Des outils pour vérifier les vulnérabilités communes?

35

Existe-t-il de bons outils (de bureau ou en ligne) vous permettant de vérifier si votre site Web présente des vulnérabilités communes (par exemple, SQL Injection, XSS)?

security 
Jessegavin
source
Gardez simplement à l'esprit que cet outil ne détectera pas toutes les failles de sécurité possibles de votre site. Si j'étais vous, je me concentrerais davantage sur l'apprentissage et l'utilisation des meilleures pratiques de sécurité que sur l'utilisation d'un outil permettant de détecter d'éventuelles failles.
HoLyVieR
1
@HoLyVieR: Il n'y a aucune raison pour que vous ne puissiez pas utiliser les deux. Tout comme les scanners, les développeurs ne sont pas parfaits. Il est possible que vous ou un membre de votre équipe ou le développeur d'un composant tiers ait commis des erreurs. Même si vous parcourez manuellement chaque ligne de code qui entre dans votre application, vous pouvez toujours ignorer quelque chose. Le test du stylet et l'utilisation de scanners de vulnérabilité vous offrent une couche de protection supplémentaire. Cela vaut bien l'effort IMO.
Lèse majesté

Réponses:

5

Vous voudrez peut-être consulter le Skipfish de Google , qui est extrêmement complet et fonctionne à partir des dictionnaires que vous fournissez; les paramètres par défaut (évier standard / cuisine) sont inclus.

C’est aussi un peu plus «doux» que d’autres que j’ai utilisé, mais je ne trouve pas les mêmes fonctionnalités pour comparer les résultats.

Son C écrit, a une sortie TRÈS informative et est extrêmement facile à utiliser. Je recommande de l'exécuter depuis n'importe quel serveur * nix standard ou depuis votre domicile si vous avez une connexion rapide. Il dispose également d'un système de file d'attente de demandes intelligent avec des mises à jour en temps réel. C'est vraiment amusant de le voir fonctionner.

Il fait état de la plupart des vulnérabilités, ainsi que de nombreux autres problèmes que vous ignorez peut-être. C'est un peu pédant, mais pédant est une bonne qualité pour un tel outil.

Capture d'écran des résultats (un peu vieux):

alt text http://skipfish.googlecode.com/files/skipfish-screen.png

Tim Post
source
Cela a l'air vraiment sympa. Je vais vérifier cela à coup sûr.
jessegavin
5

Il existe de nombreux bons analyseurs automatisés et automatisés de vulnérabilités pour applications Web.

  • W3af
  • Websurify
  • sauterelle
  • Netsparker Community Edition (Gratuit avec fonctionnalités limitées)
  • Nikto

Il est préférable de ne pas compter sur un seul scanner automatisé, chacun ayant ses forces et ses faiblesses, par conséquent, exécutez-en toujours quelques-uns et comparez les résultats. Vous devrez également vérifier les faux positifs et les faux négatifs.

Le balayage automatisé des vulnérabilités a sa place et est utile, mais il doit toujours être sauvegardé par un professionnel de la sécurité qui comprend les vulnérabilités et peut également en rechercher d’autres manuellement. La numérisation automatisée est un bon début et vaut mieux que rien.

Ryan Dewhurst
source
2

RatProxy de Google est également une très bonne option pour vérifier si XSS. Comme il est configuré et fonctionne en tant que proxy, il est facile à utiliser car il suit simplement votre navigateur lorsque vous testez votre site normalement. Il enregistre toutes les interactions, POST, GET, etc., et peut rejouer les interactions qui tentent d'injecter du contenu malveillant. Une fois qu'il répète les demandes, il vérifie la sortie pour détecter les signes de XSS. En outre, il conserve un enregistrement de l'ensemble du cycle de vie HTTP, qui peut être utilisé pour un débogage ultérieur.

Chris Henry
source
1

HP dispose de Scrawlr pour la vérification des vulnérabilités courantes de l’injection SQL.

plntxt
source
1

Je fais exactement ce genre de chose depuis longtemps et conviendrais que la meilleure solution est d'utiliser des testeurs expérimentés pour vérifier votre profil de sécurité, mais le test de ce type de vulnérabilités est en fait assez facile à automatiser. Ayant géré un programme de test d'environ 1 000 applications Web sur une période de 6 mois, je peux dire que les outils les plus remarquables pour moi sont AppScan et Burp d' IBM - et pour la plupart des objectifs, Burp est plus léger, plus rapide, plus configurable et beaucoup moins cher!

Très facile d’obtenir Burp pour vérifier les échecs de validation des entrées - et régler vos problèmes d’injection SQL et XSS. Vous pouvez obtenir une couverture extrêmement bonne de ce type de vulnérabilités.

Rory Alsop
source
1

w3af est l’une des meilleures pièces disponibles pour l’audit Web, et c’est aussi FOSS

"w3af est une structure d'attaque et d'audit d'applications Web. L'objectif du projet est de créer une structure permettant de rechercher et d'exploiter les vulnérabilités des applications Web, facile à utiliser et à étendre."

assurez-vous d'essayer

Pootzko
source
1

La vulnérabilité Web d’Acunetix est vraiment bonne, je l’ai utilisée et je l’aime vraiment beaucoup. Vous pouvez scanner le site Web pour XSS, l’injection SQL, le système de téléchargement faible, etc. Profitez-en.

ALH
source
Je crois cependant que la version gratuite ne recherche que XSS. La version non-libre est comme plusieurs milliers de dollars (plus de 4000 $) par licence, je crois.
Lèse majesté
En fait, j’utilise la version non-libre et le recommande.
ALH
Oui, si vous pouvez vous le permettre, Acunetix WVS ressemble à un très bon produit. Ils ont également de nombreux conseils de sécurité sur leur blog.
Lèse majesté
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.