it-swarm-es.com

¿Qué herramientas están disponibles para evaluar la seguridad de una aplicación web?

¿Qué herramientas están disponibles para evaluar la seguridad de una aplicación web?

Proporcione una pequeña descripción de lo que hace la herramienta.

Actualización: Más específicamente, estoy buscando herramientas que supongan que no hay acceso al código fuente (cuadro negro).

63
Olivier Lalonde

hay una gran cantidad de aplicaciones que se pueden utilizar en las evaluaciones de aplicaciones web. Una cosa a considerar es qué tipo de herramienta estás buscando. Algunos de ellos se utilizan mejor junto con una prueba manual, donde otros están más diseñados para personal de TI no especializado en seguridad como más herramientas de escaneo de "caja negra".

Además de eso, hay una gran variedad de scripts y herramientas de puntos que se pueden utilizar para evaluar áreas específicas de seguridad de aplicaciones web.

Algunos de mis favoritos

Conjunto de eructos - http://www.portswigger.net . Herramienta gratuita y comercial. Excelente complemento a las pruebas manuales y también tiene una buena capacidad de escáner. De los probadores profesionales de aplicaciones web que conozco, la mayoría usa esto.

W3af - http://w3af.org/ - La herramienta de escaneo de código abierto, parece estar desarrollándose bastante en este momento, principalmente se enfoca en el lado de escaneo automatizado de las cosas, todavía requiere bastante de conocimiento para usar de manera efectiva.

En el lado del escaneo puro, hay una serie de herramientas comerciales disponibles.

Netsparker - http://www.mavitunasecurity.com/netsparker/

IBM AppScan - http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__

Cenzic Granizo - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider - http://www.ntobjectives.com/ntospider

29
Rory McCune

Mi bolsa de herramientas preferida para hacer un lápiz de aplicación web de caja negra. prueba es actualmente:

  • BURP Suite "es un servidor proxy interceptor para pruebas de seguridad de aplicaciones web. Funciona como un intermediario entre su navegador y la aplicación de destino"
  • Fiddler otra herramienta proxy "fiddler le permite inspeccionar todo el tráfico HTTP (S), establecer puntos de interrupción y" violín "con datos entrantes o salientes"
  • Fiddler complemento x5s - x5s tiene como objetivo ayudar a los probadores de penetración a encontrar vulnerabilidades de secuencias de comandos en sitios cruzados.
  • Fiddler watcher addo n - Watcher es una herramienta de análisis pasivo en tiempo de ejecución para aplicaciones web.

Las herramientas anteriores requieren cierta familiaridad para manejar a plena potencia y se utilizan mejor de una manera semiautomática (por ejemplo, elija un formulario web específico que desee probar, configure ejecuciones de "ataque", luego revise los resultados y señale las vulnerabilidades o puntos para probar más)

Escáneres totalmente automatizados para capturar fruta baja y obtener cobertura de prueba amplia:

  • Netsparker - escáner de aplicaciones comerciales automatizado
  • Skipfish - escáner de aplicaciones automatizado

Tal vez AppScan o WebInpsect si tengo acceso a una licencia (estas herramientas son caras)

15
Tate Hansen

Es difícil mantener esta lista actualizada. En mi opinión, esta es una MALA PREGUNTA.

La pregunta correcta debería ser "¿Qué técnicas están disponibles para evaluar la seguridad de una aplicación web, cómo se implementan comúnmente y cómo se mantiene al día con las últimas mejoras tanto en las técnicas como en sus implementaciones?"

Por ejemplo, ya están disponibles mejores herramientas desde que se presentaron estas respuestas: Hatkit, WATOBO, la interfaz web de Arachni, et al.

El principal problema con las herramientas comerciales es su falta de capacidad para innovar y mejorar. En este punto, casi todos los productos comerciales en el espacio de seguridad de aplicaciones web se han visto afectados por las guerras de patentes y la pérdida de capital individual y social. ¿Cuándo fue la última vez que vio una COMUNIDAD en torno a un escáner de aplicaciones, firewall de aplicaciones o análisis estático centrado en la seguridad PRODUCTO/SERVICIO? La respuesta correcta, sí, es "NUNCA". La batalla es por herramientas gratuitas (y/o de código abierto) para intentar innovar más allá de la barrera de 2004 presentada por estos payasos sin talento idiotas y no progresistas que atendieron el escáner de aplicaciones, el firewall de aplicaciones y la seguridad. empresas de análisis estático centrado que en su mayoría ahora están desaparecidas.

Literalmente, como se ve en la 1.4beta de Burp Suite Professional, la ÚNICA PERSONA que innova en este mercado es PortSwigger. Cigital innova, pero se han desterrado de los mercados de consumidores e investigadores.

10
atdre

Disfruté SkipFish

8
gbr

Y también hay OWASP Zed Attack Proxy: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Para citar desde la página de inicio:

"El Zed Attack Proxy (ZAP) es una herramienta de prueba de penetración integrada fácil de usar para encontrar vulnerabilidades en aplicaciones web.

Está diseñado para ser utilizado por personas con una amplia gama de experiencia en seguridad y, como tal, es ideal para desarrolladores y probadores funcionales que son nuevos en las pruebas de penetración.

ZAP proporciona escáneres automáticos, así como un conjunto de herramientas que le permiten encontrar vulnerabilidades de seguridad de forma manual ".

Es una bifurcación de Paros y es gratis, de código abierto y se mantiene activamente.

Psiinon (líder del proyecto ZAP)

6
Psiinon

¿Por qué no le das una oportunidad a Arachni ? Está escrito en Ruby y parece ser muy prometedor.

6
Paolo Perego

La organización OWASP es una organización benéfica mundial sin fines de lucro centrada en mejorar la seguridad del software de aplicación y tiene algunas herramientas agradables para ayudar a detectar vulnerabilidades y proteger aplicaciones .

4
Eric Warriner

También hay OWASP WebScarab y Paros .

Sin embargo, esta página contiene una lista que debe tener lo que desea.

4
Jeff

La página web del Consorcio de seguridad de aplicaciones web que se enumera a continuación contiene varias herramientas diferentes para diferentes roles.

http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

Algunas de las herramientas que uso regularmente son:

AppScan y WebInspect: herramientas de análisis automatizadas, potentes para automatizar ciertos tipos de comprobaciones pero carecen de capacidades de inspección profunda. Utilizado en modo manual contiene algunas características interesantes, pero en mi experiencia la interfaz de usuario se interpone en el camino de la funcionalidad.

Proxy de ataque Zed: un proxy interceptor que es fork y actualización del proxy Paros mal actualizado. Bastante potente para pruebas manuales, y contiene algunas características de prueba automatizadas.

Skipfish: un interesante escáner de aplicaciones web de alta velocidad; carece de la profundidad del conjunto de características de los escáneres de aplicaciones comerciales, pero nunca afirma tenerlos. No admite funciones de escaneo avanzadas como la autenticación de aplicaciones, pero tiene una poderosa capacidad de borrado para ciertos tipos de defectos.

4
ygjb

Nessus realmente malo para difuminar aplicaciones web. El mundo de código abierto puede ofrecer Wapiti , Skipfish y w3af (tipo de roto). Acunetix es un buen producto comercial a un precio razonable. NTOSpider es una de las herramientas de fuzzing de aplicaciones web, pero cuesta más de $ 10,000 y tu primogénito. Sitewatch tiene un servicio gratuito que vale la pena echarle un vistazo.

4
rook

Packet Storm tiene un extenso archivo de escáneres:

http://packetstormsecurity.org/files/tags/scanner/

2
user1454

Como nadie lo ha mencionado, la lista insecure.orgs 's sectools.org es un excelente punto de partida para los recursos de aplicaciones en general, especialmente para quienes son relativamente nuevos en ser activamente involucrado en la seguridad de TI relacionada con la red. Si no lo ha verificado, le recomendaría que revise su lista de las 100 principales para familiarizarse con algunas de las herramientas (especialmente las herramientas de ataque) que existen. Teniendo en cuenta las advertencias ya mencionadas (y otras asumidas), aquí está la página para su Top 10 escáneres de vulnerabilidad web .

2
jgbelacqua

Probablemente también quieras ver Burp Suite. Tienen una versión gratuita y de pago, pero la versión de pago es relativamente barata.

2
wickett

Mi herramienta favorita para PCI DSS auditorías/evaluaciones en términos de aplicación web es Fiddler (o FiddlerCap). Puede dar cualquiera de estas herramientas a un novato o abuela y podrán averiguarlo fuera con poca instrucción.

Puede hacer que le envíen un archivo SAZ (o archivo FiddlerCap), lo que implica que usen el cuadro de diálogo Guardar después de usar Internet Explorer para recorrer su aplicación web.

Luego puede ver el tráfico HTTP/TLS y hacer determinaciones sobre cómo funciona la aplicación y cómo procesa la información de la tarjeta de pago. El complemento Fiddler, Casaba Watche r puede procesar sesiones fuera de línea después de que le proporcione información del sitio (agregue el dominio de nivel superior y los subdominios). Watcher realizará algunas actividades de OWASP ASVS, que puede asignar a ASVS y revisar. Todo esto es posible sin acceso a la aplicación (por ejemplo, podría estar en un entorno de control de calidad o de desarrollo). Por lo general, desea obtener esta información tan pronto como un desarrollador tenga disponible una compilación de wifreframe, mucho antes de que la aplicación entre en escena o producción.

Si tiene acceso a la aplicación web, Fiddler también puede ser de mayor utilidad. Sugiero seleccionar cualquier parte que tenga entrada del usuario y ejecutar el complemento Casaba x5s en su contra. La configuración de x5s es bastante complicada, pero los autores y otros en línea ciertamente estarían dispuestos a ayudarlo a configurarlo y comprender los resultados. Fiddler tiene la capacidad de reproducir solicitudes, por lo que es mejor usar esta funcionalidad (es decir, reproducir una solicitud a la vez) en lugar de navegar el sitio en vivo con Fiddler y x5s configurados para ejecutarse. Analizar los resultados no es tan complicado como la configuración, ya que no requiere absolutamente que sepa algo sobre HTML o JavaScript.

Los resultados de estas 3 herramientas no son concluyentes. Sin embargo, son MÁS concluyentes que ejecutar un escáner de aplicaciones web o una herramienta de seguridad: comercial, $ 500K/año, o no. No recomiendo NTOSpider, Acunetix, Netsparker, Hailstorm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Free/Professional o cualquier otro "escáner/herramienta" para PCI DSS audit o trabajo de evaluación.

Lo que necesita después de lo básico es contratar y trabajar con una empresa de consultoría de seguridad de aplicaciones que se especialice en este tipo de evaluaciones. Es extremadamente probable que tengan sus propias herramientas, desarrolladas internamente, que no estén dispuestas a compartir o vender.

Querrán acceder a una copia del código fuente compilable de las aplicaciones web. Es mejor proporcionarles un archivo vmdk/OVF/VHD que incluya una copia de desarrollador de su IDE y/o servidor de compilación con una compilación funcional, incluidas todas las dependencias y SDK. Luego pueden proporciona la configuración necesaria y otras recomendaciones para cuando la aplicación entra en escena o producción.

2
atdre

Mientras bastante viejo (¿anticuado?) Wapiti es otra opción libre: http://wapiti.sourceforge.net/

1
Ben Scobie

tiene que combinar varias herramientas para obtener buenos resultados y también debe molestar al sitio web en su encendido (pruebas manuales) y el método manual es mejor porque ninguna de las herramientas comerciales comprende la lógica comercial, por lo que sugiero las siguientes herramientas:

para las herramientas automatizadas, creo que acuentix, netsparker, burp suite, google's websecurify son buenos y puedes probar tu aplicación web con más de ellos.

para el método manual, debe estudiar los 10 principales de OWASP para conocer las vulnerabilidades comunes de las aplicaciones web y, luego, comenzar a probar el sitio web.

las siguientes herramientas le ayudarán mucho en las pruebas manuales: Paros Proxy para editar Solicitud/Respuesta HTTP. Fiddler le permite inspeccionar el tráfico, establecer puntos de interrupción y "violín" con datos entrantes o salientes.

Extensiones de Firefox (Tamper Data, desarrollador web): para editar Solicitud/Respuesta HTTP para ver cómo reacciona su servidor. Busca en Google estas herramientas y verás muchos tutoriales sobre cómo usarlos

1
P3nT3ster