Alat untuk memeriksa kerentanan umum?

35

Adakah alat yang bagus (desktop atau online) yang memungkinkan Anda memeriksa apakah situs web Anda memiliki kerentanan umum (mis. SQL Injection, XSS)?

jessegavin
sumber
Ingatlah bahwa alat tersebut tidak akan mendeteksi semua kemungkinan kelemahan keamanan situs Anda. Jika saya adalah Anda, saya akan lebih fokus pada pembelajaran dan menggunakan praktik keamanan terbaik daripada menggunakan alat untuk mendeteksi kemungkinan cacat.
HoLyVieR
1
@HoLyVieR: Tidak ada alasan mengapa Anda tidak dapat menggunakan keduanya. Sama seperti pemindai, pengembang tidak sempurna. Mungkin bagi Anda atau seseorang di tim Anda atau pengembang komponen pihak ke-3 untuk melakukan kesalahan. Bahkan jika Anda secara manual meneliti setiap baris kode yang masuk ke aplikasi Anda, Anda masih bisa mengabaikan sesuatu. Pengujian pena dan penggunaan pemindai kerentanan memberi Anda lapisan perlindungan ekstra. Ini sepadan dengan usaha IMO.
Lèse majesté

Jawaban:

10

websecurify adalah proyek FOSS terbaik yang saya temukan.

corymathews
sumber
2
Bagi mereka yang tidak tahu apa itu FOSS (seperti saya 20 detik yang lalu), itu singkatan dari Perangkat Lunak Bebas dan Sumber Terbuka ( en.wikipedia.org/wiki/Free_and_open_source_software )
Paperjam
2
Dan jika Anda merasa multi-bahasa, FLOSS berarti hal yang sama DAN bagus untuk gusi Anda!
JasonBirch
5

Anda mungkin ingin memeriksa Google's Skipfish , ini sangat komprehensif dan berfungsi dari kamus yang Anda berikan, standarnya (standar / wastafel dapur) disertakan.

Ini juga sedikit lebih 'lembut' daripada yang lain yang saya gunakan, tetapi saya tidak dapat menemukan sesuatu dengan fitur yang sama untuk membandingkan hasil.

C tertulis, memiliki output SANGAT informatif dan sangat mudah digunakan. Saya sarankan menjalankannya dari server * nix standar, atau dari rumah jika Anda memiliki koneksi cepat. Ini juga mendapat sistem antrian permintaan pintar dengan pembaruan waktu nyata. Sebenarnya menyenangkan melihatnya bekerja.

Ini melaporkan sebagian besar kerentanan, ditambah banyak masalah lain yang mungkin tidak Anda ketahui. Agak pedantic, tapi pedantic adalah kualitas yang bagus untuk alat seperti itu.

Tangkapan layar hasil (agak lama):

alt teks http://skipfish.googlecode.com/files/skipfish-screen.png

Tim Post
sumber
Itu terlihat sangat bagus. Aku akan memastikannya.
jessegavin
5

Ada banyak pemindai kerentanan aplikasi web open source kotak hitam otomatis baik yang bagus.

  • w3af
  • websecurify
  • skipfish
  • Edisi Komunitas Netsparker (Gratis dengan fungsi terbatas)
  • Nikto

Yang terbaik adalah tidak hanya mengandalkan satu pemindai otomatis, masing-masing memiliki kekuatan dan kelemahannya, jadi selalu jalankan beberapa dari mereka dan bandingkan hasilnya. Anda juga harus memeriksa positif palsu dan negatif palsu.

Pemindaian kerentanan otomatis memiliki tempatnya dan berguna namun harus selalu didukung oleh profesional keamanan yang memahami kerentanan dan juga dapat memeriksa yang lebih lanjut secara manual. Pemindaian otomatis adalah awal yang baik dan lebih baik daripada tidak sama sekali.

ryan dewhurst
sumber
2

RatProxy Google juga merupakan opsi yang sangat bagus untuk memeriksa XSS. Karena disetel dan beroperasi sebagai proxy, mudah digunakan, karena cukup mengikuti peramban saat Anda menguji situs secara normal. Ini merekam semua interaksi, POST, MENDAPATKAN, dll, dan dapat memutar ulang interaksi yang mencoba menyuntikkan konten berbahaya. Setelah itu mengulang permintaan, itu akan memeriksa output untuk tanda-tanda XSS. Selain itu, ia menyimpan catatan seluruh siklus hidup HTTP, yang dapat digunakan untuk debugging lebih lanjut.

Chris Henry
sumber
1

HP memiliki Scrawlr untuk memeriksa kerentanan SQL Injection yang umum.

plntxt
sumber
1

Saya telah melakukan hal semacam ini sejak lama, dan akan setuju bahwa solusi terbaik adalah menggunakan penguji berpengalaman untuk memeriksa profil keamanan Anda, namun pengujian untuk jenis kerentanan ini sebenarnya cukup mudah untuk diotomatisasi. Setelah mengelola sebuah program untuk menguji sekitar 1000 aplikasi web selama periode 6 bulan, saya dapat mengatakan bahwa alat yang menonjol bagi saya adalah AppScan dan Burp IBM - dan untuk sebagian besar tujuan Burp lebih ringan, lebih cepat, lebih dapat dikonfigurasi, dan jauh lebih murah!

Sangat mudah untuk mendapatkan Burp untuk memeriksa kegagalan validasi input - dan memilah masalah injeksi SQL dan XSS Anda. Anda bisa mendapatkan cakupan yang sangat baik dari jenis kerentanan ini.

Rory Alsop
sumber
1

w3af adalah salah satu bagian terbaik yang tersedia untuk audit web, dan juga FOSS

"w3af adalah Serangan Aplikasi Web dan Kerangka Audit. Tujuan proyek adalah untuk menciptakan kerangka kerja untuk menemukan dan mengeksploitasi kerentanan aplikasi web yang mudah digunakan dan diperluas."

pastikan untuk mencobanya

pootzko
sumber
1

Kerentanan web Acunetix sangat baik, saya telah menggunakannya dan sangat menyukainya. Anda dapat memindai situs web untuk XSS, injeksi SQL, sistem unggah yang lemah, dan banyak lagi. Bersenang senang lah.

ALH
sumber
Saya percaya versi gratis hanya memindai XSS. Versi yang tidak bebas seperti beberapa ribu dolar (lebih dari $ 4000) per lisensi yang saya percaya.
Lèse majesté
Sebenarnya saya menggunakan versi yang tidak bebas, dan merekomendasikannya.
ALH
Ya, jika Anda mampu membelinya, Acunetix WVS terlihat seperti produk yang sangat bagus. Mereka memiliki banyak tips keamanan yang baik di blog mereka juga.
Lèse majesté