Adakah alat yang bagus (desktop atau online) yang memungkinkan Anda memeriksa apakah situs web Anda memiliki kerentanan umum (mis. SQL Injection, XSS)?
Ingatlah bahwa alat tersebut tidak akan mendeteksi semua kemungkinan kelemahan keamanan situs Anda. Jika saya adalah Anda, saya akan lebih fokus pada pembelajaran dan menggunakan praktik keamanan terbaik daripada menggunakan alat untuk mendeteksi kemungkinan cacat.
HoLyVieR
1
@HoLyVieR: Tidak ada alasan mengapa Anda tidak dapat menggunakan keduanya. Sama seperti pemindai, pengembang tidak sempurna. Mungkin bagi Anda atau seseorang di tim Anda atau pengembang komponen pihak ke-3 untuk melakukan kesalahan. Bahkan jika Anda secara manual meneliti setiap baris kode yang masuk ke aplikasi Anda, Anda masih bisa mengabaikan sesuatu. Pengujian pena dan penggunaan pemindai kerentanan memberi Anda lapisan perlindungan ekstra. Ini sepadan dengan usaha IMO.
Lèse majesté
Jawaban:
10
websecurify adalah proyek FOSS terbaik yang saya temukan.
Dan jika Anda merasa multi-bahasa, FLOSS berarti hal yang sama DAN bagus untuk gusi Anda!
JasonBirch
5
Anda mungkin ingin memeriksa Google's Skipfish , ini sangat komprehensif dan berfungsi dari kamus yang Anda berikan, standarnya (standar / wastafel dapur) disertakan.
Ini juga sedikit lebih 'lembut' daripada yang lain yang saya gunakan, tetapi saya tidak dapat menemukan sesuatu dengan fitur yang sama untuk membandingkan hasil.
C tertulis, memiliki output SANGAT informatif dan sangat mudah digunakan. Saya sarankan menjalankannya dari server * nix standar, atau dari rumah jika Anda memiliki koneksi cepat. Ini juga mendapat sistem antrian permintaan pintar dengan pembaruan waktu nyata. Sebenarnya menyenangkan melihatnya bekerja.
Ini melaporkan sebagian besar kerentanan, ditambah banyak masalah lain yang mungkin tidak Anda ketahui. Agak pedantic, tapi pedantic adalah kualitas yang bagus untuk alat seperti itu.
Yang terbaik adalah tidak hanya mengandalkan satu pemindai otomatis, masing-masing memiliki kekuatan dan kelemahannya, jadi selalu jalankan beberapa dari mereka dan bandingkan hasilnya. Anda juga harus memeriksa positif palsu dan negatif palsu.
Pemindaian kerentanan otomatis memiliki tempatnya dan berguna namun harus selalu didukung oleh profesional keamanan yang memahami kerentanan dan juga dapat memeriksa yang lebih lanjut secara manual. Pemindaian otomatis adalah awal yang baik dan lebih baik daripada tidak sama sekali.
RatProxy Google juga merupakan opsi yang sangat bagus untuk memeriksa XSS. Karena disetel dan beroperasi sebagai proxy, mudah digunakan, karena cukup mengikuti peramban saat Anda menguji situs secara normal. Ini merekam semua interaksi, POST, MENDAPATKAN, dll, dan dapat memutar ulang interaksi yang mencoba menyuntikkan konten berbahaya. Setelah itu mengulang permintaan, itu akan memeriksa output untuk tanda-tanda XSS. Selain itu, ia menyimpan catatan seluruh siklus hidup HTTP, yang dapat digunakan untuk debugging lebih lanjut.
Saya telah melakukan hal semacam ini sejak lama, dan akan setuju bahwa solusi terbaik adalah menggunakan penguji berpengalaman untuk memeriksa profil keamanan Anda, namun pengujian untuk jenis kerentanan ini sebenarnya cukup mudah untuk diotomatisasi. Setelah mengelola sebuah program untuk menguji sekitar 1000 aplikasi web selama periode 6 bulan, saya dapat mengatakan bahwa alat yang menonjol bagi saya adalah AppScan dan Burp IBM - dan untuk sebagian besar tujuan Burp lebih ringan, lebih cepat, lebih dapat dikonfigurasi, dan jauh lebih murah!
Sangat mudah untuk mendapatkan Burp untuk memeriksa kegagalan validasi input - dan memilah masalah injeksi SQL dan XSS Anda. Anda bisa mendapatkan cakupan yang sangat baik dari jenis kerentanan ini.
w3af adalah salah satu bagian terbaik yang tersedia untuk audit web, dan juga FOSS
"w3af adalah Serangan Aplikasi Web dan Kerangka Audit. Tujuan proyek adalah untuk menciptakan kerangka kerja untuk menemukan dan mengeksploitasi kerentanan aplikasi web yang mudah digunakan dan diperluas."
Kerentanan web Acunetix sangat baik, saya telah menggunakannya dan sangat menyukainya. Anda dapat memindai situs web untuk XSS, injeksi SQL, sistem unggah yang lemah, dan banyak lagi. Bersenang senang lah.
Saya percaya versi gratis hanya memindai XSS. Versi yang tidak bebas seperti beberapa ribu dolar (lebih dari $ 4000) per lisensi yang saya percaya.
Lèse majesté
Sebenarnya saya menggunakan versi yang tidak bebas, dan merekomendasikannya.
ALH
Ya, jika Anda mampu membelinya, Acunetix WVS terlihat seperti produk yang sangat bagus. Mereka memiliki banyak tips keamanan yang baik di blog mereka juga.
Jawaban:
websecurify adalah proyek FOSS terbaik yang saya temukan.
sumber
Anda mungkin ingin memeriksa Google's Skipfish , ini sangat komprehensif dan berfungsi dari kamus yang Anda berikan, standarnya (standar / wastafel dapur) disertakan.
Ini juga sedikit lebih 'lembut' daripada yang lain yang saya gunakan, tetapi saya tidak dapat menemukan sesuatu dengan fitur yang sama untuk membandingkan hasil.
C tertulis, memiliki output SANGAT informatif dan sangat mudah digunakan. Saya sarankan menjalankannya dari server * nix standar, atau dari rumah jika Anda memiliki koneksi cepat. Ini juga mendapat sistem antrian permintaan pintar dengan pembaruan waktu nyata. Sebenarnya menyenangkan melihatnya bekerja.
Ini melaporkan sebagian besar kerentanan, ditambah banyak masalah lain yang mungkin tidak Anda ketahui. Agak pedantic, tapi pedantic adalah kualitas yang bagus untuk alat seperti itu.
Tangkapan layar hasil (agak lama):
alt teks http://skipfish.googlecode.com/files/skipfish-screen.png
sumber
Ada banyak pemindai kerentanan aplikasi web open source kotak hitam otomatis baik yang bagus.
Yang terbaik adalah tidak hanya mengandalkan satu pemindai otomatis, masing-masing memiliki kekuatan dan kelemahannya, jadi selalu jalankan beberapa dari mereka dan bandingkan hasilnya. Anda juga harus memeriksa positif palsu dan negatif palsu.
Pemindaian kerentanan otomatis memiliki tempatnya dan berguna namun harus selalu didukung oleh profesional keamanan yang memahami kerentanan dan juga dapat memeriksa yang lebih lanjut secara manual. Pemindaian otomatis adalah awal yang baik dan lebih baik daripada tidak sama sekali.
sumber
Microsoft memiliki Alat Analisis Kode yang melakukan ini (di sini ada video Channel 9 , dan di sini ada tautan unduhan untuk v1). Wikipedia juga memiliki daftar alat analisis kode statis yang cukup bagus .
sumber
RatProxy Google juga merupakan opsi yang sangat bagus untuk memeriksa XSS. Karena disetel dan beroperasi sebagai proxy, mudah digunakan, karena cukup mengikuti peramban saat Anda menguji situs secara normal. Ini merekam semua interaksi, POST, MENDAPATKAN, dll, dan dapat memutar ulang interaksi yang mencoba menyuntikkan konten berbahaya. Setelah itu mengulang permintaan, itu akan memeriksa output untuk tanda-tanda XSS. Selain itu, ia menyimpan catatan seluruh siklus hidup HTTP, yang dapat digunakan untuk debugging lebih lanjut.
sumber
HP memiliki Scrawlr untuk memeriksa kerentanan SQL Injection yang umum.
sumber
Saya telah melakukan hal semacam ini sejak lama, dan akan setuju bahwa solusi terbaik adalah menggunakan penguji berpengalaman untuk memeriksa profil keamanan Anda, namun pengujian untuk jenis kerentanan ini sebenarnya cukup mudah untuk diotomatisasi. Setelah mengelola sebuah program untuk menguji sekitar 1000 aplikasi web selama periode 6 bulan, saya dapat mengatakan bahwa alat yang menonjol bagi saya adalah AppScan dan Burp IBM - dan untuk sebagian besar tujuan Burp lebih ringan, lebih cepat, lebih dapat dikonfigurasi, dan jauh lebih murah!
Sangat mudah untuk mendapatkan Burp untuk memeriksa kegagalan validasi input - dan memilah masalah injeksi SQL dan XSS Anda. Anda bisa mendapatkan cakupan yang sangat baik dari jenis kerentanan ini.
sumber
w3af adalah salah satu bagian terbaik yang tersedia untuk audit web, dan juga FOSS
pastikan untuk mencobanya
sumber
Kerentanan web Acunetix sangat baik, saya telah menggunakannya dan sangat menyukainya. Anda dapat memindai situs web untuk XSS, injeksi SQL, sistem unggah yang lemah, dan banyak lagi. Bersenang senang lah.
sumber