¿Herramientas para verificar vulnerabilidades comunes?

35

¿Existen buenas herramientas (de escritorio o en línea) que le permitan verificar si su sitio web tiene vulnerabilidades comunes (por ejemplo, Inyección SQL, XSS)?

security

— jessegavin
fuente

Solo tenga en cuenta que la herramienta no detectará todas las fallas de seguridad posibles de su sitio. Si yo fuera usted, me concentraría más en aprender y usar la mejor práctica de seguridad en lugar de usar la herramienta para detectar posibles fallas.

— HoLyVieR

1

@HoLyVieR: No hay ninguna razón por la que no puedas usar ambos. Al igual que los escáneres, los desarrolladores no son perfectos. Es posible que usted o alguien de su equipo o el desarrollador de un componente de terceros hayan cometido errores. Incluso si analiza manualmente cada línea de código que entra en su aplicación, aún podría pasar por alto algo. Las pruebas de lápiz y el uso de escáneres de vulnerabilidades le brindan una capa adicional de protección. Vale la pena el esfuerzo de la OMI.

— Lèse majesté

10

websecurify es el mejor proyecto de software libre que he encontrado.

— corymathews
fuente

2

Para aquellos que no saben lo que es software libre (como yo hace 20 segundos), lo que representa Free y Open Source Software ( en.wikipedia.org/wiki/Free_and_open_source_software )

— paperjam

2

Y si te sientes multilingüe, ¡FLOSS significa lo mismo y es ideal para tus encías!

— JasonBirch

5

Es posible que desee comprobar hacia fuera de Google Skipfish , sus obras muy amplios y de diccionarios que se proporciona, se incluyen por defecto (tipo P / cocina estándar).

Su también un poco más 'suave' que otros que he utilizado pero no puedo encontrar algo con las mismas características para comparar los resultados con.

Su C escrita, tiene una salida muy informativo y es extremadamente fácil de usar. Recomiendo ejecutar desde cualquier servidor estándar * nix, o desde su casa si usted tiene una conexión rápida. Su también tiene un sistema de colas de solicitudes inteligente con actualizaciones en tiempo real. En realidad es divertido de ver que el trabajo.

Da cuenta de la mayoría de las vulnerabilidades, además de un montón de otros problemas que no se puede tener en cuenta. Es un poco pedante, pero pedante es una buena calidad de herramienta de este tipo a.

Captura de pantalla de resultados (un poco viejo):

texto alternativo http://skipfish.googlecode.com/files/skipfish-screen.png

— Tim Mensaje
fuente

Eso se ve muy bien. Lo comprobaré con seguridad.

— jessegavin

5

Hay muchos buenos escáneres automatizados de vulnerabilidad de aplicaciones web de caja negra de código abierto.

w3af
websecurify
skipfish
Netsparker Community Edition (Gratis con funcionalidad limitada)
Nikto

Es mejor no confiar en un solo escáner automático, cada uno tiene sus puntos fuertes y débiles, por lo que siempre debe ejecutar algunos de ellos y comparar los resultados. También tendrá que verificar falsos positivos y falsos negativos.

El escaneo automatizado de vulnerabilidades tiene su lugar y es útil, sin embargo, siempre debe contar con el respaldo de un profesional de seguridad que comprenda las vulnerabilidades y también pueda buscar otras manualmente. Sin embargo, el escaneo automático es un buen comienzo y mejor que nada.

— dewhurst de Ryan
fuente

2

Microsoft tiene una herramienta de análisis de código que hace esto (aquí hay un video del Canal 9 y un enlace de descarga para v1). Wikipedia también tiene una muy buena lista de herramientas de análisis de código estático .

— Larry Smithmier
fuente

2

RatProxy de Google también es una excelente opción para verificar XSS. Dado que está configurado y funciona como un proxy, es fácil de usar, ya que simplemente sigue a su navegador mientras prueba su sitio normalmente. Registra todas las interacciones, POST, GET, etc., y puede reproducir esas interacciones que intentan inyectar contenido malicioso. Una vez que reproduce las solicitudes, verificará en la salida los signos de XSS. Además, mantiene un registro de todo el ciclo de vida HTTP, que se puede utilizar para una mayor depuración.

— Chris Henry
fuente

1

HP tiene Scrawlr para verificar vulnerabilidades comunes de inyección SQL.

— plntxt
fuente

1

He estado haciendo exactamente este tipo de cosas durante mucho tiempo, y estaría de acuerdo en que la mejor solución es usar probadores experimentados para verificar su perfil de seguridad, sin embargo, la prueba de este tipo de vulnerabilidades es bastante fácil de automatizar. Después de haber administrado un programa para probar alrededor de 1000 aplicaciones web durante un período de 6 meses, puedo decir que las herramientas más destacadas para mí son AppScan y Burp de IBM, y para la mayoría de los propósitos, ¡Burp es más ligero, más rápido, más configurable y mucho más barato!

Es muy fácil hacer que Burp verifique si hay fallas en la validación de entrada, y resuelva sus problemas de inyección SQL y XSS. Puede obtener una cobertura extremadamente buena de este tipo de vulnerabilidades.

— Rory Alsop
fuente

1

w3af es una de las mejores piezas disponibles para la auditoría web, y también es FOSS

"w3af es un marco de ataque y auditoría de aplicaciones web. El objetivo del proyecto es crear un marco para encontrar y explotar vulnerabilidades de aplicaciones web que sea fácil de usar y ampliar".

asegúrate de probarlo

— pootzko
fuente

1

La vulnerabilidad de la web de Acunetix es realmente buena, la he usado y me gusta mucho. Puede escanear el sitio web en busca de XSS, inyección de SQL, sistema de carga débil y muchos más. Disfrútala.

— ALH
fuente

Sin embargo, creo que la versión gratuita solo busca XSS. La versión no gratuita es como varios miles de dólares (más de $ 4000) por licencia, creo.

— Lèse majesté

Bueno, en realidad uso una versión no gratuita y la recomiendo.

— ALH

Sí, si puede pagarlo, Acunetix WVS parece un producto realmente bueno. También tienen muchos buenos consejos de seguridad en su blog.

— Lèse majesté