Qualcuno conosce un modo per gestire le vulnerabilità della sicurezza delle applicazioni Web? Sto cercando uno strumento che potrebbe integrarsi con selenio e rutto. Voglio essere in grado di eseguire i test più e più volte. Nell'applicazione dobbiamo essere in un certo punto dell'applicazione per sfruttare determinate vulnerabilità. Non sono sicuro che qualcosa del genere sia là fuori, ma immagino che lo chiederei. L'open source sarebbe preferibile.
Ci sono alcune opzioni ... tecnicamente non supponiamo di fornire raccomandazioni basate sul fornitore nelle nostre risposte, ma ... ad esempio:
HP Webinspect eseguirà scansioni di vulnerabilità delle applicazioni Web e consentirà di ripristinare / eseguire nuovamente la scansione / verificare che siano state implementate correzioni o correzioni senza riesaminare l'intera applicazione.
Si integra inoltre con HP Quality Center e IBM Rational ClearQuest per il monitoraggio delle vulnerabilità.
Esistono altri scanner di vulnerabilità di più fornitori disponibili, come Acunetix, Nessus, Qualys e BeyondTrust, ma non conosco le loro offerte e avranno vari gradi di supporto per la scansione di "applicazioni web".
Per me, sembra che tu abbia due domande separate:
Per quanto riguarda il monitoraggio, potresti essere in grado di sfruttare la dipendenza della dipendenza OWASP
Dependency-Track has two main goals:
Document the use of third-party components across multiple applications and determine the use of vulnerable components across applications
O possibilmente VScan
VScan was created as after a vulnerability assessment it can sometimes be difficult to track the implementation of a security improvement program, so this tool can help you measure your progress and simplify the process of fixing any problems found.
Oppure ThreadFix
ThreadFix is a software vulnerability aggregation and management system that reduces the time it takes to fix software vulnerabilities. ThreadFix imports the results from dynamic, static and manual testing to provide a centralized view of software security defects across development teams and applications.
Leggi altre domande sui tag web-application opensource vulnerability-scanners