¿Herramientas para verificar vulnerabilidades comunes?
35
¿Existen buenas herramientas (de escritorio o en línea) que le permitan verificar si su sitio web tiene vulnerabilidades comunes (por ejemplo, Inyección SQL, XSS)?
Solo tenga en cuenta que la herramienta no detectará todas las fallas de seguridad posibles de su sitio. Si yo fuera usted, me concentraría más en aprender y usar la mejor práctica de seguridad en lugar de usar la herramienta para detectar posibles fallas.
HoLyVieR
1
@HoLyVieR: No hay ninguna razón por la que no puedas usar ambos. Al igual que los escáneres, los desarrolladores no son perfectos. Es posible que usted o alguien de su equipo o el desarrollador de un componente de terceros hayan cometido errores. Incluso si analiza manualmente cada línea de código que entra en su aplicación, aún podría pasar por alto algo. Las pruebas de lápiz y el uso de escáneres de vulnerabilidades le brindan una capa adicional de protección. Vale la pena el esfuerzo de la OMI.
Lèse majesté
Respuestas:
10
websecurify es el mejor proyecto de software libre que he encontrado.
Y si te sientes multilingüe, ¡FLOSS significa lo mismo y es ideal para tus encías!
JasonBirch
5
Es posible que desee comprobar hacia fuera de Google Skipfish , sus obras muy amplios y de diccionarios que se proporciona, se incluyen por defecto (tipo P / cocina estándar).
Su también un poco más 'suave' que otros que he utilizado pero no puedo encontrar algo con las mismas características para comparar los resultados con.
Su C escrita, tiene una salida muy informativo y es extremadamente fácil de usar. Recomiendo ejecutar desde cualquier servidor estándar * nix, o desde su casa si usted tiene una conexión rápida. Su también tiene un sistema de colas de solicitudes inteligente con actualizaciones en tiempo real. En realidad es divertido de ver que el trabajo.
Da cuenta de la mayoría de las vulnerabilidades, además de un montón de otros problemas que no se puede tener en cuenta. Es un poco pedante, pero pedante es una buena calidad de herramienta de este tipo a.
Captura de pantalla de resultados (un poco viejo):
Es mejor no confiar en un solo escáner automático, cada uno tiene sus puntos fuertes y débiles, por lo que siempre debe ejecutar algunos de ellos y comparar los resultados. También tendrá que verificar falsos positivos y falsos negativos.
El escaneo automatizado de vulnerabilidades tiene su lugar y es útil, sin embargo, siempre debe contar con el respaldo de un profesional de seguridad que comprenda las vulnerabilidades y también pueda buscar otras manualmente. Sin embargo, el escaneo automático es un buen comienzo y mejor que nada.
RatProxy de Google también es una excelente opción para verificar XSS. Dado que está configurado y funciona como un proxy, es fácil de usar, ya que simplemente sigue a su navegador mientras prueba su sitio normalmente. Registra todas las interacciones, POST, GET, etc., y puede reproducir esas interacciones que intentan inyectar contenido malicioso. Una vez que reproduce las solicitudes, verificará en la salida los signos de XSS. Además, mantiene un registro de todo el ciclo de vida HTTP, que se puede utilizar para una mayor depuración.
He estado haciendo exactamente este tipo de cosas durante mucho tiempo, y estaría de acuerdo en que la mejor solución es usar probadores experimentados para verificar su perfil de seguridad, sin embargo, la prueba de este tipo de vulnerabilidades es bastante fácil de automatizar. Después de haber administrado un programa para probar alrededor de 1000 aplicaciones web durante un período de 6 meses, puedo decir que las herramientas más destacadas para mí son AppScan y Burp de IBM, y para la mayoría de los propósitos, ¡Burp es más ligero, más rápido, más configurable y mucho más barato!
Es muy fácil hacer que Burp verifique si hay fallas en la validación de entrada, y resuelva sus problemas de inyección SQL y XSS. Puede obtener una cobertura extremadamente buena de este tipo de vulnerabilidades.
w3af es una de las mejores piezas disponibles para la auditoría web, y también es FOSS
"w3af es un marco de ataque y auditoría de aplicaciones web. El objetivo del proyecto es crear un marco para encontrar y explotar vulnerabilidades de aplicaciones web que sea fácil de usar y ampliar".
La vulnerabilidad de la web de Acunetix es realmente buena, la he usado y me gusta mucho. Puede escanear el sitio web en busca de XSS, inyección de SQL, sistema de carga débil y muchos más. Disfrútala.
Respuestas:
websecurify es el mejor proyecto de software libre que he encontrado.
fuente
Es posible que desee comprobar hacia fuera de Google Skipfish , sus obras muy amplios y de diccionarios que se proporciona, se incluyen por defecto (tipo P / cocina estándar).
Su también un poco más 'suave' que otros que he utilizado pero no puedo encontrar algo con las mismas características para comparar los resultados con.
Su C escrita, tiene una salida muy informativo y es extremadamente fácil de usar. Recomiendo ejecutar desde cualquier servidor estándar * nix, o desde su casa si usted tiene una conexión rápida. Su también tiene un sistema de colas de solicitudes inteligente con actualizaciones en tiempo real. En realidad es divertido de ver que el trabajo.
Da cuenta de la mayoría de las vulnerabilidades, además de un montón de otros problemas que no se puede tener en cuenta. Es un poco pedante, pero pedante es una buena calidad de herramienta de este tipo a.
Captura de pantalla de resultados (un poco viejo):
texto alternativo http://skipfish.googlecode.com/files/skipfish-screen.png
fuente
Hay muchos buenos escáneres automatizados de vulnerabilidad de aplicaciones web de caja negra de código abierto.
Es mejor no confiar en un solo escáner automático, cada uno tiene sus puntos fuertes y débiles, por lo que siempre debe ejecutar algunos de ellos y comparar los resultados. También tendrá que verificar falsos positivos y falsos negativos.
El escaneo automatizado de vulnerabilidades tiene su lugar y es útil, sin embargo, siempre debe contar con el respaldo de un profesional de seguridad que comprenda las vulnerabilidades y también pueda buscar otras manualmente. Sin embargo, el escaneo automático es un buen comienzo y mejor que nada.
fuente
Microsoft tiene una herramienta de análisis de código que hace esto (aquí hay un video del Canal 9 y un enlace de descarga para v1). Wikipedia también tiene una muy buena lista de herramientas de análisis de código estático .
fuente
RatProxy de Google también es una excelente opción para verificar XSS. Dado que está configurado y funciona como un proxy, es fácil de usar, ya que simplemente sigue a su navegador mientras prueba su sitio normalmente. Registra todas las interacciones, POST, GET, etc., y puede reproducir esas interacciones que intentan inyectar contenido malicioso. Una vez que reproduce las solicitudes, verificará en la salida los signos de XSS. Además, mantiene un registro de todo el ciclo de vida HTTP, que se puede utilizar para una mayor depuración.
fuente
HP tiene Scrawlr para verificar vulnerabilidades comunes de inyección SQL.
fuente
He estado haciendo exactamente este tipo de cosas durante mucho tiempo, y estaría de acuerdo en que la mejor solución es usar probadores experimentados para verificar su perfil de seguridad, sin embargo, la prueba de este tipo de vulnerabilidades es bastante fácil de automatizar. Después de haber administrado un programa para probar alrededor de 1000 aplicaciones web durante un período de 6 meses, puedo decir que las herramientas más destacadas para mí son AppScan y Burp de IBM, y para la mayoría de los propósitos, ¡Burp es más ligero, más rápido, más configurable y mucho más barato!
Es muy fácil hacer que Burp verifique si hay fallas en la validación de entrada, y resuelva sus problemas de inyección SQL y XSS. Puede obtener una cobertura extremadamente buena de este tipo de vulnerabilidades.
fuente
w3af es una de las mejores piezas disponibles para la auditoría web, y también es FOSS
asegúrate de probarlo
fuente
La vulnerabilidad de la web de Acunetix es realmente buena, la he usado y me gusta mucho. Puede escanear el sitio web en busca de XSS, inyección de SQL, sistema de carga débil y muchos más. Disfrútala.
fuente