Есть ли какой-нибудь инструмент, который вы рекомендуете для тестирования безопасности веб-приложений?
Я использовал WebScarab из OWASP, но считаю его немного сложным и громоздким в использовании.
Есть ли что-нибудь еще лучше, что вы бы предложили использовать?
Вместо WebScarab попробуйте прокси-сервер Fiddler (http://www.fiddlertool.com). Гораздо удобнее.
Кроме этого, "тестирование безопасности" - очень широкий термин.
По крайней мере, у вас есть:
У HP есть приложение для тестирования инъекций SQL под названием Scrawlr.
Fortify преуспел для нас.
Я работаю в компании, которая тестирует проникновение в веб-приложение как часть этого бизнеса. Мы используем много разных инструментов. Некоторые из них - один из инструментов Ruby для конкретных проектов или в разработанных структурах или прокси-серверах (снова Ruby). Большинство тестирования проникновения в веб-приложение выполняется с использованием webscarab, burpsuite или paros proxy. У всех есть какая-то функция ведения журнала, приличное количество мощности и недостаток или два.
Я действительно нашел webscarab самым простым в использовании. Но он не обрабатывает VIEWSTATE или делает много для поиска. Мы действительно нашли данные в VIEWSTATE, которых не должно быть, поэтому, когда мы их видим, мы склонны переключаться на другой прокси. Burpsuite - мой следующий выбор. Он обрабатывает VIEWSTATE, но интерфейс требует многого, и его результат в то время как технически более полный - он сохраняет исходные и измененные запросы/ответы - сложнее использовать.
К сожалению, ответ на ваш вопрос немного сложнее, чем просто хороший прокси. Для этого есть нечто большее, чем просто поднять прокси или сканер и позволить им работать. Человек должен проверять все, что находит инструмент, и есть что-то, кроме человека.
tqbf имеет хорошее объяснение этого здесь.
Я использую Nikto.
Nikto - это сканер веб-сервера с открытым исходным кодом (GPL), который выполняет комплексные тесты против веб-серверов для нескольких элементов, в том числе более 3500 потенциально опасных файлов /CGI, версий на более чем 900 серверах и конкретных версий проблемы на более чем 250 серверах. Детали сканирования и плагины часто обновляются и могут автоматически обновляться (при желании).
Nikto не разработан как слишком скрытый инструмент. Он будет тестировать веб-сервер в кратчайшие сроки, и это довольно очевидно в файлах журналов. Тем не менее, существует поддержка методов Anti-IDS LibWhisker, если вы хотите попробовать (или проверить свою систему IDS).
Этот список также может помочь: Топ-10 сканеров уязвимостей в Интернете
Все это для веб-приложений для проверки пера
Я бы предложил использовать ручную проверку с помощью простых инструментов поиска строк, таких как findstr. Вот большой ресурс ручной проверки безопасности для asp.net: http://msdn.microsoft.com/en-us/library/ms998364.aspx Или вы можете перейти прямо к вопросам безопасности, которые помогут вам найти уязвимости безопасности: http://msdn.microsoft.com/en-us/library/ms998375.aspx У меня есть сводка методов поиска строк здесь: http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx
Вы можете использовать Paros или Netsparker для тестирования безопасности. Следующий URL-адрес может помочь найти некоторые средства тестирования безопасности:
http://www.webresourcesdepot.com/10-free-web-application-security-testing-tools/