Il existe un grand nombre d'applications qui peuvent être utilisées dans les évaluations d'applications Web. Une chose à considérer est le type d'outil que vous recherchez. Certains d'entre eux sont mieux utilisés parallèlement à un test manuel, tandis que d'autres sont plus conçus pour le personnel informatique non spécialisé en sécurité que des outils d'analyse de «boîte noire».

En plus de cela, il existe une vaste gamme de scripts et outils ponctuels qui peuvent être utilisés pour évaluer des domaines spécifiques de la sécurité des applications Web.

Certains de mes favoris

Burp suite - http://www.portswigger.net. Outil gratuit et commercial. Excellent complément aux tests manuels et possède également une bonne capacité de numérisation. Parmi les testeurs d'applications Web professionnels que je connais, la plupart l'utilisent.

W3af - http://w3af.org/ - L'outil d'analyse open source semble se développer un peu à le moment, qui se concentre principalement sur le côté de la numérisation automatisée, nécessite encore un peu de connaissances pour être utilisé efficacement.

Du côté de la numérisation pure, un certain nombre d'outils commerciaux sont disponibles.

Netsparker - http://www.mavitunasecurity.com/netsparker/

IBM AppScan - http://www-01.ibm.com/software/ awdtools / appscan /

HP WebInspect - https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1 -11-201-200 ^ 9570_4000_100__

Cenzic Hailstorm - http://www.cenzic.com/products/cenzic-hailstormPro/

Acunetix WVS - http://www.acunetix.com/vulnerability-scanner/

NTObjectives NTOSpider - http://www.ntobjectives.com/ntospider

Ma trousse à outils préférée pour créer un stylo d'application Web boîte noire. test est actuellement:

• BURP Suite "est un serveur proxy d'interception pour les tests de sécurité des applications Web. Il fonctionne comme un intermédiaire entre votre navigateur et l'application cible "
• Fiddler un autre outil proxy" le fiddler vous permet d'inspecter tout le trafic HTTP (S), de définir des points d'arrêt et de "violer" les données entrantes ou sortantes "
• Fiddler x5s addon - x5s vise à aider les testeurs d'intrusion à trouver des vulnérabilités de scripts intersites.
• Fiddler watcher addo n - Watcher est un outil d'analyse passive d'exécution pour les applications Web.

Les outils ci-dessus nécessitent une certaine familiarité pour être utilisés à pleine puissance et sont mieux utilisés de manière semi-automatisée (par exemple, choisissez un formulaire Web spécifique que vous souhaitez tester, configurez des exécutions "d'attaque", puis examinez les résultats et identifiez les vulnérabilités ou les points pour tester davantage)

Des scanners entièrement automatisés pour attraper les fruits à portée de main et pour étendre la couverture des tests:

• Netsparker - scanner d'applications commerciales automatisé
• Skipfish - scanner d'applications automatisé

Peut-être AppScan ou WebInpsect si j'ai accès à une licence (ces outils sont chers)

Il est difficile de maintenir cette liste à jour. À mon avis, c'est une MAUVAISE QUESTION.

La bonne question devrait être "Quelles techniques sont disponibles pour évaluer la sécurité d'une application Web, comment sont-elles généralement mises en œuvre et comment vous maintenez-vous au courant les dernières améliorations des techniques et de leurs implémentations? "

Par exemple, de meilleurs outils sont déjà disponibles depuis que ces réponses ont été avancées: Hatkit, WATOBO, l'interface web d'Arachni, et al.

Le principal problème des outils commerciaux est leur manque de capacité à innover et à s'améliorer. À ce stade, presque tous les produits commerciaux de l'espace de sécurité des applications Web ont été retardés par les guerres de brevets et la perte de capital individuel et social. À quand remonte la dernière fois que vous avez vu une COMMUNAUTÉ autour d'un analyseur d'applications, d'un pare-feu d'application ou d'une analyse statique axée sur la sécurité PRODUIT / SERVICE? La bonne réponse, oui, est "JAMAIS". La bataille est pour des outils gratuits (et / ou open-source) pour essayer d'innover au-delà de la barrière de 2004 mise en avant par ces clowns idiots et non-talentueux qui équipaient le scanner d'applications, le pare-feu d'applications et la sécurité- des sociétés d'analyse statique concentrées qui sont pour la plupart aujourd'hui disparues.

Littéralement, comme on le voit dans la version 1.4beta de Burp Suite Professional, la SEULE PERSONNE à innover sur ce marché est PortSwigger. Cigital innove, mais ils se sont éloignés des marchés des consommateurs et des chercheurs.

J'ai apprécié SkipFish

Pourquoi ne pas essayer Arachni. C'est écrit en rubis et cela semble très prometteur.

Et il y a aussi OWASP Zed Attack Proxy: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Pour citer de la page d'accueil:

"Le Zed Attack Proxy (ZAP) est un outil de test de pénétration intégré facile à utiliser pour trouver des vulnérabilités dans les applications Web.

Il est conçu pour être utilisé par des personnes ayant une vaste expérience en matière de sécurité et en tant que tel est idéal pour les développeurs et les testeurs fonctionnels qui sont nouveaux dans les tests d'intrusion.

ZAP fournit des scanners automatisés ainsi qu'un ensemble d'outils qui vous permettent de trouver manuellement les failles de sécurité. "

C'est un fork de Paros, gratuit, open source et activement maintenu.

Psiinon (chef de projet ZAP)

L'organisation OWASP est une organisation caritative mondiale à but non lucratif qui se concentre sur l'amélioration de la sécurité des logiciels d'application et dispose de quelques outils intéressants pour aider à détecter les vulnérabilités et protéger les applications.

La page Web du Web Application Security Consortium répertoriée ci-dessous contient un certain nombre d'outils différents pour différents rôles.

http://projects.webappsec.org/w/page/13246988/Web-Application -Security-Scanner-List

Certains des outils que j'utilise régulièrement sont:

AppScan et WebInspect: des outils d'analyse automatisés, puissants pour automatiser certains types des contrôles mais manquent de capacités d'inspection approfondie. Utilisé en mode manuel, il contient des fonctionnalités intéressantes, mais d'après mon expérience, l'interface utilisateur entrave la fonctionnalité.

Zed Attack Proxy: un proxy d'interception qui est une fourchette et une mise à jour du Paros très obsolète Procuration. Assez puissant pour les tests manuels, et contient des fonctionnalités de test automatisées.

Skipfish: un scanner d'applications Web à haute vitesse intéressant; il n'a pas la profondeur de l'ensemble des fonctionnalités des scanners d'applications commerciales, mais ne prétend jamais les avoir. Il ne prend pas en charge les fonctionnalités de numérisation avancées telles que l'authentification des applications, mais dispose d'une puissante capacité de fuzzing pour certains types de défauts.

Il existe également OWASP WebScarab et Paros.

Cependant, cette page contient une liste qui devrait contenir ce que vous veux.

Nessus vraiment mauvais pour le fuzzing des applications Web. Le monde open source peut offrir Wapiti, Skipfish et w3af (en quelque sorte cassés). Acunetix est un bon produit commercial à un prix raisonnable. NTOSpider est l'un des outils de fuzzing des applications Web, mais il coûte plus de 10000 $ et votre premier-né. Sitewatch propose un service gratuit qui vaut le détour.

Comme personne ne l'a mentionné, la liste sectools.org de insecure.orgs est un excellent point de départ pour les ressources d'application en général, en particulier pour celles qui sont relativement nouvelles à être activement impliqué dans la sécurité informatique liée au réseau. Si vous ne l'avez pas vérifié, je vous recommanderais absolument de consulter leur liste des 100 meilleurs pour vous familiariser avec certains des outils (en particulier les outils d'attaque) qui existent. voici la page de leurs Top 10 des scanners de vulnérabilités Web.

Packet Storm possède une vaste archive de scanners:

http://packetstormsecurity.org/files/tags/scanner/

Vous voudrez probablement aussi vous pencher sur Burp Suite. Ils ont une version gratuite et payante, mais la version payante est relativement peu coûteuse.

Mon outil préféré pour les audits / évaluations PCI DSS en termes d'application Web est Fiddler (ou FiddlerCap). Vous pouvez donner l'un de ces outils à un débutant ou à une grand-mère et ils seront en mesure de le comprendre avec peu d'instructions.

Vous leur demandez de vous envoyer un fichier SAZ (ou un fichier FiddlerCap), ce qui les implique d'utiliser la boîte de dialogue d'enregistrement après avoir utilisé Internet Explorer pour parcourir leur application Web.

Ensuite, vous pouvez voir le trafic HTTP / TLS et déterminer comment l'application fonctionne et comment elle traite les informations de carte de paiement. Le plugin Fiddler, Casaba Watche r peut traiter les sessions hors ligne après que vous lui ayez donné des informations sur le site (ajoutez le domaine de premier niveau et les sous-domaines). Watcher effectuera certaines activités OWASP ASVS, que vous pouvez mapper à ASVS et réviser. Tout cela est possible sans accès à l'application (par exemple, cela peut être dans un environnement QA ou dev). Vous souhaitez généralement obtenir ces informations dès qu'un développeur a une version wifreframe disponible - bien avant que l'application ne soit mise en production ou en production.

Si vous avez accès à l'application Web, alors Fiddler peut également être d'une utilisation ultérieure. Je suggère de sélectionner n'importe quelle partie qui a une entrée utilisateur et d'exécuter le plugin Casaba x5s contre elle. La configuration de x5s est plutôt compliquée, mais les auteurs et autres en ligne seraient certainement prêts à vous aider à le configurer et à comprendre les résultats. Fiddler a la capacité de rejouer les requêtes, il est donc préférable d'utiliser cette fonctionnalité (c'est-à-dire de rejouer une requête à la fois) au lieu de parcourir le site en direct avec Fiddler et x5 configurés pour s'exécuter. L'analyse des résultats n'est pas aussi compliquée que la configuration, car elle ne nécessite absolument pas que vous sachiez quoi que ce soit sur HTML ou JavaScript.

Les résultats de ces 3 outils ne sont pas concluants. Cependant, ils sont PLUS concluants que l'exécution d'un scanner d'application Web ou d'un outil de sécurité - commercial, 500 000 $ / an ou non. Je ne recommande pas NTOSpider, Acunetix, Netsparker, Hailstorm, WebInspect, AppScan, Wapiti, Skipfish, w3af, Burp Suite Free / Professional, ou tout autre «scanner / outil» pour les travaux d'audit ou d'évaluation PCI DSS.

Ce dont vous avez besoin après les bases est d'embaucher et de travailler avec une société de conseil en sécurité des applications spécialisée dans ce type d'évaluations. Il est fort probable qu'ils aient leurs propres outils, développés en interne, qu'ils ne souhaitent pas partager ou vendre.

Ils voudront accéder à une copie du code source à construire de la ou des applications Web ). Il est préférable de leur fournir un fichier vmdk / OVF / VHD qui inclut une copie développeur de votre IDE et / ou serveur de build avec une build fonctionnelle, y compris toutes les dépendances et SDK. Ils peuvent ensuite fournir la configuration nécessaire et d'autres recommandations pour le moment où l'application entre en phase de préparation ou de production.

Bien que très ancien (obsolète?), Wapiti est un autre choix libre: http://wapiti.sourceforge.net/

vous devez combiner plusieurs outils ensemble pour obtenir de bons résultats et vous devez également molester le site Web sur votre sur (tests manuels) et la méthode manuelle est meilleure car aucun des outils commerciaux ne comprend la logique métier, je suggère donc le outils suivants:

pour les outils automatisés, je pense qu'acuentix, netsparker, burp suite, google's websecurify sont bons à utiliser et vous pouvez tester votre application Web avec plus d'entre eux.

pour le méthode manuelle, vous devez étudier le top 10 de l'OWASP pour connaître les vulnérabilités courantes des applications Web et après cela, vous devriez commencer à tester le site Web.

les outils suivants vous aideront beaucoup à faire des tests manuels: Paros Proxy to edit HTTP Request / Response.fiddler vous permet d'inspecter le trafic, de définir des points d'arrêt et de «violer» les données entrantes ou sortantes.

Extensions Firefox (Tamper Data, développeur Web): pour modifier la requête / réponse HTTP à voir comment votre serveur réagit.Google ces outils et vous verrez beaucoup de tutoriels sur la façon de nous e eux