gpt4 book ai didi

sql - 渗透测试工具

转载 作者:行者123 更新时间:2023-12-03 06:23:08 27 4
gpt4 key购买 nike

就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the help center为指导。




9年前关闭。




我们有数百个用 asp、.net 和 java 开发的网站,我们正在支付大量资金请外部机构对我们的网站进行渗透测试,以检查安全漏洞。
是否有任何(好的)软件(付费或免费)可以做到这一点?

或者.. 是否有任何技术文章可以帮助我开发此工具?

最佳答案

使用 Web 应用程序的自动化测试工具可以有几个不同的方向。

首先,有商用网页扫描仪 ,其中 HP WebInspect 和 Rational AppScan 是最受欢迎的两个。这些是“多合一”、“即发即弃”的工具,您可以下载并安装在内部 Windows 桌面上,然后提供一个 URL 来抓取您的站点,扫描众所周知的漏洞(即已命中 Bugtraq),并探测跨站点脚本和 SQL 注入(inject)漏洞。

二、还有源码扫描工具 ,其中 Coverity 和 Fortify 可能是最著名的两个。这些是您安装在开发人员桌面上的工具,用于处理您的 Java 或 C# 源代码并查找众所周知的不安全代码模式,例如糟糕的输入验证。

最后,还有渗透测试工具 .到目前为止,安全专业人员中最受欢迎的 Web 应用程序渗透测试工具是 Burp Suite,您可以在 http://www.portswigger.net/proxy 找到它。 .其他包括 Spike Proxy 和 OWASP WebScarab。同样,您将在内部 Windows 桌面上安装它。它将作为 HTTP 代理运行,您将使用浏览器指向它。您将像普通用户一样使用您的应用程序,同时它会记录您的操作。然后,您可以返回到每个单独的页面或 HTTP 操作并探查其是否存在安全问题。

在复杂的环境中,尤其是当您正在考虑 DIY 任何事情时,我强烈推荐渗透测试工具 .原因如下:

商业网络扫描仪提供了很多“广度”以及出色的报告。然而:

  • 他们往往会遗漏一些东西,因为每个应用程序都是不同的。
  • 它们很昂贵(WebInspect 从千分之十开始)。
  • 您正在为不需要的东西付费(例如 90 年代已知的不良 CGI 数据库)。
  • 它们很难定制。
  • 它们会产生嘈杂的结果。

  • 源代码扫描器比网络扫描器更彻底。然而:
  • 它们甚至比网络扫描仪还要贵。
  • 它们需要源代码才能运行。
  • 为了有效,它们通常要求您对源代码进行注释(例如,挑选输入路径)。
  • 他们有产生误报的倾向。

  • 商业扫描仪和源代码扫描仪都有成为架子的坏习惯。更糟糕的是,即使它们有效,其成本也相当于让咨询公司审核 1 或 2 个完整的应用程序;如果您信任您的顾问,您肯定会从他们那里获得比从工具更好的结果。

    渗透测试工具也有缺点:
  • 它们比一劳永逸的商用扫描仪更难使用。
  • 他们假定您在 Web 应用程序漏洞方面具有一定的专业知识——您必须知道您在寻找什么。
  • 他们很少或没有正式报告。

  • 另一方面:
  • 它们要便宜得多——最好的 Burp Suite 只需 99EU,并且有免费版本。
  • 它们很容易定制并添加到测试工作流程中。
  • 它们在帮助您从内部“了解”您的应用程序方面做得更好。

  • 以下是您可以使用针对基本 Web 应用程序的渗透测试工具执行的操作:
  • 通过代理登录应用
  • 创建应用程序主要功能区域的“命中列表”,并每个练习一次。
  • 在您的渗透测试应用程序中使用“蜘蛛”工具来查找应用程序中的所有页面、操作和处理程序。
  • 对于蜘蛛发现的每个动态页面和每个 HTML 表单,使用“模糊器”工具(Burp 称其为“入侵者”)用无效输入来测试每个参数。大多数模糊器都带有基本的测试字符串,包括:
  • SQL 元字符
  • HTML/Javascript 转义和元字符
  • 这些的国际化变体以逃避输入过滤器
  • 众所周知的默认表单字段名称和值
  • 众所周知的目录名、文件名和处理程序动词
  • 花几个小时过滤由此产生的错误(一个表单的典型模糊测试可能会生成 1000 个)以寻找可疑的响应。

  • 这是一种劳动密集型的“裸机”方法。但是,当您的公司拥有实际应用程序时,裸机方法是值得的,因为您可以使用它来构建回归测试套件,这些套件将在每个应用程序的每个开发周期内像时钟一样运行。这是一场胜利,原因有很多:
  • 每个应用程序的安全测试将花费可预测的时间和资源量,这使您可以进行预算和分类。
  • 您的团队将获得最准确和全面的结果,因为您的测试将针对您的应用程序进行调整。
  • 它的成本将低于商业扫描仪和顾问。

  • 当然,如果你走这条路,你基本上就是把自己变成了公司的安全顾问。我不认为这是一件坏事。如果您不想要这些专业知识,WebInspect 或 Fortify 无论如何都不会帮助您。

    关于sql - 渗透测试工具,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/72166/

    27 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com