it-swarm.dev

Quali strumenti sono disponibili per valutare la sicurezza di un'applicazione Web?

Quali strumenti sono disponibili per valutare la sicurezza di un'applicazione Web?

Fornisci una breve descrizione di ciò che fa lo strumento.

Aggiornamento: Più specificamente, sto cercando strumenti che non presuppongono l'accesso al codice sorgente (scatola nera).

63
Olivier Lalonde

c'è un gran numero di app che possono essere utilizzate nelle valutazioni delle applicazioni web. Una cosa da considerare è che tipo di strumento stai cercando. Alcuni di essi sono meglio utilizzati insieme a un test manuale, mentre altri sono più progettati per il personale IT non specializzato della sicurezza come più strumenti di scansione "scatola nera".

Inoltre, esiste una vasta gamma di script e strumenti di punti che possono essere utilizzati per valutare aree specifiche di sicurezza delle applicazioni Web.

Alcuni dei miei preferiti

Suite Burp - http://www.portswigger.net . Strumento gratuito e commerciale. Eccellente aggiunta ai test manuali e ha anche una buona capacità di scanner. Dei tester di applicazioni Web professionali che conosco, la maggior parte lo usa.

W3af - http://w3af.org/ - Lo strumento di scansione open source, al momento sembra svilupparsi un bel po ', si concentra principalmente sul lato della scansione automatica delle cose, richiede ancora un bel po' di conoscenza da utilizzare in modo efficace.

Sul lato puro della scansione sono disponibili numerosi strumenti commerciali.

Netsparker - http://www.mavitunasecurity.com/netsparker/

IBM AppScan - http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__

Cenzic Hailstorm - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider - http://www.ntobjectives.com/ntospider

29
Rory McCune

La mia borsa degli attrezzi preferita per realizzare una penna per app web con scatola nera. il test è attualmente:

  • BURP Suite "è un server proxy intercettante per i test di sicurezza delle applicazioni Web. Funziona come un intermediario tra il browser e l'applicazione di destinazione"
  • Fiddler un altro strumento proxy "fiddler ti consente di ispezionare tutto il traffico HTTP (S), impostare punti di interruzione e" giocherellare "con i dati in entrata o in uscita"
  • Fiddler addon x5s - x5s mira ad aiutare i tester di penetrazione nella ricerca di vulnerabilità di scripting tra siti.
  • Fiddler watcher addo n - Watcher è uno strumento di analisi passiva di runtime per applicazioni Web.

Gli strumenti di cui sopra richiedono una certa familiarità per esercitarsi a piena potenza e sono utilizzati al meglio in modo semi-automatico (ad esempio, scegliere un modulo Web specifico che si desidera testare, impostare corse di "attacco", quindi rivedere i risultati e individuare vulnerabilità o punti da testare Di Più)

Scanner completamente automatizzati per la raccolta di frutti a bassa pendenza e per ottenere ampiezze nella copertura dei test:

Forse AppScan o WebInpsect se ho accesso a una licenza (questi strumenti sono costosi)

15
Tate Hansen

È difficile mantenere aggiornato questo elenco. Secondo me - questa è una cattiva domanda.

La domanda corretta dovrebbe essere "Quali tecniche sono disponibili per valutare la sicurezza di un'applicazione Web, come vengono comunemente implementate e come tenere il passo con gli ultimi miglioramenti sia delle tecniche che delle loro implementazioni?"

Ad esempio, sono già disponibili strumenti migliori da quando sono state avanzate queste risposte: Hatkit, WATOBO, l'interfaccia web di Arachni e altri.

Il problema principale con gli strumenti commerciali è la loro mancanza di capacità di innovare e migliorare. A questo punto - quasi tutti i prodotti commerciali nello spazio di sicurezza delle applicazioni web sono stati bloccati dalle guerre di brevetti e dalla perdita di capitale individuale e sociale. Quando è stata l'ultima volta che hai visto una COMUNITÀ attorno a uno scanner per app, un firewall per app o un'analisi statica incentrata sulla sicurezza PRODOTTO/SERVIZIO? La risposta corretta, sì, è "MAI". La battaglia è per strumenti gratuiti (e/o open-source) per cercare di innovare oltre la barriera del 2004 proposta da questi pagliacci idioti e senza talento che guardano allo scanner delle app, al firewall delle app e alla sicurezza- società di analisi statica focalizzate che per lo più sono ormai defunte.

Letteralmente, come visto nella 1.4beta di Burp Suite Professional, l'UNICA PERSONA che innova in questo mercato è PortSwigger. Cigital innova, ma si sono allontanati dai mercati dei consumatori e dei ricercatori.

10
atdre

Mi è piaciuto SkipFish

8
gbr

E c'è anche OWASP Zed Attack Proxy: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Per citare dalla home page:

"Zed Attack Proxy (ZAP) è uno strumento di test di penetrazione integrato facile da usare per la ricerca di vulnerabilità nelle applicazioni web.

È progettato per essere utilizzato da persone con una vasta gamma di esperienze di sicurezza e come tale è l'ideale per sviluppatori e tester funzionali che sono nuovi ai test di penetrazione.

ZAP offre scanner automatici e una serie di strumenti che ti consentono di trovare manualmente le vulnerabilità della sicurezza. "

È un fork di Paros ed è gratuito, open source e mantenuto attivamente.

Psiinon (responsabile del progetto ZAP)

6
Psiinon

Perché non dai Arachni una prova. È scritto in Ruby e sembra essere molto promettente.

6
Paolo Perego

L'organizzazione OWASP è un'organizzazione benefica mondiale senza fini di lucro focalizzata sul miglioramento della sicurezza del software applicativo e ha alcuni strumenti utili per aiuta a rilevare vulnerabilità e protezione delle applicazioni .

4
Eric Warriner

C'è anche OWASP WebScarab e Paros .

Tuttavia, questa pagina contiene un elenco che dovrebbe avere quello che vuoi.

4
Jeff

La pagina Web del Consorzio per la sicurezza delle applicazioni Web elencata di seguito contiene una serie di strumenti diversi per ruoli diversi.

http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

Alcuni degli strumenti che utilizzo regolarmente sono:

AppScan e WebInspect: strumenti di analisi automatizzati, potenti per automatizzare determinati tipi di controlli ma privi di capacità di ispezione approfondita. Utilizzato in modalità manuale contiene alcune funzionalità interessanti, ma nella mia esperienza l'interfaccia utente interferisce con la funzionalità.

Zed Attack Proxy: un proxy intercettante che è fork e aggiornamento del Paros Proxy scadentemente scaduto. Abbastanza potente per i test manuali e contiene alcune funzionalità di test automatizzati.

Skipfish: un interessante scanner per applicazioni web ad alta velocità; manca la profondità del set di funzionalità degli scanner di applicazioni commerciali, ma non pretende mai di averli. Non supporta funzionalità di scansione avanzate come l'autenticazione dell'applicazione, ma ha una potente capacità di fuzzing per alcuni tipi di difetti.

4
ygjb

Nessus davvero pessimo per il fuzzing delle applicazioni web. Il mondo open source può offrire Wapiti , Skipfish e w3af (tipo di rotto). Acunetix è un buon prodotto commerciale ad un prezzo ragionevole. NTOSpider è uno degli strumenti di fuzzing delle applicazioni web, ma costa $ 10.000 + e il tuo primogenito. Sitewatch ha un servizio gratuito che vale la pena provare.

4
rook

Packet Storm ha un ampio archivio di scanner:

http://packetstormsecurity.org/files/tags/scanner/

2
user1454

Poiché nessuno lo ha menzionato, insecure.orgs 's sectools.org list è un ottimo punto di partenza per le risorse dell'applicazione in generale, specialmente per chi è relativamente nuovo ad essere attivamente coinvolto nella sicurezza IT legata alla rete. Se non l'hai verificato, ti consiglio assolutamente di consultare la loro lista dei 100 migliori per familiarizzare con alcuni degli strumenti (in particolare gli strumenti di attacco) disponibili. Tenendo presente le avvertenze già menzionate (e altre ipotizzate), ecco la pagina per il loro I 10 migliori scanner di vulnerabilità del web .

2
jgbelacqua

Probabilmente vorresti dare un'occhiata anche a Burp Suite. Hanno una versione gratuita e a pagamento ma la versione a pagamento è relativamente economica.

2
wickett

Il mio strumento preferito per PCI DSS audit/valutazioni in termini di applicazione web è Fiddler (o FiddlerCap). Puoi dare uno di questi strumenti a un principiante o una nonna e saranno in grado di capirlo fuori con poche istruzioni.

Li hai mandati un file SAZ (o file FiddlerCap), che li coinvolge usando la finestra di dialogo di salvataggio dopo aver usato Internet Explorer per percorrere la loro webapp.

Quindi puoi vedere il traffico HTTP/TLS e prendere decisioni su come funziona l'applicazione e su come elabora le informazioni della carta di pagamento. Il plug-in Fiddler, Casaba Watche r può elaborare sessioni offline dopo averle fornito alcune informazioni sul sito (aggiungere nel dominio di primo livello e nei sottodomini). Watcher eseguirà alcune attività di OWASP ASVS, che è possibile mappare su ASVS e rivedere. Tutto ciò è possibile senza accesso all'applicazione (ad es. Potrebbe essere in un ambiente di controllo qualità o sviluppo). In genere si desidera ottenere queste informazioni non appena uno sviluppatore ha una build wifreframe disponibile, molto prima che l'applicazione entri in gestione temporanea o in produzione.

Se hai accesso alla webapp, anche Fiddler può essere di ulteriore utilità. Suggerisco di selezionare qualsiasi parte che abbia l'input dell'utente e di eseguire plugin Casaba x5s contro di essa. La configurazione di x5s è piuttosto complicata, ma gli autori e gli altri online sarebbero sicuramente disposti ad aiutarti a configurarlo e comprendere i risultati. Fiddler ha la capacità di riprodurre le richieste, quindi è meglio usare questa funzionalità (ovvero riprodurre una richiesta alla volta) invece di navigare sul sito live con Fiddler e x5s configurati per l'esecuzione. L'analisi dei risultati non è così complicata come la configurazione, in quanto non richiede assolutamente la conoscenza di HTML o JavaScript.

I risultati di questi 3 strumenti non sono conclusivi. Tuttavia, sono PIÙ conclusivi rispetto all'esecuzione di uno scanner per applicazioni Web o di uno strumento di sicurezza - commerciale, $ 500K/anno o meno. Non consiglio NTOSpider, Acunetix, Netsparker, Hailstorm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Free/Professional o qualsiasi altro "scanner/strumento" per PCI DSS audit o lavoro di valutazione.

Ciò di cui hai bisogno dopo le basi è assumere e lavorare con una società di consulenza sulla sicurezza delle applicazioni specializzata in questo tipo di valutazioni. È estremamente probabile che abbiano i propri strumenti, sviluppati internamente, che non siano disposti a condividere o vendere.

Vorranno accedere a una copia del codice sorgente costruibile delle applicazioni web. È meglio fornire loro un file vmdk/OVF/VHD che includa una copia dello sviluppatore del tuo IDE e/o build server con una build funzionante, comprese tutte le dipendenze e gli SDK. Possono quindi fornire la configurazione necessaria e altri consigli per quando l'app va in staging o produzione.

2
atdre

Mentre abbastanza vecchio (obsoleto?) Wapiti è un'altra scelta libera: http://wapiti.sourceforge.net/

1
Ben Scobie

devi combinare più strumenti insieme per ottenere buoni risultati e devi anche molestare il tuo sito web su (test manuali) e il metodo manuale è migliore perché nessuno degli strumenti commerciali comprende la logica di business, quindi ti suggerisco i seguenti strumenti:

per gli strumenti automatizzati penso che acuentix, netsparker, burp suite, gobsecurify di google siano adatti e puoi testare la tua app web con più di loro.

per il metodo manuale devi studiare OWASP top 10 per conoscere le comuni vulnerabilità delle applicazioni Web e successivamente iniziare a testare il sito Web.

i seguenti strumenti ti aiuteranno molto a fare test manuali: Paros Proxy per modificare la richiesta/risposta HTTP. il violinista ti consente di ispezionare il traffico, impostare punti di interruzione e "giocherellare" con i dati in entrata o in uscita.

Estensioni di Firefox (Tamper Data, sviluppatore web): per modificare la richiesta/risposta HTTP per vedere come reagisce il server. Google questo strumento e vedrai molti tutorial là fuori su come usarli

1
P3nT3ster