哪些工具可用于评估Web应用程序的安全性?
请简要说明该工具的功能。
更新:更具体地说,我正在寻找一种假定无法访问源代码的工具(黑匣子) 。
#1 楼
Web应用程序评估中可以使用大量应用程序。要考虑的一件事是您要寻找哪种工具。其中一些最好与手动测试一起使用,而其他一些则更多地是为非安全专家IT员工设计的,它们是更多的“黑匣子”扫描工具。以及一些可用于评估Web应用程序安全性特定领域的工具。我的一些最爱
Burp套件-http://www.portswigger.net。免费和商业工具。出色的手动测试附件,还具有良好的扫描仪功能。我知道,在专业的Web应用程序测试人员中,大多数使用此工具。
W3af-http://w3af.org/-开源扫描工具目前似乎正在大量开发,主要侧重于物联网的自动扫描方面,仍然需要大量知识才能有效地使用。
在纯扫描方面,有许多商业工具可用。
Netsparker- http://www.mavitunasecurity.com/netsparker/
IBM AppScan-http://www-01.ibm.com/software/awdtools/appscan/
HP WebInspect-https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-200^9570_4000_100__
Cenzic冰雹- http://www.cenzic.com/products/cenzic-hailstormPro/
Acunetix WVS-http://www.acunetix.com/vulnerability-scanner/
NTObjectives NTOSpider-http://www.ntobjectives.com/ntospider
评论
w3af主要是后开发工具,或用作更大的工具链的一部分。文献中已经显示了AppScan,WebInspect,Hailstorm,Acunetix和NTOSpider(即“为什么约翰尼无法进行笔测” [PDF]-cs.ucsb.edu/~adoupe/static/black-box-scanners- dimva2010.pdf)价格昂贵,而且基本上没有用。我建议避免优先使用Burp Suite Professional等更好的工具。
– atdre
2010-11-14 12:47
我不确定我是否会同意商用扫描仪在很大程度上没有用。我要说的是,这取决于用户是谁以及您的目标是什么。 Burp绝对是我作为测试人员选择的工具,但是对于进行扫描的非专业人员,或者对于内部应用程序的大量扫描等场景,我会说这些工具占有一席之地。他们是否完全物有所值是另一个问题。是什么使您说w3af主要是后剥削?从我所看到的来看,它具有许多扫描仪和发现功能,例如模块(xss,xsrf,sqli等)?
–罗里·麦库恩(Rory McCune)
2010-11-14在16:54
和@atdre,不一定一定要同意-这是该领域长期存在的论点,通常,支持者会从不同的PoV和不同的上下文中对此进行讨论。尽管总的来说,我同意自动工具过于昂贵,并且与手动检查相比,对于安全系统而言价值不大,但在不安全的系统中,它们非常适合捡起100磅的低垂果实。这是深度与宽度(和速度)的问题。另请参阅security.stackexchange.com/questions/215/…。
–AVID♦
2010年11月14日19:52
WebInspect / etc适用于面向应用程序的服务器平台漏洞,而OpenVAS / Nessus / Qualys / Rapid7 / MSF辅助模块通常不检查这些漏洞
– atdre
2010-11-17 22:29
Web应用程序扫描程序的比较:blog.portswigger.net/2010/06/…和blog.portswigger.net/2010/06/…
–爪
2011年5月17日15:07
#2 楼
我首选的工具包用于制作黑匣子网络应用程序笔。当前的测试是:“ BURP Suite”是用于Web应用程序安全性测试的拦截代理服务器。它在浏览器和浏览器之间起到中间人的作用。目标应用程序”
Fiddler另一个代理工具“ fiddler允许您检查所有HTTP(S)流量,设置断点,并使用传入或传出的数据来“ fiddle”“
Fiddler x5s插件- x5s旨在帮助渗透测试人员发现跨站点脚本漏洞。
Fiddler watcher插件-Watcher是用于Web应用程序的运行时被动分析工具。
上述工具需要一定的熟悉才能充分发挥作用,并且最好以半自动方式使用(例如,选择要测试的特定Web表单,设置“攻击”运行,然后查看结果并指出漏洞或需要测试的地方)
全自动扫描仪可以捕捉到悬而未决的水果并获得广泛的测试覆盖范围:
Netsparker-自动化的商业应用程序扫描器
Skipfish-自动化的应用程序扫描器
如果我可以使用许可证(这些工具很昂贵),也许是AppScan或WebInpsect
评论
我使用这个完全相同的工具链。我希望上下文应用程序工具(CAT)更加稳定,否则我将包括它!
– atdre
2010-11-14 12:41
我最近将WhatWeb和inspathx添加到了我的工具列表中。
– atdre
2011-2-19在21:18
#3 楼
保持此列表最新是很困难的。我认为-这是一个错误的问题。正确的问题应该是“可以使用哪些技术来评估Web应用程序的安全性,通常如何实施这些技术以及如何保持最新状态?关于技术及其实现方面的最新改进?”
例如,由于提出了这些答案,因此已经有了更好的工具:Hatkit,WATOBO,Arachni的Web界面等。
商业工具的主要问题是缺乏创新和改进的能力。在这一点上,Web应用程序安全领域中的几乎所有商业产品都因专利战以及个人和社会资本的流失而受阻。您上次看到应用扫描仪,应用防火墙或注重安全性的静态分析PRODUCT / SERVICE周围的社区是什么时候?正确的答案是“永远”。这场争夺战是免费的(和/或开源的)工具,试图超越2004年这些笨拙的,愚蠢的,不具前瞻性的,无才干的小丑提出的壁垒,这些小丑为应用程序扫描程序,应用程序防火墙和安全性配备了人员,
从字面上看,如Burp Suite Professional的1.4beta版本所示,PortSwigger是该市场上唯一创新的人。 Cigital不断创新,但它们已将自己定价在消费者和研究人员市场之外。
#4 楼
我喜欢SkipFish评论
+1最近很不错地进行了检查。
–马克·戴维森
2010年11月11日23:27
您应该对SkipFish保持谨慎-它会生成大量日志。
–匿名
2010年11月11日23:38
Skipfish的爬虫使用wivet.googlecode.com展示了41%的覆盖率。其他工具更强大,尤其是Burp,Fiddler,甚至是Skipfish作者自己的Ratproxy,因为手动浏览应用程序可提供更好的结果,尽管可能无法强制浏览,内容发现或目录遍历检查。
– atdre
2010-11-14 12:44
#5 楼
还有OWASP Zed Attack代理:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project在主页上引用:
“ Zed Attack代理(ZAP)是一种易于使用的集成渗透测试工具,用于发现Web应用程序中的漏洞。
它设计用于具有广泛安全经验的人员,因此非常适合开发人员和渗透测试的新功能测试人员。
ZAP提供了自动扫描程序以及一系列工具,可让您手动查找安全漏洞。“
它是一个分支是免费的,开源的并且正在积极维护。
Psiinon(ZAP项目负责人)
评论
欢迎@Psiinon-看来我将不得不研究Zed。当我第一次听说它时,我想知道它是否只是另一个Burp克隆。
–Rory Alsop♦
2011年7月26日在13:01
@Rory-它是Paros代理的后代-所以有点...
–AVID♦
11年7月26日在20:01
#6 楼
你为什么不试一试Arachni。它是用红宝石编写的,似乎很有希望。#7 楼
OWASP组织是一家非营利性的全球慈善组织,致力于改善应用程序软件的安全性,并拥有一些不错的工具来帮助检测漏洞和保护应用程序。#8 楼
下面列出的Web应用程序安全联盟网页包含许多用于不同角色的不同工具。http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-列表
我经常使用的一些工具是:
AppScan和WebInspect:自动化分析工具,功能强大,可自动执行某些类型的检查,但缺乏深度检查功能。在手动模式下使用时,包含一些有趣的功能,但以我的经验,用户界面会妨碍该功能。
Zed Attack Proxy:一个拦截式代理,它是fork并严重过时的更新Paros代理。手动测试功能相当强大,并包含一些自动测试功能。
Skipfish:一种有趣的高速Web应用程序扫描程序;它缺乏商业应用扫描程序功能的深度,但从未宣称拥有它们。它不支持应用程序身份验证之类的高级扫描功能,但是具有针对某些类型的缺陷的强大的模糊测试功能。
评论
Web应用程序安全联盟是否因为所有董事会成员都是Web应用程序安全扫描程序或其他应用程序安全产品公司的现任或前任雇员而有偏见?
– atdre
2010-11-14 12:49
可能是,但是任何组织都存在偏见。 OWASP已经在其他评论中列出,因此无需重复。
– ygjb
2010年11月19日17:27
@atdre-否,有许多董事会成员与扫描仪或安全产品公司无关:-)
–Rory Alsop♦
2010-12-30在2:23
#9 楼
Nessus对于Web应用程序模糊测试确实不利。开源世界可以提供Wapiti,Skipfish和w3af(有点破)。 Acunetix是一款价格合理的优质商业产品。 NTOSpider是Web应用程序模糊测试工具之一,但它的成本为10,000美元以上,并且是您的长子。 Sitewatch提供了一项免费服务,值得一试。评论
我想不同的是-尽管NTOSpider确实是一个可靠的工具,但它远非“毋庸置疑”。我知道有很多供应商会“争辩”正确或不正确的主张。
–AVID♦
2011年3月29日23:01
@ AviD♦是的,并且对其有争议的供应商尚未使用NTOSpider。我已经使用了许多Web应用程序模糊测试工具,而NTOSpider并不值得。
–rook
2011-3-30在16:38
您是说NTOSpider不值得这个价格?我仅短暂使用过它,但是它并没有使我的袜子脱颖而出...无论如何,我要讲的是使用“无争议”。
–AVID♦
2011年3月30日22:36
@AviD您的权利,站点监视是免费的,它可以找到NTO遗漏的漏洞。我改变了我的职位。
–rook
2011-3-31在0:37
#10 楼
还有OWASP WebScarab和Paros。但是,此页面包含应有所需内容的列表。
评论
我很高兴您喜欢Phoenix / Tools清单!自4年前启动该项目以来,这已经有些过时了,但是很难找到好的清单。我认为Matt Tesaro也有一些类似的
– atdre
2010年11月17日在22:30
#11 楼
由于没有人提及过,因此insecure.orgs的sectools.org列表是一般应用程序资源的一个很好的起点,特别是对于那些不熟悉网络相关IT安全性的新手。如果您尚未查看,我绝对建议您查看他们的前100名列表,以熟悉其中的某些工具(尤其是攻击工具)。请记住已经提到的警告(和其他假设),这是他们的十大Web漏洞扫描程序的页面。
#12 楼
Packet Storm拥有大量的扫描仪存档:http://packetstormsecurity.org/files/tags/scanner/
#13 楼
您可能还想研究Burp Suite。他们有免费和付费版本,但付费版本相对便宜。#14 楼
就Web应用程序而言,我最喜欢的PCI DSS审核/评估工具是Fiddler(或FiddlerCap)。您可以将这些工具中的任何一个交给新手或祖母,他们只需很少的指导就可以弄清楚。在使用Internet Explorer浏览其Web应用程序后,使用保存对话框。然后您可以查看HTTP / TLS通信,并确定该应用程序的工作方式以及如何处理支付卡信息。在向Fiddler插件提供一些站点信息(添加到顶级域和子域)后,Casaba Watcher可以离线处理会话。 Watcher将执行一些OWASP ASVS活动,您可以将其映射回ASVS并进行审查。无需访问应用程序即可完成所有操作(例如,可以在QA或开发环境中)。通常,您希望在开发人员拥有wifreframe构建可用后立即获取此信息-在应用程序进入暂存或正式生产之前。
如果您确实有权访问Web应用程序,则Fiddler也可以有进一步的用途。我建议选择具有用户输入的任何部分,然后对它运行Casaba x5s插件。 x5的配置相当复杂,但是作者和其他在线作者当然愿意帮助您配置它并了解结果。 Fiddler具有重播请求的功能,因此最好使用此功能(即一次重播一个请求),而不是使用Fiddler和配置为运行的x5s实时浏览网站。分析结果并不像配置那样复杂,因为它并不需要您完全了解HTML或JavaScript。
这三个工具的结果不是结论性的。但是,它们比运行Web应用程序扫描程序或安全工具更具决定性-商业,每年50万美元,与否。我不建议将NTOSpider,Acunetix,Netsparker,Hailstorm,WebInspect,AppScan,Wapiti,Skipfish,w3af,Burp Suite Free / Professional或任何其他“扫描仪/工具”用于PCI DSS审核或评估工作。
基本知识之后,您需要聘请专门从事这类评估的应用程序安全咨询公司并与之合作。他们很可能会自己开发自己的工具,不愿意共享或出售。
他们将希望访问Web应用程序的可构建源代码的副本( s)。最好向他们提供一个vmdk / OVF / VHD文件,其中包括您的IDE和/或具有有效内部版本(包括所有依赖项和SDK)的内部版本服务器的开发人员副本。然后,他们可以为应用程序进入登台或生产阶段提供必要的配置和其他建议。
评论
为“雇用应用程序安全咨询公司” +1,所有工具仅是可以帮助但绝对不能替代经验丰富的专业人员的工具!
–Rory Alsop♦
2011年3月31日上午8:24
#15 楼
虽然很古老(已过时?),Wapiti是另一种免费选择:http://wapiti.sourceforge.net/#16 楼
您必须将多个工具组合在一起才能获得良好的结果,并且还必须在自己的网站上进行手动测试(手动测试),并且手动方法更好,因为没有一种商业工具能够理解业务逻辑,因此我建议以下工具:对于自动化工具,我认为acuentix,netsparker,burp套件,google的websecurify都是不错的选择,您可以使用其中的更多工具来测试您的Web应用。
本手册您必须研究OWASP十大方法才能了解常见的Web应用程序漏洞,然后您应该开始测试网站。
以下工具将为您做很多手动测试:
Paros Proxy可以编辑HTTP请求/响应。
fiddler允许您检查流量,设置断点,并用传入或传出的数据“弄乱”。
Firefox扩展(篡改数据,Web开发人员):编辑HTTP请求/响应以查看服务器的反应。
使用Google这个工具,您会看到很多如何使用它们的教程集
评论
这应该是CW吗?嘿,行得通。
具体来说,根据PCI,您需要检查当前的OWASP Top10。
您已经描述了Nessus必须提供的最基本,最简单的扫描。如果您愿意启用一堆选项并提供凭据,它实际上将尝试执行SQL注入等操作,而不仅仅是寻找可能存在的迹象。
确保告诉您的托管公司您将要对其进行扫描。我被禁止进入我的地雷之一,这意味着我什至无法到达他们的站点提交故障单说我被阻止了。我不得不从其他地方上车,以提交票证并解释发生了什么事,然后等待一会儿,以使所有问题都得到解决。