Scanner di vulnerabilità del sito Web in Java e Open Source [chiuso]

Puoi eseguire alcune scansioni automatiche con OWASP ZAP o Burp (Burp non è gratuito).

Se decidi di utilizzare ZAP (e ovviamente spero che tu lo faccia), ti preghiamo di prendere in considerazione l'alimentazione delle personalizzazioni necessarie per tornare in ZAP. ZAP è un progetto comunitario: cerchiamo di incoraggiare quante più persone possibile a essere coinvolti. E se invii un codice di buona qualità, ti daremo l'accesso al commit:)

Abbiamo anche un gruppo di sviluppatori molto attivo, quindi se hai domande sugli interni di ZAP chiedigli qui: link

Saluti,

Simon (responsabile progetto ZAP)

Per citarne alcuni, w3af (buono), skipfish , Arachni (ottimo rapporto), OWASP ZAP , VEGA , Wapiti

Questi sono i pochi con cui ho lavorato. Tuttavia non sono scritti in Java. w3af e Wapiti sono scritti in python, Arachni in ruby, Skipfish è scritto in C. Non sono sicuro di VEGA e credo che OWASP ZAP sia scritto in Java

Stai sviluppando la piattaforma Web da solo? Se sì, dai uno sguardo al più recente OWASP Top Ten 2013 , in particolare i meccanismi di prevenzione.

Gli strumenti menzionati da aRun e Lucas sono fantastici, ma se non hai mai lavorato con loro in precedenza, probabilmente troverai solo problemi di sicurezza molto ovvi. Se la piattaforma richiede realmente un "buon livello di sicurezza" (qualunque cosa significhi esattamente), è probabile che tu debba acquisire qualcun altro con la conoscenza dei test di sicurezza delle applicazioni Web per controllare il tuo sito.

Un'ottima risorsa in quest'area è il Consorzio per la sicurezza delle applicazioni Web . Hanno un po 'datato elenco di scanner per la sicurezza delle applicazioni Web suddiviso per licenza tipo.

I due che sarebbero più rilevanti per te in base ai requisiti Java / Open Source sono OWASP ZAP e andiparos . Lo sviluppo di andiparos sembra essersi fermato nel 2010 per concentrarsi su ZAP. Quindi ZAP è probabilmente la soluzione migliore.