Инструменты для проверки распространенных уязвимостей?

Существуют ли какие-либо хорошие инструменты (настольные или онлайн), которые позволяют вам проверить, есть ли на вашем сайте общие уязвимости (например, SQL Injection, XSS)?

websecurify - лучшие из найденных мной проектов FOSS.

Возможно, вы захотите проверить Google Skipfish , его чрезвычайно полный и работает из словарей, которые вы поставляете, по умолчанию (стандартная / кухонная раковина) включены.

Это также немного «нежнее», чем другие, которые я использовал, но я не могу найти что-то с теми же функциями, чтобы сравнить результаты с.

Он написан на C, имеет ОЧЕНЬ информативный вывод и чрезвычайно прост в использовании. Я рекомендую запускать его с любого стандартного * nix-сервера или из дома, если у вас быстрое соединение. Он также получил умную систему очереди запросов с обновлениями в реальном времени. На самом деле интересно смотреть, как это работает.

Он сообщает о большинстве уязвимостей, а также о множестве других проблем, о которых вы можете не знать. Это немного педантично, но педантично хорошее качество для такого инструмента.

Скриншот результатов (немного старый):

альтернативный текст http://skipfish.googlecode.com/files/skipfish-screen.png

Существует много хороших автоматических сканеров уязвимостей веб-приложений с открытым исходным кодом.

• w3af
• websecurify
• skipfish
• Netsparker Community Edition (бесплатно с ограниченной функциональностью)
• Nikto

Лучше не полагаться только на один автоматический сканер, каждый из которых имеет свои сильные и слабые стороны, поэтому всегда запускайте несколько из них и сравнивайте результаты. Вы также должны будете проверить на ложные срабатывания и ложные отрицания.

Автоматическое сканирование на наличие уязвимостей имеет свое место и полезно, однако оно должно всегда поддерживаться специалистом по безопасности, который понимает уязвимости, а также может вручную проверить другие. Автоматическое сканирование - хорошее начало и лучше, чем ничего.

У Microsoft есть инструмент для анализа кода, который делает это (вот видео на канале 9 , а здесь ссылка для скачивания v1). В Википедии также есть довольно хороший список инструментов для статического анализа кода .

Google RatProxy также является отличным вариантом для проверки XSS. Поскольку он настроен и работает как прокси-сервер, его легко использовать, поскольку он просто следует вашему браузеру, когда вы тестируете свой сайт в обычном режиме. Он записывает все взаимодействия, POST, GET и т. Д. И может воспроизводить эти взаимодействия, пытаясь внедрить вредоносный контент. Как только он повторяет запросы, он проверит выходные данные на наличие признаков XSS. Кроме того, он ведет учет всего жизненного цикла HTTP, который можно использовать для дальнейшей отладки.

У HP есть Scrawlr для проверки распространенных уязвимостей SQL-инъекций.

Я занимался именно такими вещами в течение долгого времени и согласен, что лучшее решение - использовать опытных тестировщиков для проверки вашего профиля безопасности, однако тестирование этих типов уязвимостей на самом деле довольно легко автоматизировать. Управляя программой для тестирования около 1000 веб-приложений за 6-месячный период, я могу сказать, что выдающимися инструментами для меня являются IBM AppScan и Burp - и для большинства целей Burp легче, быстрее, более настраиваем и намного дешевле!

Очень легко заставить Burp проверять наличие ошибок при проверке входных данных - и решать проблемы с внедрением SQL и XSS. Вы можете получить очень хороший охват этих типов уязвимостей.

w3af - одна из лучших доступных веб-аудиторий, а также FOSS

«w3af - это платформа для атаки и аудита веб-приложений. Цель проекта - создать платформу для поиска и использования уязвимостей веб-приложений, которые легко использовать и расширять».

не забудьте попробовать

Веб-уязвимость Acunetix действительно хороша, я ей пользовался и она мне очень нравится. Вы можете сканировать веб-сайт на наличие XSS, SQL-инъекций, слабой системы загрузки и многого другого. Наслаждайся этим.