Tools, um nach häufigen Sicherheitslücken zu suchen?

35

Gibt es gute Tools (Desktop oder Online), mit denen Sie überprüfen können, ob Ihre Website gemeinsame Schwachstellen aufweist (z. B. SQL Injection, XSS)?

jessegavin
quelle
Beachten Sie jedoch, dass das Tool nicht alle möglichen Sicherheitslücken Ihrer Website erkennt. Wenn ich Sie wäre, würde ich mich mehr auf das Erlernen und Verwenden der besten Sicherheitspraxis konzentrieren als auf die Verwendung eines Tools zum Erkennen möglicher Fehler.
HoLyVieR
1
@HoLyVieR: Es gibt keinen Grund, warum Sie nicht beide verwenden können. Genau wie bei Scannern sind Entwickler nicht perfekt. Es ist möglich, dass Sie oder jemand in Ihrem Team oder der Entwickler einer Komponente von Drittanbietern Fehler gemacht haben. Auch wenn Sie jede einzelne Codezeile in Ihrer Anwendung manuell durchforsten, können Sie dennoch etwas übersehen. Stifttests und die Verwendung von Schwachstellenscannern bieten zusätzlichen Schutz. Es ist die Mühe wert, IMO.
Majestätsbeleidigung

Antworten:

10

websecurify ist das beste FOSS-Projekt, das ich gefunden habe.

Corymathews
quelle
2
Für diejenigen, die nicht wissen, was FOSS ist (wie ich vor 20 Sekunden), steht es für Freie und Open Source Software ( en.wikipedia.org/wiki/Free_and_open_source_software )
Paperjam
2
Und wenn Sie sich mehrsprachig fühlen, bedeutet FLOSS dasselbe UND ist großartig für Ihr Zahnfleisch!
JasonBirch
5

Vielleicht möchten Sie sich Googles Skipfish ansehen , der äußerst umfangreich ist und aus von Ihnen bereitgestellten Wörterbüchern besteht. Standardeinstellungen (Standard / Küchenspüle) sind enthalten.

Es ist auch ein bisschen "sanfter" als andere, die ich verwendet habe, aber ich kann nichts mit den gleichen Funktionen finden, mit denen ich die Ergebnisse vergleichen kann.

Sein geschriebenes C hat SEHR informative Ausgabe und ist extrem einfach zu bedienen. Ich empfehle, es von jedem Standard * nix-Server oder von zu Hause aus auszuführen, wenn Sie eine schnelle Verbindung haben. Es hat auch ein intelligentes Anforderungswarteschlangensystem mit Echtzeitaktualisierungen. Es macht wirklich Spaß zu sehen, wie es funktioniert.

Es werden die meisten Sicherheitslücken sowie viele andere Probleme gemeldet, die Sie möglicherweise nicht kennen. Es ist ein wenig umständlich, aber umständlich ist eine gute Qualität für ein solches Werkzeug.

Screenshot der Ergebnisse (etwas alt):

Alternativtext http://skipfish.googlecode.com/files/skipfish-screen.png

Tim Post
quelle
Das sieht wirklich gut aus. Ich werde das auf jeden Fall überprüfen.
Jessegavin
5

Es gibt viele gute automatisierte Open-Source-Sicherheitslückenscanner für Black-Box-Webanwendungen.

  • w3af
  • websecurify
  • skipfish
  • Netsparker Community Edition (Kostenlos mit eingeschränkter Funktionalität)
  • Nikto

Es ist am besten, sich nicht nur auf einen automatischen Scanner zu verlassen, denn jeder hat seine Stärken und Schwächen. Führen Sie immer ein paar davon aus und vergleichen Sie die Ergebnisse. Sie müssen auch nach falsch positiven und falsch negativen Ergebnissen suchen.

Das automatisierte Scannen von Sicherheitslücken hat seinen Platz und ist nützlich. Es sollte jedoch immer von einem Sicherheitsexperten gesichert werden, der die Sicherheitslücken kennt und auch manuell nach weiteren suchen kann. Automatisiertes Scannen ist ein guter Anfang und besser als gar nichts.

ryan dewhurst
quelle
2

Googles RatProxy ist auch eine großartige Option, um nach XSS zu suchen . Da es als Proxy eingerichtet und betrieben wird, ist es einfach zu verwenden, da es Ihrem Browser einfach folgt, während Sie Ihre Site normal testen. Es zeichnet alle Interaktionen, POSTs, GETs usw. auf und kann diese Interaktionen wiedergeben, die versuchen, schädlichen Inhalt zu injizieren. Sobald die Anforderungen wiedergegeben werden, wird die Ausgabe auf Anzeichen von XSS überprüft. Darüber hinaus wird der gesamte HTTP-Lebenszyklus aufgezeichnet, der für das weitere Debuggen verwendet werden kann.

Chris Henry
quelle
1

HP hat Scrawlr zum Überprüfen allgemeiner SQL Injection-Schwachstellen.

plntxt
quelle
1

Ich mache seit langer Zeit genau so etwas und würde zustimmen, dass die beste Lösung darin besteht, erfahrene Tester zur Überprüfung Ihres Sicherheitsprofils zu verwenden. Das Testen auf diese Art von Sicherheitsanfälligkeiten ist jedoch eigentlich recht einfach zu automatisieren. Nachdem ich ein Programm zum Testen von rund 1000 Webanwendungen über einen Zeitraum von 6 Monaten verwaltet habe, kann ich sagen, dass die herausragenden Tools für mich IBM AppScan und Burp sind - und für die meisten Zwecke ist Burp leichter, schneller, konfigurierbarer und viel billiger!

Es ist sehr einfach, Burp dazu zu bringen, nach Fehlern bei der Eingabevalidierung zu suchen und Ihre SQL-Injection- und XSS-Probleme zu beheben. Sie erhalten eine überaus gute Abdeckung dieser Art von Sicherheitslücken.

Rory Alsop
quelle
1

w3af ist eines der besten verfügbaren Elemente für das Web-Audit, und es ist auch FOSS

"w3af ist ein Web Application Attack and Audit Framework. Ziel des Projekts ist es, ein Framework zu erstellen, mit dem sich Schwachstellen in Webanwendungen leicht finden und ausnutzen lassen."

Probieren Sie es unbedingt aus

Pootzko
quelle
1

Acunetix Web Vulnerability ist wirklich gut, ich habe es benutzt und mag es wirklich. Sie können die Website nach XSS, SQL-Injection, schwachem Upload-System und vielem mehr durchsuchen. Geniesse es.

ALH
quelle
Ich glaube, die kostenlose Version sucht nur nach XSS. Die unfreie Version kostet meiner Meinung nach mehrere tausend Dollar (über 4000 Dollar) pro Lizenz.
Majestätsbeleidigung
Naja, eigentlich benutze ich die unfreie Version und empfehle sie.
ALH
Ja, wenn Sie es sich leisten können, sieht Acunetix WVS wie ein wirklich gutes Produkt aus. Sie haben auch viele gute Sicherheitstipps in ihrem Blog.
Majestätsbeleidigung