Scanner di vulnerabilità del sito Web in Java e Open Source [chiuso]

2

Sto lavorando su una piattaforma Web che deve avere bisogno di avere un buon livello di sicurezza.

Pertanto, sono interessato a uno strumento di buona qualità per testare il mio QA sulla sicurezza della piattaforma Web.

La mia principale competenza di programmazione è Java.

Esiste uno strumento veramente valido e open source per la scansione del sito web, ad es. OWASP, controllo automatico dei cookie e cose simili. Idealmente scritto in Java (deve essere in grado di personalizzarlo)

In attesa di ricevere i tuoi suggerimenti,

    
posta BlueBerry - Vignesh4303 27.03.2013 - 22:17
fonte

5 risposte

5

Puoi eseguire alcune scansioni automatiche con OWASP ZAP o Burp (Burp non è gratuito).

    
risposta data 28.03.2013 - 08:10
fonte
3

Se decidi di utilizzare ZAP (e ovviamente spero che tu lo faccia), ti preghiamo di prendere in considerazione l'alimentazione delle personalizzazioni necessarie per tornare in ZAP. ZAP è un progetto comunitario: cerchiamo di incoraggiare quante più persone possibile a essere coinvolti. E se invii un codice di buona qualità, ti daremo l'accesso al commit:)

Abbiamo anche un gruppo di sviluppatori molto attivo, quindi se hai domande sugli interni di ZAP chiedigli qui: link

Saluti,

Simon (responsabile progetto ZAP)

    
risposta data 07.04.2013 - 19:03
fonte
1

Per citarne alcuni, w3af (buono), skipfish , Arachni (ottimo rapporto), OWASP ZAP , VEGA , Wapiti

Questi sono i pochi con cui ho lavorato. Tuttavia non sono scritti in Java. w3af e Wapiti sono scritti in python, Arachni in ruby, Skipfish è scritto in C. Non sono sicuro di VEGA e credo che OWASP ZAP sia scritto in Java

    
risposta data 28.03.2013 - 09:54
fonte
0

Stai sviluppando la piattaforma Web da solo? Se sì, dai uno sguardo al più recente OWASP Top Ten 2013 , in particolare i meccanismi di prevenzione.

Gli strumenti menzionati da aRun e Lucas sono fantastici, ma se non hai mai lavorato con loro in precedenza, probabilmente troverai solo problemi di sicurezza molto ovvi. Se la piattaforma richiede realmente un "buon livello di sicurezza" (qualunque cosa significhi esattamente), è probabile che tu debba acquisire qualcun altro con la conoscenza dei test di sicurezza delle applicazioni Web per controllare il tuo sito.

    
risposta data 28.03.2013 - 11:34
fonte
0

Un'ottima risorsa in quest'area è il Consorzio per la sicurezza delle applicazioni Web . Hanno un po 'datato elenco di scanner per la sicurezza delle applicazioni Web suddiviso per licenza tipo.

I due che sarebbero più rilevanti per te in base ai requisiti Java / Open Source sono OWASP ZAP e andiparos . Lo sviluppo di andiparos sembra essersi fermato nel 2010 per concentrarsi su ZAP. Quindi ZAP è probabilmente la soluzione migliore.

    
risposta data 29.03.2013 - 15:48
fonte

Leggi altre domande sui tag