it-swarm-vi.com

Những công cụ nào có sẵn để đánh giá tính bảo mật của ứng dụng web?

Những công cụ nào có sẵn để đánh giá tính bảo mật của ứng dụng web?

Vui lòng cung cấp một mô tả nhỏ về những gì công cụ làm.

Cập nhật : Cụ thể hơn, tôi đang tìm kiếm các công cụ cho rằng không có quyền truy cập vào mã nguồn (hộp đen).

63
Olivier Lalonde

có một số lượng lớn các ứng dụng có thể được sử dụng trong các đánh giá ứng dụng web. Một điều cần xem xét là loại công cụ bạn đang tìm kiếm. Một số trong số chúng được sử dụng tốt hơn cùng với kiểm tra thủ công, trong đó một số khác được thiết kế cho nhân viên CNTT chuyên gia không bảo mật như nhiều công cụ quét "hộp đen" hơn.

Trên hết, có một loạt các tập lệnh và công cụ điểm có thể được sử dụng để đánh giá các lĩnh vực bảo mật ứng dụng web cụ thể.

Một số yêu thích của tôi

Bộ Burp - http://www.portswigger.net . Công cụ miễn phí và thương mại. Tuyệt vời bổ sung để kiểm tra thủ công và có khả năng quét tốt. Trong số những người kiểm tra ứng dụng web chuyên nghiệp mà tôi biết, hầu hết đều sử dụng cái này.

W3af - http://w3af.org/ - Công cụ quét mã nguồn mở, dường như đang phát triển khá nhiều vào lúc này, chủ yếu tập trung vào mặt quét tự động của mọi thứ, vẫn cần khá nhiều kiến thức để sử dụng hiệu quả.

Về mặt quét thuần túy có một số công cụ thương mại có sẵn.

Netsparker - http://www.mavitunasecurity.com/netsparker/

Ứng dụng IBM - http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__

Mưa đá Cenzic - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider - http://www.ntobjectives.com/ntospider

29
Rory McCune

Túi công cụ ưa thích của tôi để làm một cây bút ứng dụng web hộp đen. kiểm tra hiện tại:

  • BURP Suite "là một máy chủ proxy chặn để kiểm tra bảo mật các ứng dụng web. Nó hoạt động như một trung gian giữa trình duyệt của bạn và ứng dụng đích"
  • Fiddler một công cụ proxy khác "fiddler cho phép bạn kiểm tra tất cả lưu lượng HTTP (S), đặt điểm dừng và" fiddle "với dữ liệu đến hoặc đi"
  • Fiddler x5s addon - x5s nhằm mục đích hỗ trợ người kiểm tra thâm nhập trong việc tìm kiếm các lỗ hổng kịch bản chéo trang.
  • Fiddler watcher addo n - Watcher là một công cụ phân tích thụ động thời gian chạy cho các ứng dụng Web.

Các công cụ trên yêu cầu một số tính quen thuộc để sử dụng hết công suất và được sử dụng tốt nhất theo cách bán tự động (ví dụ: chọn một biểu mẫu web cụ thể mà bạn muốn kiểm tra, thiết lập chạy "tấn công", sau đó xem lại kết quả và xác định lỗ hổng hoặc điểm để kiểm tra hơn)

Máy quét hoàn toàn tự động để bắt quả treo thấp và để có độ rộng trong phạm vi kiểm tra:

  • Netsparker - trình quét ứng dụng thương mại tự động
  • Skipfish - trình quét ứng dụng tự động

Có lẽ AppScan hoặc WebInpsect nếu tôi có quyền truy cập vào giấy phép (những công cụ này đắt tiền)

15
Tate Hansen

Thật khó để giữ cho danh sách này được cập nhật. Theo ý kiến ​​của tôi - đây là một CÂU HỎI BAD.

Câu hỏi chính xác phải là "Những kỹ thuật nào có sẵn để đảm bảo tính bảo mật của ứng dụng web, chúng được triển khai như thế nào và làm thế nào để bạn theo kịp những cải tiến mới nhất cho cả kỹ thuật và việc triển khai chúng?"

Ví dụ: các công cụ tốt hơn đã có sẵn vì những câu trả lời này đã được đưa ra: Hatkit, WATOBO, giao diện web của Arachni, et al.

Vấn đề chính với các công cụ thương mại là thiếu khả năng đổi mới và cải tiến. Tại thời điểm này - gần như tất cả các sản phẩm thương mại trong không gian bảo mật ứng dụng web đã bị cản trở bởi các cuộc chiến bằng sáng chế và mất vốn cá nhân và xã hội. Lần cuối cùng bạn nhìn thấy CỘNG ĐỒNG xung quanh máy quét ứng dụng, tường lửa ứng dụng hoặc phân tích tĩnh SẢN PHẨM/DỊCH VỤ tập trung vào bảo mật là khi nào? Câu trả lời đúng, đúng, là "KHÔNG BAO GIỜ". Cuộc chiến này là dành cho các công cụ miễn phí (và/hoặc nguồn mở) để cố gắng đổi mới vượt qua rào cản năm 2004 được đưa ra bởi những chú hề vô dụng và không có tài năng này, những nhân viên của trình quét ứng dụng, tường lửa ứng dụng và bảo mật- tập trung các công ty phân tích tĩnh mà hầu hết là không còn tồn tại.

Theo nghĩa đen, như đã thấy trong 1.4beta của Burp Suite Professional, NGƯỜI DUY NHẤT đổi mới trong thị trường này là PortSwigger. Cigital đổi mới, nhưng họ đã định giá ra khỏi thị trường tiêu dùng và nghiên cứu.

10
atdre

Tôi rất thích SkipFish

8
gbr

Và cũng có Proxy tấn công OWASP Zed: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Để trích dẫn từ trang chủ:

"Zed Attack Proxy (ZAP) là một công cụ kiểm tra thâm nhập tích hợp dễ sử dụng để tìm lỗ hổng trong các ứng dụng web.

Nó được thiết kế để được sử dụng bởi những người có nhiều kinh nghiệm bảo mật và như vậy là lý tưởng cho các nhà phát triển và người thử nghiệm chức năng, những người mới thử nghiệm thâm nhập.

ZAP cung cấp máy quét tự động cũng như một bộ công cụ cho phép bạn tìm các lỗ hổng bảo mật theo cách thủ công. "

Đây là một nhánh của Paros và là nguồn mở, miễn phí và đang được duy trì tích cực.

Psiinon (trưởng dự án ZAP)

6
Psiinon

Tại sao bạn không cho Arachni một lần thử. Nó được viết bằng Ruby và có vẻ như rất hứa hẹn.

6
Paolo Perego

Tổ chức OWASP là một tổ chức từ thiện phi lợi nhuận trên toàn thế giới tập trung vào việc cải thiện bảo mật của phần mềm ứng dụng và có một số công cụ Nice để giúp phát hiện lỗ hổng và bảo vệ các ứng dụng .

4
Eric Warriner

Ngoài ra còn có OWASP WebScarabParos .

Tuy nhiên, trang này chứa danh sách cần có những gì bạn muốn.

4
Jeff

Trang web của Hiệp hội Bảo mật Ứng dụng Web được liệt kê bên dưới có chứa một số công cụ khác nhau cho các vai trò khác nhau.

http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

Một số công cụ mà tôi sử dụng thường xuyên là:

AppScan và WebInspect: các công cụ phân tích tự động, mạnh mẽ để tự động hóa một số loại kiểm tra nhưng thiếu khả năng kiểm tra sâu. Được sử dụng trong chế độ thủ công có chứa một số tính năng thú vị, nhưng theo kinh nghiệm của tôi, giao diện người dùng sẽ cản trở chức năng.

Zed Attack Proxy: một proxy chặn và là bản cập nhật của Paros Proxy đã lỗi thời. Khá mạnh mẽ để thử nghiệm thủ công và chứa một số tính năng thử nghiệm tự động.

Skipfish: một trình quét ứng dụng web tốc độ cao thú vị; nó thiếu độ sâu của bộ tính năng của máy quét ứng dụng thương mại, nhưng không bao giờ tuyên bố có chúng. Nó không hỗ trợ các tính năng quét nâng cao như xác thực ứng dụng, nhưng có khả năng làm mờ mạnh mẽ đối với một số loại lỗi nhất định.

4
ygjb

Nessus thực sự tệ cho việc làm mờ ứng dụng web. Thế giới nguồn mở có thể cung cấp Wapiti , Skipfishw3af (loại bị hỏng). Acunetix là một sản phẩm thương mại tốt với giá cả hợp lý. NTOSpider là một trong những công cụ làm mờ ứng dụng web, nhưng nó có giá 10.000 đô la + và lần sinh đầu tiên của bạn. Sitewatch có dịch vụ miễn phí đáng để kiểm tra.

4
rook

Packet Storm có một kho lưu trữ rộng lớn các máy quét:

http://packetstormsecurity.org/files/tags/scanner/

2
user1454

Vì không ai đề cập đến nó, insecure.orgs 's sectools.org danh sách là điểm khởi đầu tuyệt vời cho tài nguyên ứng dụng nói chung, đặc biệt là đối với những người tương đối mới đang tích cực liên quan đến bảo mật CNTT liên quan đến mạng. Nếu bạn chưa kiểm tra, tôi hoàn toàn khuyên bạn nên xem qua danh sách Top 100 của họ để làm quen với một số công cụ (đặc biệt là các công cụ tấn công) hiện có. Ghi nhớ những cảnh báo đã được đề cập (và những người khác giả định), đây là trang dành cho 10 máy quét lỗ hổng web hàng đầu của họ .

2
jgbelacqua

Bạn có thể muốn xem xét Burp Suite là tốt. Họ có phiên bản miễn phí và trả phí nhưng phiên bản trả phí tương đối rẻ.

2
wickett

Công cụ yêu thích của tôi cho PCI DSS kiểm toán/đánh giá về ứng dụng web là Fiddler (hoặc FiddlerCap). Bạn có thể cung cấp một trong những công cụ này cho người mới hoặc bà và họ sẽ có thể tìm ra nó ra với ít hướng dẫn.

Bạn yêu cầu họ gửi cho bạn một tệp SAZ (hoặc tệp FiddlerCap), liên quan đến việc họ sử dụng hộp thoại lưu sau khi sử dụng Internet Explorer để đi bộ ứng dụng web của họ.

Sau đó, bạn có thể xem lưu lượng HTTP/TLS và đưa ra quyết định về cách ứng dụng hoạt động và cách xử lý thông tin thẻ thanh toán. Plugin Fiddler, Casaba Watche r có thể xử lý các phiên ngoại tuyến sau khi bạn cung cấp cho nó một số thông tin trang web (thêm tên miền cấp cao và tên miền phụ). Watcher sẽ thực hiện một số hoạt động OWASP ASVS, bạn có thể ánh xạ lại ASVS và xem xét. Đây là tất cả có thể mà không cần truy cập vào ứng dụng (ví dụ: nó có thể ở trong môi trường QA hoặc dev). Bạn thường muốn có được thông tin này ngay khi nhà phát triển có sẵn bản dựng wifreframe - trước khi ứng dụng đi vào giai đoạn hoặc sản xuất.

Nếu bạn có quyền truy cập vào ứng dụng web, thì Fiddler cũng có thể được sử dụng thêm. Tôi khuyên bạn nên chọn bất kỳ phần nào có đầu vào của người dùng và chạy plugin Casaba x5s chống lại nó. Cấu hình của x5s khá phức tạp, nhưng các tác giả và những người khác trực tuyến chắc chắn sẽ sẵn sàng giúp bạn định cấu hình và hiểu kết quả. Fiddler có khả năng phát lại các yêu cầu, vì vậy tốt nhất là sử dụng chức năng này (tức là phát lại một yêu cầu tại một thời điểm) thay vì duyệt trang web trực tiếp với Fiddler và x5s được định cấu hình để chạy. Phân tích kết quả không phức tạp như cấu hình, vì nó hoàn toàn không yêu cầu bạn biết bất cứ điều gì về HTML hoặc JavaScript.

Kết quả từ 3 công cụ này không có kết luận. Tuy nhiên, họ kết luận THÊM hơn là chạy một trình quét ứng dụng web hoặc công cụ bảo mật - thương mại, $ 500K/năm, hoặc không. Tôi không đề xuất NTOSpider, Acunetix, Netsparker, Hailstorm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Free/Professional hoặc bất kỳ "trình quét/công cụ" nào khác cho PCI DSS kiểm toán hoặc đánh giá công việc.

Những gì bạn cần sau những điều cơ bản là thuê và làm việc với một công ty tư vấn bảo mật ứng dụng chuyên về các loại đánh giá này. Rất có khả năng họ có các công cụ riêng, được phát triển nội bộ, rằng họ không sẵn sàng chia sẻ hoặc bán.

Họ sẽ muốn truy cập vào một bản sao của mã nguồn có thể xây dựng của (các) ứng dụng web. Tốt nhất là cung cấp tệp vmdk/OVF/VHD cho họ bao gồm bản sao nhà phát triển của bạn IDE và/hoặc máy chủ xây dựng với bản dựng đang hoạt động, bao gồm tất cả các phụ thuộc và SDK. cung cấp cấu hình cần thiết và các đề xuất khác khi ứng dụng đi vào giai đoạn hoặc sản xuất.

2
atdre

Trong khi khá cũ (lỗi thời?) Wapiti là một lựa chọn miễn phí khác: http://wapiti.sourceforge.net/

1
Ben Scobie

bạn phải kết hợp nhiều công cụ với nhau để có kết quả tốt và bạn cũng phải kiểm tra trang web trên (kiểm tra thủ công) và phương pháp thủ công tốt hơn vì không phải công cụ thương mại nào hiểu logic kinh doanh nên tôi đề xuất các công cụ sau:

đối với các công cụ tự động tôi nghĩ acuentix, Netsparker, bộ burp, websecurify của google rất phù hợp và bạn có thể kiểm tra ứng dụng web của mình với nhiều ứng dụng hơn.

đối với phương pháp thủ công, bạn phải nghiên cứu top 10 của OWASP để biết về các lỗ hổng ứng dụng web phổ biến và sau đó bạn nên bắt đầu kiểm tra trang web.

các công cụ sau đây sẽ giúp bạn rất nhiều trong việc thực hiện các bài kiểm tra thủ công: Paros Proxy để chỉnh sửa Yêu cầu/Phản hồi HTTP. fiddler cho phép bạn kiểm tra lưu lượng, đặt điểm dừng và "fiddle" với dữ liệu đến hoặc đi.

Tiện ích mở rộng Firefox (Tamper Data, nhà phát triển web): để chỉnh sửa Yêu cầu/Phản hồi HTTP để xem máy chủ của bạn phản ứng như thế nào. Google công cụ này và bạn sẽ thấy rất nhiều hướng dẫn về cách sử dụng chúng

1
P3nT3ster