웹 사이트에 일반적인 취약점 (예 : SQL Injection, XSS)이 있는지 확인할 수있는 유용한 도구 (데스크톱 또는 온라인)가 있습니까?
웹 사이트에 일반적인 취약점 (예 : SQL Injection, XSS)이 있는지 확인할 수있는 유용한 도구 (데스크톱 또는 온라인)가 있습니까?
답변:
websecurify 는 내가 찾은 최고의 FOSS 프로젝트입니다.
Google의 Skipfish 는 매우 포괄적이며 제공하는 사전에서 작동하며 기본값 (표준 / 주방 싱크)이 포함되어 있습니다.
또한 내가 사용한 다른 것보다 조금 더 '부드럽습니다.'하지만 같은 기능을 가진 결과를 비교할 수는 없습니다.
작성된 C는 매우 유익한 출력을 가지며 사용이 매우 쉽습니다. 표준 * nix 서버 또는 빠른 연결이있는 경우 집에서 실행하는 것이 좋습니다. 또한 실시간 업데이트 기능을 갖춘 스마트 요청 대기열 시스템을 갖추고 있습니다. 실제로 작동하는 것을 보는 것은 재미 있습니다.
대부분의 취약점과 알지 못하는 다른 많은 문제에 대해보고합니다. 작은 pedantic이지만 pedantic은 그러한 도구에 좋은 품질입니다.
결과 스크린 샷 (조금) :
대체 텍스트 http://skipfish.googlecode.com/files/skipfish-screen.png
훌륭한 자동 오픈 소스 블랙 박스 웹 애플리케이션 취약점 스캐너가 많이 있습니다.
하나의 자동화 스캐너에만 의존하지 않는 것이 가장 좋습니다. 각 스캐너에는 장단점이 있으므로 항상 몇 가지를 실행하고 결과를 비교하십시오. 또한 오 탐지 및 오 탐지를 확인해야합니다.
자동화 된 취약점 검색은 그 자리에 있으며 유용하지만 항상 취약점을 이해하고 수동으로 추가 취약점을 확인할 수있는 보안 전문가가 백업해야합니다. 자동화 된 스캔은 좋은 시작이며 아무것도 아닌 것보다 낫습니다.
필자는 이런 종류의 작업을 오랫동안 수행해 왔으며 최상의 솔루션은 숙련 된 테스터를 사용하여 보안 프로필을 확인하는 것이지만 이러한 유형의 취약점에 대한 테스트는 실제로 자동화하기가 매우 쉽다는 데 동의합니다. 6 개월 동안 약 1000 개의 웹 애플리케이션을 테스트하는 프로그램을 관리 한 결과, 저를위한 뛰어난 툴은 IBM의 AppScan 및 Burp 라고 할 수 있습니다. 대부분의 경우 Burp는 더 가볍고 빠르며 구성 가능하며 훨씬 저렴합니다.
Burp가 입력 유효성 검사 오류를 확인하고 SQL 삽입 및 XSS 문제를 정렬하는 것이 매우 쉽습니다. 이러한 유형의 취약점에 대해 매우 우수한 적용 범위를 얻을 수 있습니다.
Acunetix 웹 취약점은 정말 좋습니다. 사용하고 정말 좋아합니다. XSS, SQL injection, 약한 업로드 시스템 등을 웹 사이트에서 스캔 할 수 있습니다. 즐기세요.