是否有任何好的工具(台式机或在线工具)可让您检查您的网站是否存在常见漏洞(例如SQL Injection,XSS)?
#1 楼
websecurify是我发现的最好的FOSS项目。评论
对于那些不知道FOSS是什么的人(例如20秒钟前的我),它代表免费和开源软件(en.wikipedia.org/wiki/Free_and_open_source_software)
–纸浆
2010年7月8日在21:14
而且,如果您会说多种语言,那么牙线意味着同样的东西,对您的牙龈非常有用!
–JasonBirch
2010年7月18日,1:13
#2 楼
您可能想查看Google的Skipfish,它非常全面,并且可以从您提供的词典中找到,包括默认值(标准/厨房水槽)。已经使用过,但是我找不到具有相同功能的东西来与结果进行比较。它用C编写,具有非常有用的输出,并且非常易于使用。我建议从任何标准的* nix服务器上运行它,如果连接速度很快,也可以从家里运行它。它还具有一个具有实时更新的智能请求队列系统。观看它的工作实际上很有趣。
它报告了大多数漏洞,以及许多其他您可能没有意识到的问题。它有点学究,但学究是这种工具的优良品质。
结果屏幕截图(有点旧): .com / files / skipfish-screen.png
评论
看起来真的很好。我将检查确定。
– jessegavin
2010年7月9日在15:32
#3 楼
有很多很好的自动化开放源代码黑盒子Web应用程序漏洞扫描程序。w3af
websecurify
Netsparker社区版(免费,功能有限)
Nikto
最好不要仅依靠一台自动扫描仪,因为每种扫描仪都有其优缺点,因此请始终运行其中的几个并比较结果。您还必须检查错误肯定和否定错误。
自动漏洞扫描在其中很重要,它很有用,但是始终应由了解该漏洞的安全专业人员进行备份,并可以检查是否存在漏洞。手动其他。自动扫描是一个好的开始,但总比没有好。
#4 楼
Microsoft具有执行此操作的代码分析工具(这是第9频道的视频,并且是v1的下载链接)。 Wikipedia也提供了相当不错的静态代码分析工具列表。#5 楼
Google的RatProxy也是检查XSS的绝佳选择。由于它是作为代理进行设置和运行的,因此它易于使用,因为在正常测试站点时,它会随浏览器一起移动。它记录所有交互,POST,GET等,并可以重播那些试图注入恶意内容的交互。重放请求后,它将检查输出中是否存在XSS的迹象。此外,它保留了整个HTTP生命周期的记录,可用于进一步调试。#6 楼
惠普具有Scrawlr来检查常见的SQL注入漏洞。#7 楼
我已经做了很长时间了,并且同意最好的解决方案是使用经验丰富的测试人员来检查您的安全配置文件,但是针对这些类型的漏洞进行测试实际上很容易实现自动化。我已经管理了一个程序,可以在6个月内测试大约1000个Web应用程序,我可以说,对我而言,突出的工具是IBM的AppScan和Burp-在大多数情况下,Burp更轻,更快,可配置,并且便宜很多!非常容易让Burp检查输入验证失败-并解决SQL注入和XSS问题。您可以很好地涵盖这些类型的漏洞。
#8 楼
w3af是目前用于Web审核的最佳工具之一,也是FOSS“ w3af是Web应用程序攻击和审核框架。该项目的目标是创建一个框架来查找并利用易于使用和扩展的Web应用程序漏洞。“
请务必尝试一下
#9 楼
Acunetix网络漏洞确实非常好,我已经使用过并且非常喜欢它。您可以扫描网站的XSS,SQL注入,弱上传系统等等。
享受它。
评论
我相信免费版本只能扫描XSS。我相信,非免费版本的许可证价格约为数千美元(超过4000美元)。
–Lèsemajesté
2011年12月24日下午4:34
好吧,实际上我使用非免费版本,并推荐它。
– ALH
2011年12月24日下午4:36
是的,如果您负担得起,Acunetix WVS看起来是一个非常好的产品。他们在博客上也有很多很好的安全提示。
–Lèsemajesté
2011-12-24在4:58
评论
请记住,该工具不会检测您网站的所有可能的安全漏洞。如果我是您,我会更专注于学习和使用最佳安全实践,而不是使用工具来检测可能的缺陷。@HoLyVieR:没有理由不能同时使用两者。就像扫描仪一样,开发人员也不是完美的。您,您的团队中的某人或第三方组件的开发人员可能会犯错。即使您手动浏览应用程序中的每一行代码,您仍然可能会忽略某些内容。笔测试和使用漏洞扫描程序可为您提供额外的保护。 IMO付出的努力是值得的。