it-swarm.com.de

Welche Tools stehen zur Verfügung, um die Sicherheit einer Webanwendung zu bewerten?

Welche Tools stehen zur Verfügung, um die Sicherheit einer Webanwendung zu bewerten?

Bitte geben Sie eine kleine Beschreibung der Funktionsweise des Tools an.

pdate : Insbesondere suche ich nach Tools, die keinen Zugriff auf den Quellcode annehmen (Black Box).

63
Olivier Lalonde

es gibt eine große Anzahl von Apps, die für die Bewertung von Webanwendungen verwendet werden können. Eine Sache zu berücksichtigen ist, welche Art von Werkzeug Sie suchen. Einige von ihnen werden besser neben einem manuellen Test verwendet, während andere eher für nicht sicherheitsspezialisierte IT-Mitarbeiter als "Black-Box" -Scan-Tools konzipiert sind.

Darüber hinaus gibt es eine Vielzahl von Skripten und Point-Tools, mit denen bestimmte Bereiche der Sicherheit von Webanwendungen bewertet werden können.

Einige meiner Favoriten

Burp Suite - http://www.portswigger.net . Kostenloses und kommerzielles Tool. Hervorragende Ergänzung zu manuellen Tests und gute Scannerfähigkeit. Von professionellen Webanwendungstestern, die ich kenne, verwenden die meisten dies.

W3af - http://w3af.org/ - Open Source-Scan-Tool, scheint sich im Moment ziemlich zu entwickeln, konzentriert sich hauptsächlich auf das automatisierte Scannen von Dingen, erfordert immer noch einiges von Wissen effektiv zu nutzen.

Auf der reinen Scanseite stehen eine Reihe kommerzieller Tools zur Verfügung.

Netsparker - http://www.mavitunasecurity.com/netsparker/

IBM AppScan - http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__

Cenzic Hailstorm - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider - http://www.ntobjectives.com/ntospider

29
Rory McCune

Meine bevorzugte Werkzeugtasche für einen Black-Box-Web-App-Stift. Test ist derzeit:

  • BURP Suite "ist ein abfangender Proxyserver zum Testen der Sicherheit von Webanwendungen. Er fungiert als Man-in-the-Middle zwischen Ihrem Browser und der Zielanwendung."
  • Fiddler ein weiteres Proxy-Tool "Mit Fiddler können Sie den gesamten HTTP (S) -Verkehr überprüfen, Haltepunkte festlegen und mit eingehenden oder ausgehenden Daten" fummeln "."
  • Fiddler x5s-Addon - x5s soll Penetrationstestern dabei helfen, Sicherheitslücken bei Cross-Site-Scripting zu finden.
  • Fiddler watcher addo n - Watcher ist ein passives Laufzeitanalyse-Tool für Webanwendungen.

Die oben genannten Tools erfordern einige Kenntnisse, um mit voller Leistung arbeiten zu können, und werden am besten halbautomatisch verwendet (z. B. wählen Sie ein bestimmtes Webformular aus, das Sie testen möchten, richten Sie "Angriffsläufe" ein, überprüfen Sie die Ergebnisse und ermitteln Sie Schwachstellen oder zu testende Punkte Mehr)

Vollautomatische Scanner, um niedrig hängende Früchte zu fangen und die Testabdeckung zu erweitern:

  • Netsparker - automatisierter kommerzieller App-Scanner
  • Skipfish - automatisierter App-Scanner

Vielleicht AppScan oder WebInpsect wenn ich Zugriff auf eine Lizenz habe (diese Tools sind teuer)

15
Tate Hansen

Es ist schwierig, diese Liste auf dem neuesten Stand zu halten. Meiner Meinung nach - das ist eine schlechte Frage.

Die richtige Frage sollte lauten: "Welche Techniken stehen zur Verfügung, um die Sicherheit einer Webanwendung zu bewerten, wie werden sie üblicherweise implementiert und wie bleiben Sie über die neuesten Verbesserungen sowohl der Techniken als auch ihrer Implementierungen auf dem Laufenden?"

Zum Beispiel sind bereits bessere Tools verfügbar, da diese Antworten vorgebracht wurden: Hatkit, WATOBO, Arachnis Weboberfläche, et al.

Das Hauptproblem bei kommerziellen Tools ist ihre mangelnde Fähigkeit zur Innovation und Verbesserung. Zu diesem Zeitpunkt wurden fast alle kommerziellen Produkte im Bereich der Sicherheit von Webanwendungen durch Patentkriege und den Verlust von individuellem und sozialem Kapital beeinträchtigt. Wann haben Sie das letzte Mal eine GEMEINSCHAFT um einen App-Scanner, eine App-Firewall oder eine sicherheitsorientierte statische Analyse gesehen? PRODUKT/SERVICE? Die richtige Antwort lautet "NIE". Der Kampf geht um kostenlose (und/oder Open-Source-) Tools, mit denen versucht werden kann, Innovationen zu überwinden, die über die Barriere von 2004 hinausgehen, die von diesen idiotischen und nicht zukunftsorientierten Clowns ohne Talente aufgestellt wurden, die den App-Scanner, die App-Firewall und die Sicherheit besetzt haben. fokussierte statische Analyseunternehmen, die größtenteils nicht mehr existieren.

Wie in der 1.4beta von Burp Suite Professional zu sehen ist, ist PortSwigger die EINZIGE PERSON, die auf diesem Markt innovativ ist. Cigital ist innovativ, hat sich jedoch aus den Verbraucher- und Forschermärkten herausgepreist.

10
atdre

Ich habe SkipFish genossen

8
gbr

Und es gibt auch OWASP Zed Attack Proxy: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Um von der Homepage zu zitieren:

"Der Zed Attack Proxy (ZAP) ist ein einfach zu verwendendes integriertes Penetrationstest-Tool zum Auffinden von Schwachstellen in Webanwendungen.

Es wurde für Personen mit einem breiten Spektrum an Sicherheitserfahrungen entwickelt und ist daher ideal für Entwickler und Funktionstester, die noch keine Erfahrung mit Penetrationstests haben.

ZAP bietet automatisierte Scanner sowie eine Reihe von Tools, mit denen Sie Sicherheitslücken manuell finden können. "

Es ist eine Abzweigung von Paros und ist kostenlos, Open Source und wird aktiv gewartet.

Psiinon (ZAP-Projektleiter)

6
Psiinon

Warum probierst du nicht Arachni aus? Es ist geschrieben in Ruby und es scheint sehr vielversprechend zu sein.

6
Paolo Perego

Die Organisation OWASP ist eine gemeinnützige weltweite Organisation, die sich auf die Verbesserung der Sicherheit von Anwendungssoftware konzentriert und über einige nützliche Tools verfügt, die Hilfe bei der Erkennung) Schwachstellen und Anwendungen schützen .

4
Eric Warriner

Es gibt auch OWASP WebScarab und Paros .

diese Seite enthält jedoch eine Liste, die das enthalten sollte, was Sie möchten.

4
Jeff

Die unten aufgeführte Webseite des Web Application Security Consortium enthält eine Reihe verschiedener Tools für verschiedene Rollen.

http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

Einige der Tools, die ich regelmäßig verwende, sind:

AppScan und WebInspect: automatisierte Analysetools, die für die Automatisierung bestimmter Arten von Überprüfungen leistungsstark sind, jedoch keine umfassenden Inspektionsfunktionen bieten. Die Verwendung im manuellen Modus enthält einige interessante Funktionen, aber meiner Erfahrung nach behindert die Benutzeroberfläche die Funktionalität.

Zed Attack Proxy: Ein abfangender Proxy, der die Verzweigung und Aktualisierung des veralteten Paros-Proxys darstellt. Ziemlich leistungsfähig für manuelle Tests und enthält einige automatisierte Testfunktionen.

Skipfish: ein interessanter Hochgeschwindigkeits-Webanwendungsscanner; Es fehlt die Tiefe der Funktionen kommerzieller Anwendungsscanner, behauptet jedoch nie, sie zu haben. Es unterstützt keine erweiterten Scanfunktionen wie die Anwendungsauthentifizierung, verfügt jedoch über eine leistungsstarke Fuzzing-Funktion für bestimmte Arten von Fehlern.

4
ygjb

Nessus ist wirklich schlecht für das Fuzzing von Webanwendungen. Die Open-Source-Welt kann Wapiti , Skipfish und w3af (irgendwie kaputt) anbieten. Acunetix ist ein gutes kommerzielles Produkt zu einem vernünftigen Preis. NTOSpider ist eines der Fuzzing-Tools für Webanwendungen, kostet jedoch mehr als 10.000 US-Dollar und ist Ihr Erstgeborener. Sitewatch hat einen kostenlosen Service, der einen Besuch wert ist.

4
rook

Packet Storm verfügt über ein umfangreiches Archiv an Scannern:

http://packetstormsecurity.org/files/tags/scanner/

2
user1454

Da es niemand erwähnt hat, ist die Liste nsicher.orgs 's sectools.org ein guter Ausgangspunkt für Anwendungsressourcen im Allgemeinen, insbesondere für diejenigen, die relativ neu darin sind, aktiv zu sein beteiligt an netzwerkbezogener IT-Sicherheit. Wenn Sie es nicht ausgecheckt haben, würde ich Ihnen unbedingt empfehlen, sich die Top 100-Liste anzusehen, um sich mit einigen der verfügbaren Tools (insbesondere Angriffstools) vertraut zu machen. In Anbetracht der bereits erwähnten (und von anderen angenommenen) Vorbehalte finden Sie hier die Seite für ihre Top 10 Web Vulnerability Scanner .

2
jgbelacqua

Sie möchten wahrscheinlich auch einen Blick in die Burp Suite werfen. Sie haben eine kostenlose und kostenpflichtige Version, aber die kostenpflichtige Version ist relativ günstig.

2
wickett

Mein Lieblingswerkzeug für PCI DSS Audits/Assessments in Bezug auf Webanwendungen ist Fiddler (oder FiddlerCap). Sie können eines dieser Werkzeuge einem Neuling oder einer Oma geben, und sie können es herausfinden mit wenig Anleitung raus.

Sie erhalten von ihnen eine SAZ-Datei (oder FiddlerCap-Datei), in der sie den Speicherdialog verwenden, nachdem sie mit Internet Explorer ihre Webanwendung aufgerufen haben.

Anschließend können Sie den HTTP/TLS-Verkehr anzeigen und feststellen, wie die Anwendung funktioniert und wie sie Zahlungskarteninformationen verarbeitet. Das Fiddler-Plugin Casaba Watche r kann Sitzungen offline verarbeiten, nachdem Sie ihm einige Site-Informationen gegeben haben (fügen Sie die Top-Level-Domain und Subdomains hinzu). Watcher führt einige OWASP-ASVS-Aktivitäten aus, die Sie ASVS zuordnen und überprüfen können. Dies ist alles ohne Zugriff auf die Anwendung möglich (z. B. in einer QS- oder Entwicklungsumgebung). In der Regel möchten Sie diese Informationen abrufen, sobald ein Entwickler über einen Wifreframe-Build verfügt - lange bevor die Anwendung in die Bereitstellung oder Produktion geht.

Wenn Sie Zugriff auf die Webanwendung haben, kann Fiddler auch von weiterem Nutzen sein. Ich schlage vor, einen Teil auszuwählen, der Benutzereingaben enthält, und das Casaba x5s-Plugin dagegen auszuführen. Die Konfiguration von x5s ist ziemlich kompliziert, aber die Autoren und andere Online-Benutzer sind sicherlich bereit, Ihnen bei der Konfiguration und beim Verständnis der Ergebnisse zu helfen. Fiddler kann Anforderungen wiedergeben. Daher ist es am besten, diese Funktion zu verwenden (d. H. Jeweils eine Anforderung erneut abzuspielen), anstatt die Site live mit Fiddler und x5s zu durchsuchen, die für die Ausführung konfiguriert sind. Die Analyse der Ergebnisse ist nicht so kompliziert wie die Konfiguration, da Sie nicht unbedingt etwas über HTML oder JavaScript wissen müssen.

Die Ergebnisse dieser 3 Tools sind nicht schlüssig. Sie sind jedoch aussagekräftiger als die Ausführung eines Webanwendungsscanners oder Sicherheitstools - kommerziell, 500.000 USD/Jahr oder nicht. Ich empfehle NTOSpider, Acunetix, Netsparker, Hagelsturm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Free/Professional oder andere "Scanner/Tools" für PCI DSS audit oder Bewertungsarbeit.

Nach den Grundlagen müssen Sie ein Beratungsunternehmen für Anwendungssicherheit einstellen und mit ihm zusammenarbeiten, das sich auf diese Art von Bewertungen spezialisiert hat. Es ist sehr wahrscheinlich, dass sie über eigene Tools verfügen, die sie selbst entwickelt haben und die sie nicht teilen oder verkaufen möchten.

Sie möchten Zugriff auf eine Kopie des erstellbaren Quellcodes der Webanwendung (en). Es ist am besten, ihnen eine vmdk/OVF/VHD-Datei bereitzustellen, die eine Entwicklerkopie Ihres IDE und/oder Build-Servers mit einem funktionierenden Build enthält, einschließlich aller Abhängigkeiten und SDKs. Sie können dies dann Geben Sie die erforderliche Konfiguration und andere Empfehlungen an, wenn die App in die Bereitstellung oder Produktion geht.

2
atdre

Wapiti ist zwar ziemlich alt (veraltet?), Aber eine weitere freie Wahl: http://wapiti.sourceforge.net/

1
Ben Scobie

sie müssen mehrere Tools miteinander kombinieren, um gute Ergebnisse zu erzielen. Außerdem müssen Sie die Website auf Ihrem On belästigen (manuelle Tests). Die manuelle Methode ist besser, da keines der kommerziellen Tools die Geschäftslogik versteht. Daher empfehle ich die folgenden Tools:

für automatisierte Tools sind Acuentix, Netsparker, Burp Suite und Google Websecurify meiner Meinung nach gut geeignet, und Sie können Ihre Web-App mit mehr davon testen.

für die manuelle Methode müssen Sie die Top 10 von OWASP studieren, um sich über häufige Schwachstellen in Webanwendungen zu informieren. Anschließend sollten Sie mit dem Testen der Website beginnen.

die folgenden Tools helfen Ihnen bei der Durchführung manueller Tests: Paros Proxy zum Bearbeiten von HTTP-Anforderungen/-Antworten. Mit Fiddler können Sie den Datenverkehr überprüfen, Haltepunkte festlegen und mit eingehenden oder ausgehenden Daten "fummeln".

Firefox-Erweiterungen (Tamper Data, Webentwickler): Zum Bearbeiten der HTTP-Anforderung/Antwort, um zu sehen, wie Ihr Server reagiert. Google diese Tools und Sie werden viele Tutorials sehen, wie man sie verwendet

1
P3nT3ster