it-swarm-korea.com

웹 응용 프로그램의 보안을 평가할 수있는 도구는 무엇입니까?

웹 응용 프로그램의 보안을 평가할 수있는 도구는 무엇입니까?

도구의 기능에 대한 간단한 설명을 제공하십시오.

pdate : 좀 더 구체적으로, 소스 코드 (블랙 박스)에 액세스 할 수없는 도구를 찾고 있습니다.

63
Olivier Lalonde

웹 애플리케이션 평가에 사용할 수있는 많은 앱이 있습니다. 고려해야 할 한 가지는 당신이 찾고있는 도구의 종류입니다. 이들 중 일부는 수동 테스트와 함께 사용하는 것이 더 좋으며 다른 보안 전문가는 비보안 전문가 IT 직원을 위해 더 많은 "블랙 박스"검색 도구로 설계되었습니다.

또한 웹 응용 프로그램 보안의 특정 영역을 평가하는 데 사용할 수있는 다양한 스크립트 및 포인트 도구가 있습니다.

내가 좋아하는 것 중 일부

트림 스위트- http://www.portswigger.net . 무료 및 상용 도구. 수동 테스트에 대한 탁월한 보조 기능과 우수한 스캐너 기능도 제공합니다. 내가 아는 전문 웹 응용 프로그램 테스터 중 대부분이 이것을 사용합니다.

W3af- http://w3af.org/ -오픈 소스 스캐닝 도구는 현재 꽤 발전하고있는 것 같습니다. 주로 자동화 된 스캐닝 측면에 중점을두고 있으며 여전히 약간의 작업이 필요합니다 효과적으로 사용할 지식.

순수한 스캐닝 측면에는 여러 가지 상용 도구가 있습니다.

Netsparker- http://www.mavitunasecurity.com/netsparker/

IBM AppScan- http://www-01.ibm.com/software/awdtools/appscan/

HP WebInspect- https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__

Cenzic Hailstorm- http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS- http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider- http://www.ntobjectives.com/ntospider

29
Rory McCune

블랙 박스 웹앱 펜을 선호하는 툴백입니다. 테스트는 현재 :

  • BURP Suite "웹 응용 프로그램의 보안 테스트를위한 가로 채기 프록시 서버입니다. 브라우저와 대상 응용 프로그램 사이의 중간자 역할을합니다."
  • Fiddler 다른 프록시 도구 "fiddler를 사용하면 모든 HTTP (S) 트래픽을 검사하고 중단 점을 설정하며 수신 또는 발신 데이터가있는"피들 "을 사용할 수 있습니다"
  • Fiddler x5s addon -x5s는 침투 테스터가 사이트 간 스크립팅 취약점을 찾는 데 도움을주는 것을 목표로합니다.
  • Fiddler watcher addo n-Watcher는 웹 응용 프로그램을위한 런타임 수동 분석 도구입니다.

위의 도구는 최대 전력을 사용하기 위해 어느 정도 친숙해야하며 반자동 방식으로 사용하는 것이 가장 좋습니다 (예 : 테스트하려는 특정 웹 양식 선택, "공격"실행 설정, 결과 검토 및 취약성 또는 테스트 지점 지정) 더)

매달린 과일을 잡아 내고 시험 범위를 넓히는 전자동 스캐너 :

라이센스에 액세스 할 수있는 경우 AppScan 또는 WebInpsect 일 수 있습니다 (이 도구는 비용이 많이 듭니다)

15
Tate Hansen

이 목록을 최신 상태로 유지하는 것은 어렵습니다. 제 생각에는 이것은 잘못된 질문입니다.

올바른 질문은 "웹 응용 프로그램의 보안을 평가하는 데 사용할 수있는 기술, 일반적인 구현 방법 및 기술과 구현에 대한 최신 개선 사항을 어떻게 유지 하는가"입니다.

예를 들어, Hatkit, WATOBO, Arachni의 웹 인터페이스 등의 답변이 제시된 이후 더 나은 도구를 이미 사용할 수 있습니다.

상용 도구의 주요 문제점은 혁신과 개선 능력이 부족하다는 것입니다. 이 시점에서 웹 애플리케이션 보안 영역의 거의 모든 상용 제품은 특허 전쟁과 개인 및 사회적 자본 손실로 인해 어려움을 겪었습니다. 앱 스캐너, 앱 방화벽 또는 보안 중심 정적 분석 PRODUCT/SERVICE에서 COMMUNITY를 마지막으로 본 시간은 언제입니까? 정답은 "Never"입니다. 앱 스캐너, 앱 방화벽 및 보안을 담당하는이 바보적이고 비전 견적이지 않은 무능한 사람들에 의해 제기 된 2004 년의 장벽을 넘어 서기 위해 무료 및/또는 오픈 소스 도구를 사용하여 전투를 벌여야합니다. 현재 대부분 기능이 상실된 정적 분석 회사에 집중했습니다.

말 그대로, Burp Suite Professional 1.4beta에서 볼 수 있듯이이 시장에서 혁신을 일으킨 유일한 사람은 PortSwigger입니다. Cigital은 혁신하지만 소비자 및 연구원 시장에서 가격을 책정했습니다.

10
atdre

나는 즐겼다 SkipFish

8
gbr

그리고 OWASP Zed Attack Proxy도 있습니다 : https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

홈페이지에서 인용하려면 :

"Zed Attack Proxy (ZAP)는 웹 응용 프로그램의 취약점을 찾기 위해 사용하기 쉬운 통합 침투 테스트 도구입니다.

광범위한 보안 경험을 가진 사람들이 사용하도록 설계되었으므로 침투 테스트에 익숙하지 않은 개발자 및 기능 테스터에게 이상적입니다.

ZAP는 자동 스캐너와 보안 취약점을 수동으로 찾을 수있는 도구 세트를 제공합니다. "

Paros의 포크이며 무료이며 오픈 소스이며 적극적으로 유지되고 있습니다.

프시 논 (ZAP 프로젝트 리더)

6
Psiinon

Arachni 시도해 보시지 않겠습니까? Ruby로 작성되었으며 매우 유망한 것 같습니다.

6
Paolo Perego

OWASP 조직은 응용 프로그램 소프트웨어의 보안 향상에 중점을 둔 전 세계 비영리 자선 단체이며 도움말 감지 취약점 및 응용 프로그램 보호 .

4
Eric Warriner

OWASP WebScarabParos 도 있습니다.

그러나 이 페이지 에는 원하는 것을 포함하는 목록이 있습니다.

4
Jeff

아래에 나열된 Web Application Security Consortium 웹 페이지에는 다양한 역할을위한 여러 가지 도구가 있습니다.

http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

정기적으로 사용하는 도구 중 일부는 다음과 같습니다.

AppScan 및 WebInspect : 특정 유형의 검사를 자동화 할 수 있지만 강력한 검사 기능이없는 자동 분석 도구. 수동 모드에서 사용되는 몇 가지 흥미로운 기능이 있지만 내 경험상 사용자 인터페이스가 기능을 방해합니다.

Zed Attack Proxy : 오래된 Paros 프록시를 포크하고 업데이트하는 인터셉트 프록시. 수동 테스트에는 상당히 강력하며 자동 테스트 기능이 포함되어 있습니다.

Skipfish : 흥미로운 고속 웹 응용 프로그램 스캐너입니다. 상용 응용 프로그램 스캐너의 기능 세트가 부족하지만이를 가지고 있다고 주장하지는 않습니다. 응용 프로그램 인증과 같은 고급 스캔 기능은 지원하지 않지만 특정 유형의 결함에 대해 강력한 퍼징 기능이 있습니다.

4
ygjb

웹 응용 프로그램 퍼징에 대한 Nessus 정말 나쁘다 . 오픈 소스 세계는 Wapiti , Skipfishw3af (깨진 종류)를 제공 할 수 있습니다. Acunetix는 합리적인 가격에 좋은 상용 제품입니다. NTOSpider는 웹 응용 프로그램 퍼징 도구 중 하나이지만 $ 10,000 + 이상이며 처음 태어났습니다. Sitewatch 무료로 이용할 수있는 서비스가 있습니다.

4
rook

Packet Storm에는 광범위한 스캐너 아카이브가 있습니다.

http://packetstormsecurity.org/files/tags/scanner/

2
user1454

아무도 언급하지 않았으므로 insecure.orgs 's sectools.org 목록은 일반적으로 응용 프로그램 리소스, 특히 적극적으로 활동하는 사람이 비교적 적은 사람에게 훌륭한 출발점입니다. 네트워크 관련 IT 보안에 관여합니다. 체크 아웃하지 않은 경우 상위 100 목록을 살펴보고 거기에있는 일부 도구 (특히 공격 도구)에 익숙해지는 것이 좋습니다. 이미 언급 한 (및 다른 가정)주의 사항을 염두에두고 Top 10 Web Vulnerability Scanners 의 페이지가 있습니다.

2
jgbelacqua

Burp Suite도 살펴보고 싶을 것입니다. 무료 및 유료 버전이 있지만 유료 버전은 상대적으로 저렴합니다.

2
wickett

웹 응용 프로그램 측면에서 PCI DSS 감사/평가에 가장 좋아하는 도구는 Fiddler (또는 FiddlerCap)입니다.)이 도구 중 하나를 초보자 나 할머니에게 제공 할 수 있습니다. 약간의 지시로.

SAZ 파일 (또는 FiddlerCap 파일)을 보내면 Internet Explorer를 사용하여 웹앱을 실행 한 후 저장 대화 상자를 사용할 수 있습니다.

그런 다음 HTTP/TLS 트래픽을보고 응용 프로그램의 작동 방식과 지불 카드 정보 처리 방법을 결정할 수 있습니다. Fiddler 플러그인 Casaba Watche r은 사이트 정보를 제공 한 후 세션을 오프라인으로 처리 할 수 ​​있습니다 (최상위 도메인 및 하위 도메인에 추가). 감시자는 일부 OWASP ASVS 활동을 수행하여 ASVS에 다시 매핑하고 검토 할 수 있습니다. 애플리케이션에 액세스하지 않고도 가능합니다 (예 : QA 또는 개발 환경에있을 수 있음). 일반적으로 개발자가 wifreframe 빌드를 사용하자마자 응용 프로그램이 준비 또는 생산되기 전에이 정보를 얻으려고합니다.

Webapp에 액세스 할 수 있으면 Fiddler를 더 사용할 수도 있습니다. 사용자 입력이있는 부분을 선택하고 Casaba x5s plugin 을 실행하는 것이 좋습니다. x5의 구성은 다소 복잡하지만 온라인의 저자와 다른 사람들은 구성 및 결과 이해에 기꺼이 도움을 줄 것입니다. Fiddler에는 요청을 재생할 수있는 기능이 있으므로 Fiddler 및 x5가 실행되도록 구성된 사이트를 탐색하는 대신이 기능을 사용하는 것이 가장 좋습니다 (예 : 한 번에 하나의 요청을 재생하는 것). 결과 분석은 구성만큼 복잡하지는 않습니다. HTML이나 JavaScript에 대한 지식이 전혀 필요하지 않기 때문입니다.

이 3 가지 도구의 결과는 결정적이지 않습니다. 그러나 웹 애플리케이션 스캐너 또는 보안 도구 (상업용, 5 억 달러/년)를 실행하는 것보다 훨씬 결정적입니다. PCI DSS 감사 또는 평가 작업.

기본 사항 후에 필요한 것은 이러한 종류의 평가를 전문으로하는 응용 프로그램 보안 컨설팅 회사를 고용하고 협력하는 것입니다. 그들은 자체적으로 개발 한 자체 도구를 가지고 있거나 공유하거나 판매하지 않을 가능성이 매우 높습니다.

웹 애플리케이션의 빌드 가능한 소스 코드 사본에 액세스하려고합니다. 개발자에게 IDE 및/또는 모든 종속성 및 SDK를 포함하여 작동중인 빌드가 포함 된 빌드 서버)가 포함 된 vmdk/OVF/VHD 파일을 제공하는 것이 가장 좋습니다. 앱이 스테이징 또는 프로덕션에 들어갈 때 필요한 구성 및 기타 권장 사항을 제공합니다.

2
atdre

꽤 오래된 (구식이 되었습니까?) 와피 티는 또 다른 무료 선택입니다 : http://wapiti.sourceforge.net/

1
Ben Scobie

좋은 결과를 얻으려면 여러 도구를 결합해야하며 웹 사이트를 성추행해야합니다 (수동 테스트). 수동 방법은 상업용 도구가 아닌 비즈니스 논리를 이해하므로 다음 도구를 제안하기 때문에 더 좋습니다.

자동화 된 도구의 경우 acuentix, netsparker, burp suite, Google의 websecurify와 함께하는 것이 좋으며 웹 응용 프로그램을 더 많이 테스트 할 수 있다고 생각합니다.

수동 방법을 사용하려면 일반적인 웹 응용 프로그램 취약점에 대해 알고 OWASP 상위 10을 연구 한 후 웹 사이트 테스트를 시작해야합니다.

다음 도구는 수동 테스트를 수행하는 데 많은 도움이됩니다. Paros Proxy는 HTTP 요청/응답을 편집합니다. 피들러를 사용하면 트래픽을 검사하고 중단 점을 설정하며 수신 또는 발신 데이터로 "피들"할 수 있습니다.

Firefox 확장 (Tamper Data, 웹 개발자) : HTTP 요청/응답을 편집하여 서버의 반응을 확인합니다. 이 도구를 사용하면 도구 사용법에 대한 많은 자습서가 표시됩니다.

1
P3nT3ster