Scanner / strumento per generare una lista con tutti i moduli e campi di inserimento di un sito web [chiuso]

-1

Non ho molta esperienza con la sicurezza delle informazioni ma conosco alcune nozioni di base sugli attacchi per iniezione e altri attacchi basati sul web. Esiste uno strumento / crawler per trovare tutti i moduli e i campi di input di un intero sito web?

Conosco i componenti aggiuntivi di firefox e chrome che mostrano i dettagli del modulo del sito web attualmente visualizzato. Quello di cui ho bisogno è uno strumento come uno scanner di sicurezza / crawler di siti Web che esegue automaticamente la scansione dell'intero sito Web per moduli e genera un file utile o mostra una panoramica con moduli e campi di input. Io uso Linux e voglio controllare un sito web sviluppato localmente per moduli e campi di input.

modifica: non ho usato alcuno strumento di sicurezza prima di conoscere solo alcune nozioni di base di libri e articoli da internet

    
posta clinical 02.09.2014 - 18:40
fonte

1 risposta

2

Se stai cercando di catalogare tutti i possibili input di attacco, la creazione di un elenco di tutti i campi di input del modulo sarebbe incompleta e potrebbe portare a un falso senso di sicurezza. Esistono molte altre potenziali origini di attacco (i parametri nell'URL sono molto comuni).

Una cosa che mi ha aiutato quando ho iniziato a guardare la sicurezza del sito Web è stata quella di iniziare a vederlo dal livello di richiesta HTTP piuttosto che da un livello HTML. Se qualcuno sta attaccando il tuo sito, probabilmente ti attaccheranno anche tu formando il livello di richiesta HTTP.

Personalmente uso Burp Suite per i miei test di sicurezza. Hanno una versione gratuita e ti forniscono gli strumenti necessari per raccogliere un elenco di tutte le possibili richieste HTTP che possono essere fatte al sito.

Inoltre ho trovato che il manuale degli hacker di applicazioni web è uno strumento molto utile per comprendere le vulnerabilità della sicurezza. In particolare, guarda il capitolo Web Application Hacker’s Methodology

    
risposta data 02.09.2014 - 19:25
fonte