Des outils pour vérifier les vulnérabilités communes?
35
Existe-t-il de bons outils (de bureau ou en ligne) vous permettant de vérifier si votre site Web présente des vulnérabilités communes (par exemple, SQL Injection, XSS)?
Gardez simplement à l'esprit que cet outil ne détectera pas toutes les failles de sécurité possibles de votre site. Si j'étais vous, je me concentrerais davantage sur l'apprentissage et l'utilisation des meilleures pratiques de sécurité que sur l'utilisation d'un outil permettant de détecter d'éventuelles failles.
HoLyVieR
1
@HoLyVieR: Il n'y a aucune raison pour que vous ne puissiez pas utiliser les deux. Tout comme les scanners, les développeurs ne sont pas parfaits. Il est possible que vous ou un membre de votre équipe ou le développeur d'un composant tiers ait commis des erreurs. Même si vous parcourez manuellement chaque ligne de code qui entre dans votre application, vous pouvez toujours ignorer quelque chose. Le test du stylet et l'utilisation de scanners de vulnérabilité vous offrent une couche de protection supplémentaire. Cela vaut bien l'effort IMO.
Lèse majesté
Réponses:
10
Websecurify est le meilleur des projets FOSS que j'ai trouvé.
Et si vous vous sentez multilingue, FLOSS signifie la même chose ET est très bien pour vos gencives!
JasonBirch
5
Vous voudrez peut-être consulter le Skipfish de Google , qui est extrêmement complet et fonctionne à partir des dictionnaires que vous fournissez; les paramètres par défaut (évier standard / cuisine) sont inclus.
C’est aussi un peu plus «doux» que d’autres que j’ai utilisé, mais je ne trouve pas les mêmes fonctionnalités pour comparer les résultats.
Son C écrit, a une sortie TRÈS informative et est extrêmement facile à utiliser. Je recommande de l'exécuter depuis n'importe quel serveur * nix standard ou depuis votre domicile si vous avez une connexion rapide. Il dispose également d'un système de file d'attente de demandes intelligent avec des mises à jour en temps réel. C'est vraiment amusant de le voir fonctionner.
Il fait état de la plupart des vulnérabilités, ainsi que de nombreux autres problèmes que vous ignorez peut-être. C'est un peu pédant, mais pédant est une bonne qualité pour un tel outil.
Il est préférable de ne pas compter sur un seul scanner automatisé, chacun ayant ses forces et ses faiblesses, par conséquent, exécutez-en toujours quelques-uns et comparez les résultats. Vous devrez également vérifier les faux positifs et les faux négatifs.
Le balayage automatisé des vulnérabilités a sa place et est utile, mais il doit toujours être sauvegardé par un professionnel de la sécurité qui comprend les vulnérabilités et peut également en rechercher d’autres manuellement. La numérisation automatisée est un bon début et vaut mieux que rien.
RatProxy de Google est également une très bonne option pour vérifier si XSS. Comme il est configuré et fonctionne en tant que proxy, il est facile à utiliser car il suit simplement votre navigateur lorsque vous testez votre site normalement. Il enregistre toutes les interactions, POST, GET, etc., et peut rejouer les interactions qui tentent d'injecter du contenu malveillant. Une fois qu'il répète les demandes, il vérifie la sortie pour détecter les signes de XSS. En outre, il conserve un enregistrement de l'ensemble du cycle de vie HTTP, qui peut être utilisé pour un débogage ultérieur.
Je fais exactement ce genre de chose depuis longtemps et conviendrais que la meilleure solution est d'utiliser des testeurs expérimentés pour vérifier votre profil de sécurité, mais le test de ce type de vulnérabilités est en fait assez facile à automatiser. Ayant géré un programme de test d'environ 1 000 applications Web sur une période de 6 mois, je peux dire que les outils les plus remarquables pour moi sont AppScan et Burp d' IBM - et pour la plupart des objectifs, Burp est plus léger, plus rapide, plus configurable et beaucoup moins cher!
Très facile d’obtenir Burp pour vérifier les échecs de validation des entrées - et régler vos problèmes d’injection SQL et XSS. Vous pouvez obtenir une couverture extrêmement bonne de ce type de vulnérabilités.
w3af est l’une des meilleures pièces disponibles pour l’audit Web, et c’est aussi FOSS
"w3af est une structure d'attaque et d'audit d'applications Web. L'objectif du projet est de créer une structure permettant de rechercher et d'exploiter les vulnérabilités des applications Web, facile à utiliser et à étendre."
La vulnérabilité Web d’Acunetix est vraiment bonne, je l’ai utilisée et je l’aime vraiment beaucoup. Vous pouvez scanner le site Web pour XSS, l’injection SQL, le système de téléchargement faible, etc. Profitez-en.
Je crois cependant que la version gratuite ne recherche que XSS. La version non-libre est comme plusieurs milliers de dollars (plus de 4000 $) par licence, je crois.
Lèse majesté
En fait, j’utilise la version non-libre et le recommande.
ALH
Oui, si vous pouvez vous le permettre, Acunetix WVS ressemble à un très bon produit. Ils ont également de nombreux conseils de sécurité sur leur blog.
Réponses:
Websecurify est le meilleur des projets FOSS que j'ai trouvé.
la source
Vous voudrez peut-être consulter le Skipfish de Google , qui est extrêmement complet et fonctionne à partir des dictionnaires que vous fournissez; les paramètres par défaut (évier standard / cuisine) sont inclus.
C’est aussi un peu plus «doux» que d’autres que j’ai utilisé, mais je ne trouve pas les mêmes fonctionnalités pour comparer les résultats.
Son C écrit, a une sortie TRÈS informative et est extrêmement facile à utiliser. Je recommande de l'exécuter depuis n'importe quel serveur * nix standard ou depuis votre domicile si vous avez une connexion rapide. Il dispose également d'un système de file d'attente de demandes intelligent avec des mises à jour en temps réel. C'est vraiment amusant de le voir fonctionner.
Il fait état de la plupart des vulnérabilités, ainsi que de nombreux autres problèmes que vous ignorez peut-être. C'est un peu pédant, mais pédant est une bonne qualité pour un tel outil.
Capture d'écran des résultats (un peu vieux):
alt text http://skipfish.googlecode.com/files/skipfish-screen.png
la source
Il existe de nombreux bons analyseurs automatisés et automatisés de vulnérabilités pour applications Web.
Il est préférable de ne pas compter sur un seul scanner automatisé, chacun ayant ses forces et ses faiblesses, par conséquent, exécutez-en toujours quelques-uns et comparez les résultats. Vous devrez également vérifier les faux positifs et les faux négatifs.
Le balayage automatisé des vulnérabilités a sa place et est utile, mais il doit toujours être sauvegardé par un professionnel de la sécurité qui comprend les vulnérabilités et peut également en rechercher d’autres manuellement. La numérisation automatisée est un bon début et vaut mieux que rien.
la source
Microsoft dispose d'un outil d'analyse de code qui effectue cette opération (voici une vidéo de Channel 9 et un lien de téléchargement pour la v1). Wikipedia possède également une très bonne liste d' outils d' analyse de code statique .
la source
RatProxy de Google est également une très bonne option pour vérifier si XSS. Comme il est configuré et fonctionne en tant que proxy, il est facile à utiliser car il suit simplement votre navigateur lorsque vous testez votre site normalement. Il enregistre toutes les interactions, POST, GET, etc., et peut rejouer les interactions qui tentent d'injecter du contenu malveillant. Une fois qu'il répète les demandes, il vérifie la sortie pour détecter les signes de XSS. En outre, il conserve un enregistrement de l'ensemble du cycle de vie HTTP, qui peut être utilisé pour un débogage ultérieur.
la source
HP dispose de Scrawlr pour la vérification des vulnérabilités courantes de l’injection SQL.
la source
Je fais exactement ce genre de chose depuis longtemps et conviendrais que la meilleure solution est d'utiliser des testeurs expérimentés pour vérifier votre profil de sécurité, mais le test de ce type de vulnérabilités est en fait assez facile à automatiser. Ayant géré un programme de test d'environ 1 000 applications Web sur une période de 6 mois, je peux dire que les outils les plus remarquables pour moi sont AppScan et Burp d' IBM - et pour la plupart des objectifs, Burp est plus léger, plus rapide, plus configurable et beaucoup moins cher!
Très facile d’obtenir Burp pour vérifier les échecs de validation des entrées - et régler vos problèmes d’injection SQL et XSS. Vous pouvez obtenir une couverture extrêmement bonne de ce type de vulnérabilités.
la source
w3af est l’une des meilleures pièces disponibles pour l’audit Web, et c’est aussi FOSS
assurez-vous d'essayer
la source
La vulnérabilité Web d’Acunetix est vraiment bonne, je l’ai utilisée et je l’aime vraiment beaucoup. Vous pouvez scanner le site Web pour XSS, l’injection SQL, le système de téléchargement faible, etc. Profitez-en.
la source