您是否建议使用任何工具进行Web应用程序的安全性测试?
我使用过OWASP的WebScarab,但发现使用它有点困难和笨拙。
你建议使用其他更好的东西吗?
答案 0 :(得分:4)
代替WebScarab,尝试Fiddler代理(http://www.fiddlertool.com)。更舒服。
除此之外,“安全测试”是一个非常广泛的术语 至少,你有:
答案 1 :(得分:3)
HP有一个应用程序可以测试SQL注入,称为Scrawlr。
答案 2 :(得分:2)
Fortify对我们来说做得很好。
答案 3 :(得分:1)
我为一家进行网络应用渗透测试的公司工作,作为其业务的一部分。我们使用许多不同的工具。有些是用于特定项目的Ruby中的一种工具,或者是内部开发的框架或代理(再次是Ruby)。我们的大多数网络应用程序渗透测试都是使用webscarab,burpsuite或paros代理完成的。它们都具有某种记录功能,相当大的功率和一两个缺点。
我实际上发现webscarab是最容易使用的。但是,它不处理VIEWSTATE或为搜索做很多事情。我们实际上在VIEWSTATE中找到了不应该存在的数据,因此每当我们看到它们时,我们倾向于切换到不同的代理。 Burpsuite是我的下一个选择。它确实处理VIEWSTATE但是接口需要大量的习惯和输出,而技术上更完整 - 它保留原始和修改的请求/响应 - 更难使用。
不幸的是,问题的答案比一个好的代理稍微复杂一点。除了购买代理或扫描仪并让它们运行之外,还有更多功能。一个人必须验证工具找到的任何东西,并且有一些人找不到任何东西。
tqbf对此here有很好的解释。
答案 4 :(得分:1)
我使用Nikto。
Nikto 是一个开源(GPL)Web服务器扫描程序,可针对多个项目对Web服务器执行全面测试,包括3500多个潜在危险文件/ CGI超过900台服务器上的版本,以及超过250台服务器上的版本特定问题。扫描项目和插件经常更新,可以自动更新(如果需要)。
Nikto并非设计为过于隐蔽的工具。它将在尽可能短的时间内测试Web服务器,并且在日志文件中相当明显。但是,如果您想尝试(或测试您的IDS系统),可以支持LibWhisker的反IDS方法。
此列表也可以提供帮助:Top 10 Web Vulnerability Scanners
答案 5 :(得分:1)
这些都是用于测试网络应用的笔测试
答案 6 :(得分:0)
我建议使用像findstr这样的简单字符串搜索工具进行手动检查。 这是asp.net的手动安全检查的一个很好的资源: http://msdn.microsoft.com/en-us/library/ms998364.aspx 或者,您可以直接跳到指导您找到安全漏洞的安全问题: http://msdn.microsoft.com/en-us/library/ms998375.aspx 我在这里得到了字符串搜索技术的摘要: http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
答案 7 :(得分:0)
您可以使用Paros或Netsparker进行安全测试。以下URL可帮助您找到一些安全测试工具:
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/