Есть ли какой-нибудь инструмент, который вы рекомендуете для тестирования безопасности веб-приложений?Какие инструменты вы используете для тестирования безопасности веб-приложений?
Я использовал WebScarab от OWASP, но считаю это немного сложным и громоздким в использовании.
Есть ли еще что-нибудь лучшее, что вы бы предложили использовать?
Вместо WebScarab попробуйте прокси-сервер Fiddler (http://www.fiddlertool.com). Гораздо удобнее.
Помимо этого, «проверка безопасности» является очень широким сроком.
По крайней мере, у вас есть: тестирование
Укрепление для нас хорошо.
HP имеет приложение для тестирования для инъекций SQL называемых Scrawlr.
я предлагаю использовать ручную проверку с помощью простых инструментов Строка поиска как Findstr. Вот большой ресурс ручной проверки безопасности для ASP.NET: http://msdn.microsoft.com/en-us/library/ms998364.aspx Или вы можете перейти прямо к вопросам безопасности, которые ведут свой путь к поиску уязвимостей в системе безопасности: http://msdn.microsoft.com/en-us/library/ms998375.aspx У меня есть резюме методов строки поиска здесь : http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
Я работаю в компании, которая тестирует проникновение в веб-приложение как часть своего бизнеса. Мы используем много разных инструментов. Некоторые из них - один из инструментов Ruby для конкретных проектов или в разработанных структурах или прокси-серверах (снова Ruby). Большинство тестирования проникновения в веб-приложение выполняется с использованием webscarab, burpsuite или paros proxy. У всех есть какая-то функция ведения журнала, достаточное количество мощности и недостаток или два.
Я действительно нашел webscarab самым простым в использовании. Но он не обрабатывает VIEWSTATE или делает много для поиска. Мы действительно нашли данные в VIEWSTATE, которых не должно быть, поэтому, когда мы их видим, мы склонны переключаться на другой прокси. Burpsuite - мой следующий выбор. Он обрабатывает VIEWSTATE, но интерфейс требует многого, и его выход в то время как технически более полный - он сохраняет оригинальные и измененные запросы/ответы - сложнее использовать.
К сожалению, ответ на ваш вопрос несколько сложнее, чем просто хороший прокси. Для этого есть нечто большее, чем просто поднять прокси или сканер и позволить им работать.Человек должен проверять все, что находит инструмент, и есть что-то, кроме человека.
tqbf имеет хорошее объяснение этого here.
Я использую Nikto.
Nikto является открытым исходным кодом (GPL) сканер веб-сервер, который выполняет всесторонние испытания в отношении веб-серверов для нескольких элементов, в том числе более 3500 потенциально опасных файлов/CGIs, версии на более чем 900 серверов, а также версия конкретных задач на более 250 серверов. Объекты сканирования и плагины часто обновляются и могут автоматически обновляться (при желании).
Nikto не разработан как чрезмерно скрытый инструмент. Он проверит веб-сервер в кратчайшие сроки, и это довольно очевидно в файлах журналов. Тем не менее, существует поддержка методов Anti-IDS от LibWhisker, если вы хотите попробовать (или проверить свою систему IDS).
Этот список также может помочь: Top 10 Web Vulnerability Scanners
Это все для тестирования пера веб-приложений
Вы можете использовать Парос или Netsparker для тестирования безопасности. Следующий URL-адрес может помочь найти некоторые инструменты для тестирования безопасности:
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/