Тестирование на уязвимости системы обеспечения безопасности в веб-приложениях: Лучшие практики? [закрытый]
4 ответа
SQL-инъекция и XSS - самые частые ошибки, которые допускают программисты. Хорошая новость заключается в том, что их проще всего проверить автоматически, если у вас есть подходящее программное обеспечение. Во время пентеста я использую Sitewatch или Wapiti для поиска уязвимостей веб-приложений. Цена Acunetix завышена.
Но нельзя просто запустить какой-нибудь автоматизированный инструмент и ожидать, что все заработает. Существует ряд мер предосторожности, которые вы должны предпринять с ЛЮБЫМ сканером уязвимостей по вашему выбору.
1) убедитесь, что display_errors = On в ваших php.ini Sql Injection-тестах полагается на возможность видеть сообщения об ошибках mysql на страницах ответов! Ни ошибки, ни уязвимости не обнаружено!
2) Сканируйте аутентифицированные области вашего приложения. Создайте учетную запись пользователя специально для тестирования. В Acuentix есть простой мастер, в котором вы можете создать последовательность входа в систему. Если вы используете wapiti, вы можете дать wapiti cookie-файл или отправить wapiti почтовый запрос для запуска, но это довольно сложно.
ПОСЛЕ вы протестировали свое приложение, затем проверьте свой сервер на предмет неправильной конфигурации. Для тестирования вашего сервера вам необходимо запустить OpenVAS , новую, более бесплатную версию Nessus, которая теперь является коммерческим продуктом. Затем вы должны продолжить это с помощью PhpSecInfo . Эти тесты сообщат вам о проблемах с вашей конфигурацией или о том, что вы используете старое уязвимое программное обеспечение.
Ничто не будет на 100% безопасным, НИКОГДА . Независимо от того, что вы делаете, есть уязвимости, которые проскользнут сквозь трещины.На всех платформах разработки есть уязвимости, которые приводят к компромиссам, которые нельзя проверить ни одним инструментом. Также есть ошибки в используемых вами инструментах тестирования. Есть ложные сообщения и ложноотрицательные результаты, а также некоторые тесты, которые просто не работают , хороший пример. Я никогда не видел автоматизированного инструмента CSRF, который действительно находит допустимые уязвимости. CSRF-тест Acunetix - пустая трата времени.
Существует также руководство по тестированию OWASP , в котором более подробно рассказывается. Его не следует путать с OWASP Top 10 , который также является отличным ресурсом. Руководство по безопасности PHP также является отличным ресурсом для программистов PHP.
У меня нет денег, чтобы нанять консультанта по безопасности, так как мне всего 16
Вам 16 лет, это не значит, что у вас нет денег на работу: D .
Вам не нужно никого нанимать. Существует множество бесплатных онлайн-инструментов, которые вы можете использовать для проверки уязвимости вашего веб-приложения.
Попробуйте использовать http://www.zubrag.com/tools/sql-injection-test.php для проверки уязвимости SQL-инъекции
http://www.parosproxy.org : регистратор веб-трафика, веб-паук, калькулятор хешей и сканер для тестирования распространенных атак веб-приложений, таких как внедрение SQL и межсайтовые сценарии
Программное обеспечение HP WebInspect [платно] тестирует распространенные веб-атаки, такие как внедрение параметров, межсайтовый скриптинг, обход каталогов, [попробуйте погуглить]
http://portswigger.net/suite/ : Burp Suite - это интегрированная платформа для атак на веб-приложения. Он содержит все инструменты Burp с многочисленными интерфейсами между ними, предназначенными для облегчения и ускорения процесса атаки на приложение. Все инструменты используют одну и ту же надежную структуру для обработки HTTP-запросов, сохраняемости, аутентификации, восходящих прокси, ведения журналов, предупреждений и расширяемости.
Используйте сканер веб-уязвимостей WebCruiser для сканирования уязвимостей внедрения SQL-кода. WebCruiser - это не только инструмент сканирования веб-безопасности, но и автоматический инструмент для внедрения SQL-кода, инструмент для внедрения XPath, инструмент XSS.