设备寻找通常的易受伤害?

存在任何类型的优秀设备(台式计算机或在线),允许您检查您的网站是否具有通常的可疑性(例如SQL注入,XSS)?

0
2019-05-07 09:51:47
资源 分享
答案: 8

我实际上已经在很长一段时间内专门做了这种观点,并且肯定会同意最有效的补救措施是利用经验丰富的测试人员检查你的安全帐户,但事实上检查这些类型的可疑性是相当容易自动化。 实际上已经处理了一个程序,在6个月的时间内检查了大约1000个互联网应用程序,我可以声称我的杰出设备是IBM的AppScan饱嗝儿 - 而且对于大多数目标而言,Burp更轻,更快,额外可配置,而且成本也低很多!

真的很容易让Burp找到输入识别失败 - 并且还要解决你的SQL镜头以及XSS问题。 您可以获得针对这类可疑性的特别优秀的保险。

0
2019-05-23 00:13:57
资源

w3af只是互联网审计中最有效的商品之一,而且它还是FOSS

“w3af是一个Web应用程序攻击,也是一个审计框架。任务的目标是创建一个结构来定位和操纵互联网应用程序的漏洞,这些漏洞很容易被利用和扩展。”

看到它提供一个镜头

0
2019-05-23 00:12:02
资源

有几个优秀的自动化开放资源黑匣子互联网应用程序可接受性扫描仪。

  • w3af
  • websecurify
  • skipfish
  • Netsparker社区版(免费提供最低限度的功能)
  • 日高

理想的是,不要只依靠一个自动扫描仪,每个都有它们的韧性和弱点,因此不断运行其中一些,并对比结果。 你当然还需要寻找不正确的积极因素和不正确的缺点。

尽管如此,自动化的可接受性扫描适合并且还可以服务于需要不断地由安全专家支持,该安全专家识别可疑性并且还可以手动寻找更多的安全专家。 自动扫描是一个很好的开始,也比完全没有什么好。

0
2019-05-23 00:09:00
资源

websecurify是我实际找到的最有效的FOSS任务。

0
2019-05-09 03:59:39
资源

Microsoft有一个执行此操作的代码分析工具(下面是频道9视频,下面是v1的下载链接)。 维基百科还有一个值得尊重的静态代码分析设备清单。

0
2019-05-09 03:54:54
资源

谷歌的RatProxy另外是寻找XSS的绝佳选择。 鉴于它已经设置并且也作为代理运行,因此它非常容易使用,因为它只是在您检查您的网站时跟随您的互联网浏览器。 它录制了所有通信,POST,GET等,还可以重播那些试图注入破坏性Web内容的通信。 一旦重复这些要求,它肯定会检查XSS指标的结果。 此外,它还维护整个HTTP生命周期的文档,可以使用它来进行更多调试。

0
2019-05-08 21:33:50
资源

您可以打算查看Google的Skipfish,它非常彻底,还有您提供的同义词库中的函数,默认值(标准/厨房接收器)包含在内。

它比我使用过的其他更加“温和”,但我找不到具有相同属性的东西来对比结果。

它创建的C,具有非常有洞察力的结果,并且非常容易使用。 我建议从任何类型的典型* nix Web服务器运行它,或者如果您有快速链接,则从住所运行它。 它还获得了一个具有实时更新的智能需求排队系统。 它实际上很有趣,看它的功能。

它报告了大多数可疑问题,以及您可能无法识别的各种其他问题。 它有点挑剔,但挑剔是这种设备的顶级品质。

结果的屏幕截图(有点旧):

alt text http://skipfish.googlecode.com/files/skipfish-screen.png

0
2019-05-08 02:01:50
资源

HP有Scrawlr用于检查常见的SQL注入漏洞。

0
2019-05-08 01:59:48
资源