Existe-t-il de bons outils (de bureau ou en ligne) vous permettant de vérifier si votre site Web présente des vulnérabilités communes (par exemple, SQL Injection, XSS)?
Existe-t-il de bons outils (de bureau ou en ligne) vous permettant de vérifier si votre site Web présente des vulnérabilités communes (par exemple, SQL Injection, XSS)?
Réponses:
Websecurify est le meilleur des projets FOSS que j'ai trouvé.
Vous voudrez peut-être consulter le Skipfish de Google , qui est extrêmement complet et fonctionne à partir des dictionnaires que vous fournissez; les paramètres par défaut (évier standard / cuisine) sont inclus.
C’est aussi un peu plus «doux» que d’autres que j’ai utilisé, mais je ne trouve pas les mêmes fonctionnalités pour comparer les résultats.
Son C écrit, a une sortie TRÈS informative et est extrêmement facile à utiliser. Je recommande de l'exécuter depuis n'importe quel serveur * nix standard ou depuis votre domicile si vous avez une connexion rapide. Il dispose également d'un système de file d'attente de demandes intelligent avec des mises à jour en temps réel. C'est vraiment amusant de le voir fonctionner.
Il fait état de la plupart des vulnérabilités, ainsi que de nombreux autres problèmes que vous ignorez peut-être. C'est un peu pédant, mais pédant est une bonne qualité pour un tel outil.
Capture d'écran des résultats (un peu vieux):
alt text http://skipfish.googlecode.com/files/skipfish-screen.png
Il existe de nombreux bons analyseurs automatisés et automatisés de vulnérabilités pour applications Web.
Il est préférable de ne pas compter sur un seul scanner automatisé, chacun ayant ses forces et ses faiblesses, par conséquent, exécutez-en toujours quelques-uns et comparez les résultats. Vous devrez également vérifier les faux positifs et les faux négatifs.
Le balayage automatisé des vulnérabilités a sa place et est utile, mais il doit toujours être sauvegardé par un professionnel de la sécurité qui comprend les vulnérabilités et peut également en rechercher d’autres manuellement. La numérisation automatisée est un bon début et vaut mieux que rien.
Microsoft dispose d'un outil d'analyse de code qui effectue cette opération (voici une vidéo de Channel 9 et un lien de téléchargement pour la v1). Wikipedia possède également une très bonne liste d' outils d' analyse de code statique .
RatProxy de Google est également une très bonne option pour vérifier si XSS. Comme il est configuré et fonctionne en tant que proxy, il est facile à utiliser car il suit simplement votre navigateur lorsque vous testez votre site normalement. Il enregistre toutes les interactions, POST, GET, etc., et peut rejouer les interactions qui tentent d'injecter du contenu malveillant. Une fois qu'il répète les demandes, il vérifie la sortie pour détecter les signes de XSS. En outre, il conserve un enregistrement de l'ensemble du cycle de vie HTTP, qui peut être utilisé pour un débogage ultérieur.
Je fais exactement ce genre de chose depuis longtemps et conviendrais que la meilleure solution est d'utiliser des testeurs expérimentés pour vérifier votre profil de sécurité, mais le test de ce type de vulnérabilités est en fait assez facile à automatiser. Ayant géré un programme de test d'environ 1 000 applications Web sur une période de 6 mois, je peux dire que les outils les plus remarquables pour moi sont AppScan et Burp d' IBM - et pour la plupart des objectifs, Burp est plus léger, plus rapide, plus configurable et beaucoup moins cher!
Très facile d’obtenir Burp pour vérifier les échecs de validation des entrées - et régler vos problèmes d’injection SQL et XSS. Vous pouvez obtenir une couverture extrêmement bonne de ce type de vulnérabilités.
w3af est l’une des meilleures pièces disponibles pour l’audit Web, et c’est aussi FOSS
"w3af est une structure d'attaque et d'audit d'applications Web. L'objectif du projet est de créer une structure permettant de rechercher et d'exploiter les vulnérabilités des applications Web, facile à utiliser et à étendre."
assurez-vous d'essayer
La vulnérabilité Web d’Acunetix est vraiment bonne, je l’ai utilisée et je l’aime vraiment beaucoup. Vous pouvez scanner le site Web pour XSS, l’injection SQL, le système de téléchargement faible, etc. Profitez-en.