渗透测试工具

Question

我们有成百上千的网站是用asp，.net和java开发的，我们花了很多钱让外部机构为我们的网站做渗透测试，以检查安全漏洞。有没有什么(好的)软件(付费或免费)可以做到这一点？

或者..。有没有技术文章可以帮助我开发这个工具？

Answer 1

web应用程序的自动化测试工具有几个不同的方向。

首先是的商业web扫描仪，其中HP WebInspect和Rational AppScan是最流行的两种。这些是"all-in-one“、”fire- and - for“工具，您可以下载并安装在内部Windows桌面上，然后提供一个URL来爬行您的站点，扫描众所周知的漏洞(即，攻击Bugtraq的内容)，并探测跨站点脚本和SQL注入漏洞。

其次，还有源代码扫描工具，其中最著名的可能是Coverity和Fortify。这些工具安装在开发人员的桌面上，用于处理Java或C#源代码，并查找众所周知的不安全代码模式，例如输入验证不佳。

最后，还有渗透测试工具。到目前为止，在安全专业人士中最受欢迎的web应用渗透测试工具是Burp Suite，您可以在http://www.portswigger.net/proxy找到它。其他包括Spike Proxy和OWASP WebScarab。同样，您需要将其安装在内部Windows桌面上。它将作为HTTP代理运行，您可以将浏览器指向它。您将像普通用户一样使用您的应用程序，同时它会记录您的操作。然后，您可以返回到每个单独的页面或HTTP操作，并探测它的安全问题。

在一个复杂的环境中，特别是如果你正在考虑任何DIY，，我强烈推荐渗透测试工具。原因如下：

商业web扫描器提供了大量的“广度”，以及出色的报告。但是：

他们往往会错过一些东西，因为每个应用程序都很昂贵(从10%的thousands).

• You're开始，他们会为你不需要的东西付费(比如从'90s).

• They're hard to customize.

• They的已知坏CGI的数据库可能会产生嘈杂的结果。

源代码扫描器比web扫描器更彻底。但是：

• 它们甚至比web scanners.
• They需要源代码才能运行的成本更高。
• 要有效，它们通常需要你注释源代码(例如，选择输入scanners.
• They)。
• 有产生误报的趋势。

商业扫描器和源代码扫描器都有成为搁置软件的坏习惯。更糟糕的是，即使它们有效，它们的成本也相当于获得咨询公司审核的1到2个完整的应用程序；如果您信任您的顾问，您肯定会从他们那里获得比工具更好的结果。

渗透测试工具也有缺点：

比起玩火自焚的商业scanners.

• They，
• 要难用得多-你必须知道你要找的是什么。
• ，它们很少或根本不会产生正式的报告。

另一方面：

• 它们便宜得多-其中最好的，Burp Suite，只需99EU，并且有一个免费的version.
• They're，易于定制和添加到测试workflow.
• They're中，更能帮助您从内部“了解”您的应用程序。

对于一个基本的web应用程序，您可以使用笔测试工具来完成以下操作：

1. 登录到应用程序通过代理
2. 创建一个“命中列表”的主要功能领域的应用程序，并行使每一次。
3. 使用“蜘蛛”工具在您的笔测试应用程序来查找所有的页面和动作和处理程序在application.
4. For中的每个动态页面和每个HTML形式蜘蛛发现，使用"fuzzer“工具(Burp称之为”入侵者“)来行使每个参数与无效的输入。大多数

都带有基本的测试字符串，包括: fuzzers

- SQL metacharacters
- HTML/Javascript escapes and metacharacters
- Internationalized variants of these to evade input filters
- Well-known default form field names and values
- Well-known directory names, file names, and handler verbs

​

1. 花了几个小时过滤产生的错误(一个表单的典型模糊运行可能会生成1000个错误)，以寻找可疑的响应。

这是一种劳动密集型的“裸机”方法。但当您的公司拥有实际的应用程序时，裸机方法是值得的，因为您可以使用它来构建回归测试套件，这些套件将在每个应用程序的每个开发周期中像钟表一样运行。这是一场胜利，原因有很多：

• 您的安全测试将为每个应用程序花费可预测的时间和资源，这允许您进行预算和分类。
• 您的团队将获得最大程度的准确和彻底的结果，因为您的测试将根据您的applications.
• It's进行调整，成本将低于商业扫描仪和consultants.

当然，如果你走这条路，你基本上就是把自己变成了公司的安全顾问。我不认为这是一件坏事；如果你不想要这些专业知识，WebInspect或Fortify无论如何都不会对你有多大帮助。

Answer 2

我知道您特别问到了关于AppScan测试工具的问题，但由于这些工具已经得到了充分的回答(我通常使用AppScan和训练有素的测试人员的混合工具)，我认为有必要指出的是，测试测试并不是“检查安全漏洞”的唯一方法，而且通常不是最有效的__。

源代码审查工具可以为您提供更好的代码库可见性，并发现许多pentesting不能找到的缺陷。

其中包括Fortify和OunceLabs (价格昂贵，适用于许多语言)，VisualStudio.NET CodeAnalysis (适用于.NET和C++，VSTS免费，不错，但不是很好)，OWASP的失误(免费，不错，不是很好)，CheckMarx (不便宜，适用于.NET和Java的fanTASTic工具，但开销很高)，以及更多。

您必须注意的重要一点-(大多数)自动化工具不能发现所有的漏洞，甚至不能接近。你可以期望自动化工具能够找到大约35-40%的secbug，而这些secbug是由专业的五行者发现的；同样的情况也适用于自动化和手动的源代码审查。

当然，适当的SDLC (安全开发生命周期)，包括威胁建模、设计审查等，将会有更多的帮助……

Answer 3

McAfee Secure不是一种解决方案。他们提供的服务简直是个笑话。

如下所示：

http://blogs.zdnet.com/security/?p=1092&tag=rbxccnbzd1

http://blogs.zdnet.com/security/?p=1068&tag=rbxccnbzd1

http://blogs.zdnet.com/security/?p=1114&tag=rbxccnbzd1