it-swarm-korea.com

빌드 서버와 통합 할 수있는 괜찮은 웹 앱 보안 스캐너가 있습니까?

저는 최근 TeamCity에서 많은 시간을 보냈고 dupe Finder, FxCop 및 NDepend에서 제공하는 야간 코드 품질 메트릭이 훌륭했습니다.

내가 정말로하고 싶은 것은 자동으로 배포 된 사이트에 대해 실행할 수있는 적절한 웹 앱 보안 스캐너를 찾는 것입니다 (저는 야간 빌드를 실행하고 테스트 환경에 배포하고 있습니다). 괜찮은 도구가 있다면 정적 분석도 고려할 것입니다. 유일한 전제 조건은 무인으로 실행할 수 있어야하고 TeamCity를 통해 표시 될 수 있도록 보고서를 HTML 형식으로 출력해야한다는 것입니다.

누구든지 스캐너를 빌드 서버와 통합 한 경험이 있거나 기준을 충족하는 도구에 대한 제안이 있습니까?

16
Troy Hunt

Netsparker에 시도해보세요 : http://www.mavitunasecurity.com/netsparker/ . 자동화 된 스캔, 보고서 생성, 로깅이 있습니다. CLI를 제공합니다.

8
anonymous

트로이,

Netsparker와 TeamCity의 통합을 포함하여 귀하의 작업을 확인했습니다. 나는 헤드리스 모드의 Burp Suite Professional이 더 적절할 수 있다고 언급하고 언급했지만 이러한 방식으로 완전히 자동화 된 테스트는 몇 가지 버그만 발견합니다. 고전적인 테스트 자동화 문제입니다.

그러나 원하지 않는 (즉, 취약한) HTTP 응답을 생성하는 알려진 HTTP 요청이있는 경우 결과-> KB 브라우저-> [지식 기반 특정 항목 드롭의 오른쪽 하단에있는 W3AF의 내보내기 요청 기능을 사용할 수 있습니다. down]-> Request-> [하단 버튼]. 그러면 HTTP 요청을 테스트 케이스로 변환 할 수있는 새 창이 열립니다. 테스트 케이스는 HTML, Ajax, Python 및 Ruby로 제공됩니다.

빌드 서버 환경에 따라 이러한 스크립트를 통합하는 방법이 다를 수 있습니다. FitNesse에서 사용할 수있는 HtmlFixture는 HTML 또는 Ajax 요청 스크립트에 적합한 후보입니다. Python에서는 아마도 Nose가 적합 할 것입니다. Ruby에는 오이가 있습니다.

"Security on Rails"라는 책에는이 주제에 전념하는 전체 장이 있으며 테스트를 단위, 기능, 통합 및 브라우저로 논리적으로 분리합니다.

OWASP의 O2 프로젝트는 "API/Script Development"아래에 단위 테스트를 실행하고 작성하는 메뉴 옵션이 있습니다. 이러한 단위 테스트는 WatiN으로 작성되었지만 테스트 개발자를 위해 이미 많은 작업이 수행되었습니다.

스스로 매우 강력한 것을 개발하고 싶다면 Geb 를 살펴 보시기 바랍니다. WebDriver의 브라우저 구동 기능을 결합합니다 (따라서 Internet Explorer, FireFox, = Chrome 및 HTMLUnit)는 jQuery에서 영감을 얻은 콘텐츠 탐색/검사 API와 Groovy의 표현력.

3
atdre

CAT.NET은 빌드 서버에 통합 할 수있는 정적 분석 도구입니다. 최신 버전은 아직 베타 버전이지만 자세한 정보는 http://blogs.msdn.com/b/securitytools/ 에서 확인할 수 있습니다.

0
Steve