security - ver - ¿Qué herramientas usas para las pruebas de seguridad de aplicaciones web?
herramientas de seguridad del navegador para ver si está en una web segura (8)
¿Hay alguna herramienta que recomiende para las pruebas de seguridad de las aplicaciones web?
He usado WebScarab de OWASP, pero me resulta un poco difícil y difícil de usar.
¿Hay alguna otra cosa mejor que sugieras usar?
Yo uso Nikto .
Nikto es un escáner de servidor web de código abierto (GPL) que realiza pruebas exhaustivas contra servidores web para varios elementos, incluidos más de 3500 archivos / CGI potencialmente peligrosos, versiones en más de 900 servidores y problemas específicos de la versión en más de 250 servidores. Los elementos de escaneo y los complementos se actualizan con frecuencia y se pueden actualizar automáticamente (si se desea).
Nikto no está diseñado como una herramienta demasiado sigilosa. Probará un servidor web en el período de tiempo más corto posible, y es bastante obvio en los archivos de registro. Sin embargo, hay soporte para los métodos anti-IDS de LibWhisker en caso de que quiera probarlo (o probar su sistema IDS).
Esta lista también podría ayudar: Top 10 Scanners de vulnerabilidad web
En lugar de WebScarab, prueba el Fiddler proxy ( http://www.fiddlertool.com ). Mucho más cómodo.
Aparte de eso, "pruebas de seguridad" es un término muy amplio.
Por lo menos, tienes:
- Pruebas de penetración: utilizo Appscan, muchas otras.
- Revisión de código fuente / Análisis estático - Fortify es considerado uno de los mejores, me enamoré de Checkmarx (pero requiere un tipo de seguridad) ... Más información sobre tu tecnología / idioma específico te ayudaría a obtener respuestas más específicas.
- Existen otros tipos de "pruebas de seguridad", pero no estoy familiarizado con otras herramientas automáticas para esos tipos.
- De acuerdo con el último punto, y con pruebas más avanzadas de los dos primeros tipos (PT / CR), las pruebas manuales realizadas por un experto son realmente las mejores (si no las más rentables).
Fortify nos ha ido bien.
HP tiene una aplicación para probar inyecciones de SQL llamada Scrawlr.
Sugiero usar la inspección manual con herramientas simples de búsqueda de cadenas como findstr. Aquí hay un gran recurso de inspección de seguridad manual para asp.net: http://msdn.microsoft.com/en-us/library/ms998364.aspx O puede ir directamente a las preguntas de seguridad que lo guían para encontrar vulnerabilidades de seguridad : http://msdn.microsoft.com/en-us/library/ms998375.aspx Tengo un resumen de las técnicas de búsqueda de cadenas aquí: http://blogs.msdn.com/ace_team/archive/2008/07/ 24 / security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
Estos son todos para pruebas de pluma de aplicaciones web
- curl - herramienta de línea de comandos para explorar
- nikto / wikto - escáner para vulns
- w3af - He oído grandes cosas que no he probado mucho
- sqlmap - inyección automatizada de sql
- WebDeveloper y Firebug: extensiones de Firefox
- Twill and Selenium con sus propios casos de prueba http://ha.ckers.org/xss.html
Puede usar Paros o Netsparker para las pruebas de seguridad. La siguiente URL puede ayudarlo a encontrar algunas herramientas de prueba de seguridad:
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/
Trabajo para una empresa que hace pruebas de penetración de aplicaciones web como parte de su negocio. Usamos muchas herramientas diferentes. Algunas son herramientas únicas en Ruby para proyectos específicos, o en marcos desarrollados por la casa o proxies (nuevamente Ruby). La mayoría de las pruebas de penetración de nuestra aplicación web se realizan utilizando webscarab, burpsuite o paros proxy. Todos ellos tienen algún tipo de funcionalidad de registro, una cantidad decente de potencia y una desventaja o dos.
De hecho, he descubierto que webscarab es el más fácil de usar. Sin embargo, no maneja VIEWSTATE o hace mucho por buscar. De hecho, hemos encontrado datos en VIEWSTATE que no deberían estar allí, por lo que cada vez que los vemos, tendemos a cambiar a un proxy diferente. Burpsuite es mi próxima elección. Maneja VIEWSTATE, pero la interfaz requiere mucho tiempo para acostumbrarse y su salida, mientras que técnicamente es más completa (conserva las solicitudes / respuestas originales y modificadas) y es más difícil de usar.
Desafortunadamente, la respuesta a su pregunta es un poco más complicada que solo un buen proxy. Hay mucho más que simplemente tomar un proxy o un escáner y dejarlos funcionar. Una persona tiene que verificar cualquier cosa que encuentre la herramienta y hay cosas que una persona encontrará.
tqbf tiene una buena explicación de esto aquí .