Gibt es ein Tool, das Sie für Sicherheitstests von Webanwendungen empfehlen?Welche Tools verwenden Sie für Sicherheitstests von Webanwendungen?
Ich habe WebScarab von OWASP verwendet, finde es aber ein bisschen schwierig und unhandlich zu verwenden.
Gibt es noch etwas Besseres, das Sie vorschlagen würden?
Statt WebScarab, versuchen Sie Fiddler-Proxy (http://www.fiddlertool.com). Viel bequemer.
Abgesehen davon ist "Sicherheitstests" ein sehr weit gefasster Begriff.
Am allerwenigsten, Sie haben:
Fortify hat es gut für uns gemacht.
HP hat eine App für SQL-Injektionen genannt Scrawlr zu testen.
Ich würde vorschlagen, eine manuelle Inspektion mit einfachen String-Suche-Tools wie findstr verwenden. Hier ist eine große Ressource der manuellen Sicherheitskontrolle für asp.net: http://msdn.microsoft.com/en-us/library/ms998364.aspx Oder Sie können direkt auf die Sicherheitsfragen springen, die den Weg weisen Sicherheitslücken zu finden: http://msdn.microsoft.com/en-us/library/ms998375.aspx ich eine Zusammenfassung von String-Suchtechniken haben hier : http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
Ich arbeite für ein Unternehmen, das Penetration Testing Web-App als Teil seines Geschäfts tut. Wir benutzen viele verschiedene Werkzeuge. Einige sind One-Off-Tools in Ruby für bestimmte Projekte oder in Haus entwickelten Frameworks oder Proxies (wieder Ruby). Die meisten unserer Penetrationstests für Web-Apps werden mit webscarab, burpsuite oder paros proxy durchgeführt. Sie alle haben eine Art von Logging-Funktionalität, eine ordentliche Menge an Energie und ein oder zwei Nachteile.
Ich habe tatsächlich WebScarab gefunden, um die einfachste zu verwenden. Aber es behandelt nicht VIEWSTATE oder tut viel für die Suche. Wir haben tatsächlich Daten in VIEWSTATE gefunden, die nicht vorhanden sein sollten. Wenn wir sie also sehen, wechseln wir normalerweise zu einem anderen Proxy. Burpsuite ist meine nächste Wahl. Es geht zwar um VIEWSTATE, aber die Oberfläche ist sehr gewöhnungsbedürftig und die Ausgabe ist zwar technisch vollständiger, aber die ursprünglichen und geänderten Anforderungen/Antworten bleiben schwerer zu verwenden.
Leider ist die Antwort auf Ihre Frage etwas komplizierter als nur ein guter Proxy. Es gibt mehr, als nur einen Proxy oder einen Scanner aufzunehmen und sie laufen zu lassen.Eine Person muss alles überprüfen, das das Werkzeug findet, und es gibt etwas, das nichts findet, das eine Person findet.
tqbf hat eine gute Erklärung dieser here.
Ich verwende Nikto.
Nikto ist ein Open Source (GPL) Web-Server-Scanner, die umfassenden Tests gegen Web-Server für mehrere Elemente durchführt, über 3500 einschließlich potenziell gefährliche Dateien/CGIs, Versionen auf mehr als 900 Servern und spezifische Version Problemen auf über 250 Server. Scanelemente und Plugins werden häufig aktualisiert und können (falls gewünscht) automatisch aktualisiert werden.
Nikto ist nicht als übermäßig heimliches Werkzeug konzipiert. Es wird einen Webserver in der kürzest möglichen Zeit testen, und es ist ziemlich offensichtlich in Protokolldateien. Es gibt jedoch Unterstützung für die Anti-IDS-Methoden von LibWhisker, falls Sie es ausprobieren (oder Ihr IDS-System testen) wollen.
Diese Liste könnte auch helfen: Top 10 Web Vulnerability Scanners
Diese sind alle für den Stift Testen von Web-Anwendungen
Sie können mit Paros oder Netsparker für Sicherheitstests. Die folgende URL kann dabei helfen, einige Sicherheitstools zu finden:
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/