sini adalah video Channel 9 di atasnya, dan di sini adalah tautan unduhan untuk v1). Wikipedia juga memiliki daftar yang cukup bagus analisis kode statis alat.

2
Larry Smithmier

Google RatProxy juga merupakan opsi yang sangat bagus untuk memeriksa XSS. Karena disetel dan beroperasi sebagai proxy, mudah digunakan, karena cukup mengikuti peramban saat Anda menguji situs secara normal. Ini merekam semua interaksi, POST, MENDAPATKAN, dll, dan dapat memutar ulang interaksi yang mencoba menyuntikkan konten berbahaya. Setelah itu mengulang permintaan, itu akan memeriksa output untuk tanda-tanda XSS. Selain itu, ia menyimpan catatan seluruh siklus hidup HTTP, yang dapat digunakan untuk debugging lebih lanjut.

2
Chris Henry

HP memiliki Scrawlr untuk memeriksa kerentanan SQL Injection yang umum.

1
plntxt

Saya telah melakukan hal semacam ini sejak lama, dan akan setuju bahwa solusi terbaik adalah menggunakan penguji berpengalaman untuk memeriksa profil keamanan Anda, namun pengujian untuk jenis kerentanan ini sebenarnya cukup mudah untuk diotomatisasi. Setelah mengelola sebuah program untuk menguji sekitar 1000 aplikasi web selama periode 6 bulan, saya dapat mengatakan alat yang menonjol bagi saya adalah AppScan IBM dan Burp - dan untuk sebagian besar tujuan Burp adalah lebih ringan, lebih cepat, lebih dapat dikonfigurasi, dan jauh lebih murah!

Sangat mudah untuk mendapatkan Burp untuk memeriksa kegagalan validasi input - dan menyelesaikan masalah injeksi SQL dan XSS Anda. Anda bisa mendapatkan cakupan yang sangat baik dari jenis kerentanan ini.

1
Rory Alsop

Kerentanan web Acunetix benar-benar baik, saya telah menggunakannya dan sangat menyukainya. Anda dapat memindai situs web untuk XSS, injeksi SQL, sistem unggah yang lemah, dan banyak lagi. Bersenang senang lah.

1
ALH

w3af adalah salah satu karya terbaik yang tersedia untuk audit web, dan juga FOSS

"w3af adalah Serangan Aplikasi Web dan Kerangka Audit. Tujuan proyek adalah untuk membuat kerangka kerja untuk menemukan dan mengeksploitasi kerentanan aplikasi web yang mudah digunakan dan diperluas."

pastikan untuk mencobanya

1
pootzko