Sugestões para o scanner de vulnerabilidades de aplicativos Web? [fechadas]

Navegue suas respostas
5

Estou procurando uma nova ferramenta para o kit de ferramentas de administração do ol e valorizarei algumas sugestões.

Eu gostaria de fazer alguns testes "automatizados" de vários sites para vulnerabilidades de XSS (cross site scripting), juntamente com a verificação de oportunidades de injeção de SQL. Percebo que uma abordagem de ferramenta automatizada não é necessariamente a única ou a melhor solução, mas espero que isso me dê um bom começo.

Os sites que eu preciso varrer cobrem o intervalo em pilhas de PHP / MySQL para Coldfusion, com alguns ASP clássicos e ASP.NET misturados para uma boa medida.

Quais ferramentas você usaria para verificar vulnerabilidades de aplicativos Web?

(observe que estou me concentrando nos aplicativos da web diretamente, não nos próprios servidores).

    
por Chris_K 26.07.2009 / 19:51

7 respostas

7

Eu tive bons resultados do wapiti - ele verifica seus formulários da web e tenta injeções e ataques XSS contra eles.

Se você tiver tempo, sugiro obter a distribuição backtrack - é um liveCD modificado do ubuntu que foi carregado com nikto, wapiti, openVAS (um fork do nessus) e centenas de outras excelentes ferramentas de auditoria de segurança; Eu usei isso em algumas auditorias e tive bons resultados - definitivamente vale a pena explorar as ferramentas nele.

Veja o nikto guia passo a passo aqui .

    
por 06.05.2015 / 05:38
3

Confira Nikto

    
por 26.07.2009 / 16:04
3

Comece pelo,
A lista dos 10 melhores do Insecure.org - que nos dá o maravilhoso Nmap

Algumas outras coisas que parecem não constar nessa lista,

por 21.01.2013 / 09:15
2

O Proxy Paros é um proxy que pode fazer varreduras com "spidering" e automatizadas.

Este é um pequeno manual para testá-lo:

  • Lauch paros.jar
  • Configure seu proxy do navegador para localhost: 8080
  • Navegue pelas páginas que você deseja analisar
  • Complete a lista com a opção "Analisar - > Aranha ... '
  • Faça uma verificação automática "Analisar - > Verificar tudo '
  • Gerar um relatório 'Relatório - > Último relatório de verificação '

Eu também gosto do w3af que é uma ferramenta mais avançada para análise de aplicativos da web, de maneira semelhante de metasploit, mas para aplicativos da web.

    
por 26.07.2009 / 17:48
1

algumas ferramentas que usei e tive boa sorte são:

  • Proxy de arroto
  • HP WebInspect (custa dinheiro)
  • Google RatProxy (exige que você navegue até o site, mas funciona bem e é gratuito)
  • Fortalecer (não um scanner, mas muito bom em encontrar coisas)
  • Vericode

Eu também vi resultados decentes de Cenzic Hailstrom.

    
por 31.07.2009 / 03:38
0

Eu usaria Selenium ou algo semelhante para escrever alguns testes funcionais que exercitassem o aplicativo da web. Em seguida, configure ratproxy e execute novamente os testes. Ratproxy encontrará XSS, XSRF e um monte de outros tipos de vulnerabilidades.

Você também pode usar o ratproxy sem os testes automatizados para fazer alguns testes manuais. Os testes automatizados só facilitam a execução depois que você acha que consertou os problemas.

    
por 26.07.2009 / 16:56
0

Estou usando a ferramenta on-line gratuita de scanner XSS: texto do link

    
por 25.02.2010 / 22:44

Tags

Por que o Virtual PC sendo empacotado com o Windows 7 é significativo? [fechadas] Guias de cabo para CAT 5e nas vigas?