일반적인 취약점을 확인하는 도구?

웹 사이트에 일반적인 취약점 (예 : SQL Injection, XSS)이 있는지 확인할 수있는 유용한 도구 (데스크톱 또는 온라인)가 있습니까?

websecurify 는 내가 찾은 최고의 FOSS 프로젝트입니다.

Google의 Skipfish 는 매우 포괄적이며 제공하는 사전에서 작동하며 기본값 (표준 / 주방 싱크)이 포함되어 있습니다.

또한 내가 사용한 다른 것보다 조금 더 '부드럽습니다.'하지만 같은 기능을 가진 결과를 비교할 수는 없습니다.

작성된 C는 매우 유익한 출력을 가지며 사용이 매우 쉽습니다. 표준 * nix 서버 또는 빠른 연결이있는 경우 집에서 실행하는 것이 좋습니다. 또한 실시간 업데이트 기능을 갖춘 스마트 요청 대기열 시스템을 갖추고 있습니다. 실제로 작동하는 것을 보는 것은 재미 있습니다.

대부분의 취약점과 알지 못하는 다른 많은 문제에 대해보고합니다. 작은 pedantic이지만 pedantic은 그러한 도구에 좋은 품질입니다.

결과 스크린 샷 (조금) :

대체 텍스트 http://skipfish.googlecode.com/files/skipfish-screen.png

훌륭한 자동 오픈 소스 블랙 박스 웹 애플리케이션 취약점 스캐너가 많이 있습니다.

• w3af
• 웹 보안
• 가재
• Netsparker Community Edition (제한된 기능으로 무료)
• 닛토

하나의 자동화 스캐너에만 의존하지 않는 것이 가장 좋습니다. 각 스캐너에는 장단점이 있으므로 항상 몇 가지를 실행하고 결과를 비교하십시오. 또한 오 탐지 및 오 탐지를 확인해야합니다.

자동화 된 취약점 검색은 그 자리에 있으며 유용하지만 항상 취약점을 이해하고 수동으로 추가 취약점을 확인할 수있는 보안 전문가가 백업해야합니다. 자동화 된 스캔은 좋은 시작이며 아무것도 아닌 것보다 낫습니다.

Microsoft는이를 수행하는 코드 분석 도구 를 보유하고 있습니다 (여기에는 채널 9 비디오 가 있으며 여기에는 v1 용 다운로드 링크 가 있습니다). Wikipedia에는 정적 코드 분석 도구 목록도 있습니다.

Google의 RatProxy 는 XSS를 확인하기위한 훌륭한 옵션이기도합니다. 프록시로 설정되어 작동하므로 사이트를 정상적으로 테스트 할 때 브라우저를 따라 가기 때문에 사용하기 쉽습니다. 모든 상호 작용, POST, GET 등을 기록하고 악의적 인 콘텐츠를 주입하려는 상호 작용을 재생할 수 있습니다. 요청을 재생하면 출력에 XSS 부호가 있는지 확인합니다. 또한 전체 HTTP 라이프 사이클에 대한 기록을 유지하므로 추가 디버깅에 사용할 수 있습니다.

HP는 일반적인 SQL 인젝션 취약점을 확인하는 Scrawlr 을 보유하고 있습니다.

필자는 이런 종류의 작업을 오랫동안 수행해 왔으며 최상의 솔루션은 숙련 된 테스터를 사용하여 보안 프로필을 확인하는 것이지만 이러한 유형의 취약점에 대한 테스트는 실제로 자동화하기가 매우 쉽다는 데 동의합니다. 6 개월 동안 약 1000 개의 웹 애플리케이션을 테스트하는 프로그램을 관리 한 결과, 저를위한 뛰어난 툴은 IBM의 AppScan 및 Burp 라고 할 수 있습니다. 대부분의 경우 Burp는 ​​더 가볍고 빠르며 구성 가능하며 훨씬 저렴합니다.

Burp가 입력 유효성 검사 오류를 확인하고 SQL 삽입 및 XSS 문제를 정렬하는 것이 매우 쉽습니다. 이러한 유형의 취약점에 대해 매우 우수한 적용 범위를 얻을 수 있습니다.

w3af 는 웹 감사를위한 최고의 제품 중 하나이며 FOSS이기도합니다.

"w3af는 웹 응용 프로그램 공격 및 감사 프레임 워크입니다.이 프로젝트의 목표는 사용 및 확장이 쉬운 웹 응용 프로그램 취약점을 찾아서 악용 할 프레임 워크를 만드는 것입니다."

시도해보십시오

Acunetix 웹 취약점은 정말 좋습니다. 사용하고 정말 좋아합니다. XSS, SQL injection, 약한 업로드 시스템 등을 웹 사이트에서 스캔 할 수 있습니다. 즐기세요.