Narzędzia do sprawdzania typowych luk w zabezpieczeniach?
35
Czy są jakieś dobre narzędzia (stacjonarne lub online), które pozwalają sprawdzić, czy w Twojej witrynie występują typowe luki (np. SQL Injection, XSS)?
Pamiętaj tylko, że narzędzie nie wykryje wszystkich możliwych błędów bezpieczeństwa witryny. Gdybym był tobą, skupiłbym się bardziej na nauce i stosowaniu najlepszych praktyk bezpieczeństwa, niż na użyciu narzędzia do wykrywania ewentualnych wad.
HoLyVieR
1
@HoLyVieR: Nie ma powodu, dla którego nie można używać obu. Podobnie jak skanery, programiści nie są idealni. Możliwe, że ty, ktoś z twojego zespołu lub twórca komponentu innej firmy popełnił błędy. Nawet jeśli ręcznie porównasz każdy wiersz kodu, który trafia do Twojej aplikacji, nadal możesz coś przeoczyć. Testowanie za pomocą pióra i korzystanie ze skanerów podatności na zagrożenia zapewnia dodatkową warstwę ochrony. Jest to warte wysiłku IMO.
Lèse majesté
Odpowiedzi:
10
websecurify to najlepsze projekty FOSS, jakie znalazłem.
A jeśli czujesz się w wielu językach, FLOSS oznacza to samo ORAZ jest świetne dla twoich dziąseł!
JasonBirch
5
Możesz sprawdzić Googlefish Skipfish , jego niezwykle obszerny i działający na podstawie dostarczonych przez Ciebie słowników, w zestawie znajdują się wartości domyślne (standardowy / zlew kuchenny).
Jest też trochę bardziej „delikatny” niż inne, z których korzystałem, ale nie mogę znaleźć czegoś z tymi samymi funkcjami do porównania wyników.
Jego napisane C ma bardzo pouczające wyniki i jest niezwykle łatwe w użyciu. Zalecam uruchomienie go z dowolnego standardowego serwera * nix lub z domu, jeśli masz szybkie połączenie. Ma również inteligentny system kolejkowania żądań z aktualizacjami w czasie rzeczywistym. Naprawdę fajnie jest oglądać, jak działa.
Raportuje o większości luk w zabezpieczeniach oraz wielu innych problemach, o których możesz nie wiedzieć. Jest trochę pedantyczny, ale pedantyczny jest dobrą jakością dla takiego narzędzia.
Najlepiej nie polegać tylko na jednym zautomatyzowanym skanerze, każdy ma swoje mocne i słabe strony, dlatego zawsze uruchamiaj kilka z nich i porównuj wyniki. Będziesz także musiał sprawdzić, czy nie ma wyników fałszywie dodatnich i fałszywych.
Zautomatyzowane skanowanie w poszukiwaniu luk ma swoje miejsce i jest użyteczne, jednak zawsze powinno być wspierane przez specjalistę ds. Bezpieczeństwa, który rozumie luki w zabezpieczeniach i może również ręcznie sprawdzić, czy nie ma takich dodatkowych. Zautomatyzowane skanowanie to dobry początek i lepsze niż nic.
Google RatProxy to również naprawdę świetna opcja do sprawdzania XSS. Ponieważ jest skonfigurowany i działa jako serwer proxy, jest łatwy w użyciu, ponieważ po prostu podąża za przeglądarką podczas normalnego testowania witryny. Rejestruje wszystkie interakcje, testy POST, GET itp. I może odtworzyć te interakcje próbujące wstrzyknąć złośliwą zawartość. Po ponownym przesłaniu żądań sprawdzi dane wyjściowe pod kątem znaków XSS. Dodatkowo prowadzi rejestr całego cyklu życia HTTP, który można wykorzystać do dalszego debugowania.
Robiłem dokładnie takie rzeczy od dłuższego czasu i zgodzę się, że najlepszym rozwiązaniem jest użycie doświadczonych testerów do sprawdzenia twojego profilu bezpieczeństwa, jednak testowanie tego rodzaju luk jest w rzeczywistości dość łatwe do zautomatyzowania. Po zarządzeniu programem do testowania około 1000 aplikacji internetowych w okresie 6 miesięcy, mogę powiedzieć, że wyróżniającymi się narzędziami są dla mnie AppScan i Burp IBM - i dla większości celów Burp jest lżejszy, szybszy, bardziej konfigurowalny i jest o wiele tańszy!
Bardzo łatwo jest przekonać Burp do sprawdzania błędów sprawdzania poprawności danych wejściowych - i rozwiązać problemy związane z iniekcją SQL i XSS. Możesz uzyskać wyjątkowo dobre pokrycie tego rodzaju luk w zabezpieczeniach.
w3af jest jednym z najlepszych dostępnych elementów do audytu internetowego, a także FOSS
„w3af to platforma do ataków i inspekcji aplikacji internetowych. Celem projektu jest stworzenie platformy do wyszukiwania i wykorzystywania luk w aplikacjach internetowych, która jest łatwa w użyciu i rozszerzalna”.
Luka w zabezpieczeniach Acunetix jest naprawdę dobra. Użyłem jej i bardzo mi się podoba. Możesz przeskanować witrynę w poszukiwaniu XSS, iniekcji SQL, słabego systemu przesyłania i wielu innych. Ciesz się
Uważam jednak, że darmowa wersja skanuje tylko XSS. Uważam, że wersja niewolna kosztuje kilka tysięcy dolarów (ponad 4000 USD) na licencję.
Lèse majesté
Właściwie korzystam z wersji niewolnej i polecam ją.
ALH
Tak, jeśli możesz sobie na to pozwolić, Acunetix WVS wygląda na naprawdę dobry produkt. Na swoim blogu mają również wiele dobrych wskazówek dotyczących bezpieczeństwa.
Odpowiedzi:
websecurify to najlepsze projekty FOSS, jakie znalazłem.
źródło
Możesz sprawdzić Googlefish Skipfish , jego niezwykle obszerny i działający na podstawie dostarczonych przez Ciebie słowników, w zestawie znajdują się wartości domyślne (standardowy / zlew kuchenny).
Jest też trochę bardziej „delikatny” niż inne, z których korzystałem, ale nie mogę znaleźć czegoś z tymi samymi funkcjami do porównania wyników.
Jego napisane C ma bardzo pouczające wyniki i jest niezwykle łatwe w użyciu. Zalecam uruchomienie go z dowolnego standardowego serwera * nix lub z domu, jeśli masz szybkie połączenie. Ma również inteligentny system kolejkowania żądań z aktualizacjami w czasie rzeczywistym. Naprawdę fajnie jest oglądać, jak działa.
Raportuje o większości luk w zabezpieczeniach oraz wielu innych problemach, o których możesz nie wiedzieć. Jest trochę pedantyczny, ale pedantyczny jest dobrą jakością dla takiego narzędzia.
Zrzut ekranu wyników (trochę stary):
alt text http://skipfish.googlecode.com/files/skipfish-screen.png
źródło
Istnieje wiele dobrych zautomatyzowanych skanerów narażonych na ataki aplikacji internetowych typu open source.
Najlepiej nie polegać tylko na jednym zautomatyzowanym skanerze, każdy ma swoje mocne i słabe strony, dlatego zawsze uruchamiaj kilka z nich i porównuj wyniki. Będziesz także musiał sprawdzić, czy nie ma wyników fałszywie dodatnich i fałszywych.
Zautomatyzowane skanowanie w poszukiwaniu luk ma swoje miejsce i jest użyteczne, jednak zawsze powinno być wspierane przez specjalistę ds. Bezpieczeństwa, który rozumie luki w zabezpieczeniach i może również ręcznie sprawdzić, czy nie ma takich dodatkowych. Zautomatyzowane skanowanie to dobry początek i lepsze niż nic.
źródło
Microsoft ma narzędzie do analizy kodu, które to robi (tutaj jest film z kanału 9 , a tutaj jest link do pobrania dla wersji 1). Wikipedia ma również całkiem niezłą listę narzędzi do analizy kodu statycznego .
źródło
Google RatProxy to również naprawdę świetna opcja do sprawdzania XSS. Ponieważ jest skonfigurowany i działa jako serwer proxy, jest łatwy w użyciu, ponieważ po prostu podąża za przeglądarką podczas normalnego testowania witryny. Rejestruje wszystkie interakcje, testy POST, GET itp. I może odtworzyć te interakcje próbujące wstrzyknąć złośliwą zawartość. Po ponownym przesłaniu żądań sprawdzi dane wyjściowe pod kątem znaków XSS. Dodatkowo prowadzi rejestr całego cyklu życia HTTP, który można wykorzystać do dalszego debugowania.
źródło
HP ma Scrawlr do sprawdzania typowych luk w zabezpieczeniach SQL Injection.
źródło
Robiłem dokładnie takie rzeczy od dłuższego czasu i zgodzę się, że najlepszym rozwiązaniem jest użycie doświadczonych testerów do sprawdzenia twojego profilu bezpieczeństwa, jednak testowanie tego rodzaju luk jest w rzeczywistości dość łatwe do zautomatyzowania. Po zarządzeniu programem do testowania około 1000 aplikacji internetowych w okresie 6 miesięcy, mogę powiedzieć, że wyróżniającymi się narzędziami są dla mnie AppScan i Burp IBM - i dla większości celów Burp jest lżejszy, szybszy, bardziej konfigurowalny i jest o wiele tańszy!
Bardzo łatwo jest przekonać Burp do sprawdzania błędów sprawdzania poprawności danych wejściowych - i rozwiązać problemy związane z iniekcją SQL i XSS. Możesz uzyskać wyjątkowo dobre pokrycie tego rodzaju luk w zabezpieczeniach.
źródło
w3af jest jednym z najlepszych dostępnych elementów do audytu internetowego, a także FOSS
koniecznie spróbuj
źródło
Luka w zabezpieczeniach Acunetix jest naprawdę dobra. Użyłem jej i bardzo mi się podoba. Możesz przeskanować witrynę w poszukiwaniu XSS, iniekcji SQL, słabego systemu przesyłania i wielu innych. Ciesz się
źródło