Quali strumenti sono disponibili per valutare la sicurezza di un'applicazione web?
Fornisci una breve descrizione di cosa fa lo strumento.
Aggiornamento: Più in particolare, sto cercando strumenti che non ammettono l'accesso al codice sorgente (scatola nera).
c'è un gran numero di app che possono essere utilizzate nelle valutazioni delle applicazioni web. Una cosa da considerare è che tipo di strumento stai cercando. Alcuni di questi sono meglio utilizzati insieme a un test manuale, mentre altri sono più progettati per il personale IT non specializzato in sicurezza come strumenti di scansione più "black box".
Inoltre, esiste una vasta gamma di script e strumenti di punti che possono essere utilizzati per valutare aree specifiche della sicurezza delle applicazioni Web.
Alcuni dei miei preferiti
Suite Burp - link . Strumento gratuito e commerciale. Eccellente aggiunta al test manuale e ha anche una buona capacità di scanner. Dei tester di applicazioni web professionali che conosco, la maggior parte la uso.
W3af - link - Lo strumento di scansione open source, che al momento sembra essere in via di sviluppo, si concentra principalmente sul lato di scansione automatizzato di cose, è ancora richiede un bel po 'di conoscenza da usare in modo efficace.
Sul lato di scansione puro sono disponibili numerosi strumenti commerciali.
Netsparker - link
IBM AppScan - link
HP WebInspect - link ^ 9570_4000_100 __
Hailstorm Cenzic - link
Acunetix WVS - link
NTObjectives NTOSpider - link
La mia borsa degli attrezzi preferita per fare una penna per app web black box. il test è attualmente:
Gli strumenti di cui sopra richiedono una certa familiarità per esercitarsi a piena potenza e sono utilizzati al meglio in modo semi-automatico (ad esempio, scegliere un modulo Web specifico che si desidera testare, impostare le corse di "attacco", quindi rivedere i risultati e individuare vulnerabilità o punta a testare di più)
Scanner completamente automatizzati per catturare frutta a basso impatto e per ottenere ampiezza nella copertura del test:
Forse AppScan o WebInpsect se ho accesso a una licenza (questi strumenti sono costosi)
È difficile mantenere questo elenco aggiornato. A mio parere, questa è una BISTA DOMANDA.
La domanda corretta dovrebbe essere "Quali tecniche sono disponibili per valutare la sicurezza di un'applicazione web, come vengono comunemente implementate e come tenere aggiornati gli ultimi miglioramenti sia alle tecniche che alle loro implementazioni?"
Ad esempio, sono già disponibili strumenti migliori dal momento che queste risposte sono state avanzate: Hatkit, WATOBO, l'interfaccia web di Arachni, ecc.
Il problema principale degli strumenti commerciali è la mancanza di capacità di innovare e migliorare. A questo punto - quasi tutti i prodotti commerciali nello spazio di sicurezza delle applicazioni web sono stati ostacolati da guerre di brevetti e perdita di capitale sociale e individuale. Quando è stata l'ultima volta che hai visto una COMMUNITY su uno scanner di app, un firewall app o un'analisi statica incentrata sulla sicurezza PRODUCT / SERVICE? La risposta corretta, sì, è "MAI". La battaglia è per strumenti gratuiti (e / o open source) per cercare di innovare oltre la barriera del 2004 avanzata da questi pagliacci idioti e non lungimiranti senza talento che equipaggia lo scanner di app, il firewall app e la sicurezza. società di analisi statica focalizzate che sono per lo più ormai defunte.
Letteralmente, come visto nel 1.4beta di Burp Suite Professional, l'unica persona innovativa in questo mercato è PortSwigger. Cigital innova, ma si è stabilito al di fuori dei mercati dei consumatori e dei ricercatori.
E c'è anche OWASP Zed Attack Proxy: link
Per citare dalla home page:
"ZED Attack Proxy (ZAP) è uno strumento di test di penetrazione integrato facile da usare per la ricerca di vulnerabilità nelle applicazioni web.
È progettato per essere utilizzato da persone con una vasta gamma di esperienze di sicurezza e come tale è l'ideale per sviluppatori e tester funzionali che sono nuovi ai test di penetrazione.
ZAP fornisce scanner automatici e una serie di strumenti che ti consentono di individuare le vulnerabilità della sicurezza manualmente. "
È un fork di Paros ed è gratuito, open source e mantenuto attivamente.
Psiinon (lead del progetto ZAP)
L'organizzazione OWASP è un'organizzazione benefica mondiale senza scopo di lucro, incentrata sul miglioramento della sicurezza del software applicativo e ha alcuni buoni strumenti per aiuta a rilevare le vulnerabilità e proteggere le applicazioni .
La pagina Web del Consorzio per la sicurezza delle applicazioni Web elencata di seguito contiene una serie di strumenti diversi per i diversi ruoli.
Alcuni degli strumenti che uso regolarmente sono:
AppScan e WebInspect: strumenti di analisi automatici, potenti per l'automazione di alcuni tipi di controlli ma privi di capacità di ispezione approfondite. Utilizzato in modalità manuale contiene alcune caratteristiche interessanti, ma nella mia esperienza l'interfaccia utente interferisce con la funzionalità.
Zed Attack Proxy: un proxy di intercettazione che è fork e aggiornamento di Paros Proxy mal datato. Abbastanza potente per il test manuale e contiene alcune funzioni di test automatico.
Skipfish: un interessante scanner per applicazioni Web ad alta velocità; manca della profondità del set di funzionalità degli scanner di applicazioni commerciali, ma non afferma mai di averli. Non supporta funzionalità di scansione avanzate come l'autenticazione delle applicazioni, ma ha una potente funzionalità di fuzzing per determinati tipi di difetti.
Nessus davvero pessimo per la confusione di applicazioni web. Il mondo open source può offrire Wapiti , Skipfish e w3af (tipo di rottura). Acunetix è un buon prodotto commerciale ad un prezzo ragionevole. NTOSpider è uno degli strumenti di fuzzing delle applicazioni Web, ma costa $ 10.000 + e il tuo primogenito. Sitewatch ha un servizio gratuito che vale la pena di verificare.
C'è anche OWASP WebScarab e Paros .
Tuttavia, questa pagina contiene un elenco che dovrebbe avere quello che vuoi.
Poiché nessuno lo ha menzionato, insecure.orgs sectools .org list è un ottimo punto di partenza per le risorse applicative in generale, specialmente per chi è relativamente nuovo per essere attivamente coinvolto nella sicurezza IT relativa alla rete. Se non l'hai verificato, ti consiglio caldamente di consultare la lista Top 100 per familiarizzare con alcuni degli strumenti (in particolare gli strumenti di attacco) disponibili. Tenendo presente le avvertenze già menzionate (e altre ipotizzate), ecco la pagina dei loro Top 10 Scanner delle vulnerabilità Web .
Probabilmente vorresti anche esaminare Burp Suite. Hanno una versione gratuita ea pagamento ma la versione a pagamento è relativamente economica.
Il mio strumento preferito per gli audit / valutazioni PCI DSS in termini di applicazione web è Fiddler (o FiddlerCap). Puoi dare uno di questi strumenti a un principiante o nonna e saranno in grado di capirlo con poche istruzioni.
Devi inviarti un file SAZ (o FiddlerCap), che li coinvolge usando la finestra di dialogo di salvataggio dopo aver usato Internet Explorer per visualizzare la loro webapp.
Quindi è possibile visualizzare il traffico HTTP / TLS e determinare come funziona l'applicazione e come elabora le informazioni della carta di pagamento. Il plugin Fiddler, Casaba Watche r può elaborare le sessioni offline dopo aver fornito alcune informazioni sul sito (aggiungere il dominio di primo livello e i sottodomini). Watcher eseguirà alcune attività di OWASP ASVS, che è possibile eseguire il mapping ad ASVS e revisionarle. Tutto ciò è possibile senza accesso all'applicazione (ad esempio, potrebbe essere in un ambiente QA o dev). In genere, desideri ottenere queste informazioni non appena uno sviluppatore dispone di una build wifreframe disponibile, molto prima che l'applicazione entri in produzione o in staging.
Se hai accesso alla webapp, allora Fiddler può anche essere di ulteriore utilizzo. Suggerisco di selezionare qualsiasi parte che abbia input dell'utente e che esegua il plug-in Casaba x5s contro di esso. La configurazione di x5s è piuttosto complicata, ma gli autori e gli altri utenti online sarebbero certamente disposti ad aiutarti a configurarlo e a comprenderne i risultati. Fiddler ha la capacità di riprodurre le richieste, quindi è meglio usare questa funzionalità (ad esempio, riprodurre una richiesta alla volta) invece di esplorare il sito in diretta con Fiddler e x5s configurati per l'esecuzione. L'analisi dei risultati non è complicata come la configurazione, in quanto non richiede assolutamente che tu sappia nulla su HTML o JavaScript.
I risultati di questi 3 strumenti non sono conclusivi. Tuttavia, sono PIÙ conclusivi rispetto all'esecuzione di uno scanner di applicazioni Web o di uno strumento di sicurezza: commerciale, $ 500K all'anno, o meno. Non raccomando NTOSpider, Acunetix, Netsparker, Hailstorm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Free / Professional, o qualsiasi altro "scanner / strumento" per l'audit PCI o il lavoro di valutazione.
Ciò di cui hai bisogno dopo le basi è assumere e lavorare con una società di consulenza sulla sicurezza delle applicazioni specializzata in questo tipo di valutazioni. È estremamente probabile che abbiano i propri strumenti, sviluppati in casa, che non sono disposti a condividere o vendere.
Vogliono accedere a una copia del codice sorgente compilabile delle applicazioni web. È meglio fornire a loro un file vmdk / OVF / VHD che includa una copia sviluppatore del tuo IDE e / o build server con una build funzionante, comprese tutte le dipendenze e gli SDK. Possono quindi fornire la configurazione necessaria e altri consigli per quando l'app va in scena o in produzione.
devi combinare più strumenti per ottenere buoni risultati e anche devi molestare il sito web sul tuo (test manuali) e il metodo manuale è migliore perché non gli strumenti commerciali comprendono la logica di business, quindi ti suggerisco di strumenti seguenti:
per gli strumenti automatici penso che acuentix, netsparker, burp suite, websecurify di google siano buoni da usare e puoi testare la tua app web con più di essi.
per il metodo manuale devi studiare la top 10 di OWASP per conoscere le vulnerabilità più comuni delle applicazioni web e dopo devi iniziare a testare il sito web.
i seguenti strumenti ti aiuteranno molto a fare test manuali: Proxy Paros per modificare la richiesta / risposta HTTP. Il violinista ti consente di ispezionare il traffico, impostare i breakpoint e "giocherellare" con i dati in entrata o in uscita.
Estensioni di Firefox (dati di manomissione, sviluppatore web): per modificare la richiesta / risposta HTTP per vedere come reagisce il server. Google questi strumenti e vedrai un sacco di tutorial là fuori su come usarli
Leggi altre domande sui tag tools web-application appsec penetration-test web-scanners