合法地使用像Havij这样的工具

Question

我是个开发人员，不是安全专家。我的主要关注点是确保我不会通过糟糕的编程引入安全漏洞。我了解如何编写代码来防范OWASP前10名以及其他漏洞，但我知道的还不够多。我想在我们的过程中添加一些额外的测试，以扫描整个开发过程中的漏洞。

我们已经在整个项目中进行了威胁建模，并对所有进入生产的代码更改进行了代码评审。

此外，作为我们发布过程的一部分，我们在发布前在我们的暂存环境中对我们的站点进行了渗透测试，并且在发布后在live中运行。然而，我不相信我们的渗透测试工具是足够的。而且，渗透测试是昂贵的，而且只能经常进行。我非常希望我们的团队在整个开发过程中执行它们。(早期修补漏洞比在项目后期修复要便宜得多。)

我知道网络罪犯使用的像Havij这样的工具，我也意识到它们使攻击站点变得非常容易，甚至对非技术人员来说也是如此。我希望能够使用相同的工具来测试我们自己的web站点，然后在测试中进行准备，然后进行生产环境的测试。(为什么坏人应该拥有所有的好工具？)但我不愿意去“阴暗面”网站或新闻组下载工具。我甚至都不知道该去哪找。即使我知道在哪里查找，我们的网络管理员也不会允许我们从不受信任的来源获得这些工具。

是否有合法的，值得信赖的地方，可以下载或购买这些工具这样白帽子的目的？我非常愿意争取高层管理人员为可能提供这些工具的白帽组成员支付费用，更好的是，培训，所以我不一定是免费的。我只是在找合法和合法的消息来源。

Answer 1

克里斯弗雷泽的好答案，虽然我个人不会推荐CEH。也许我在很久以前就采用了这种测试方式，但我觉得它并没有涵盖任何接近渗透测试人员或具有安全意识的开发人员实际需要的内容。

也许我会给你一个有点非正统的答案，但在我看来，你已经做了相当了不起的工作，而你独自一人担心的事实只是表明了你的组织中有多么的安全意识。这已经使您处于比我遇到的许多其他应用程序都要好得多的位置，在这些应用程序中，安全性通常是一个疏忽。

话虽如此，你不应该只是放松，认为一切都是安全的(我怀疑你会这么做)。你总是可以做一些事情来提高你的安全性。克里斯提到了其中的一些。我还建议您考虑一下可以帮助使用静态或动态代码分析的工具。在这个领域里有几家有着相当好声誉的商业供应商。可悲的是，开放源码的选择通常在这个特定的领域落后。

如果您真的很喜欢插入一些自动化工具，那么我建议您看看阿拉希尼。有许多web应用程序扫描器，但这可能是少数几个基本上是由API构建的工具之一。这可能使它成为与您的开发/发布/持续集成过程集成的最佳人选。这并不意味着它一定是更好的，也不是您应该依赖的唯一工具，但至少它应该很容易(或者更容易)集成。

否则，始终尝试扩展您的知识，阅读更多，检查这里提到的问题和工具，并努力确保您的整个团队都意识到这些安全问题。我也会建议花时间与您的渗透测试人员，当他们来做扫描。总有一些新的技巧，你可以学到这种方式。

Answer 2

我想向您介绍一下我们在笔试web应用程序中使用的开源工具：

• 阿拉希尼，在前面的回答中已经提到过了。
• w3af，最著名的免费开源扫描仪之一。这个是用python编写的，有一个一致的UI (GUI和CLI)。该项目由Rapid7、Metasploit和NeXpose的所有者赞助。
• 斯基普鱼是一种火灾和遗忘命令行扫描器，擅长爬行和强制浏览，它可以生成漂亮的HTML报告。
• OWASP Zed攻击代理，事实上的开源网络攻击代理。ZAP有一个API，并集成了代码和其他参考工具(如JBroFuzz和DirBuster )的特性。它更适合半自动测试。

以下开放源码工具可以帮助利用Scripting (SQLi)和跨站点脚本(XSS)漏洞：

• SQLmap：这个CLI工具非常适合利用SQL注入漏洞，即转储数据库、执行SQL命令，甚至危及后端数据库的操作系统。它的目的与Havij相似，并且经常被脚本小子用于开发易受攻击的目标。
• 牛肉：展示XSS缺陷风险的完美工具，其新的闪亮的Rails界面允许您利用XSS漏洞来命令受害浏览器。

web漏洞扫描市场上有很多商业工具，价格从几百美元到数万美元不等。这些可以获得比开源更好的结果。和可以结合开放源码扫描和开发工具的特性。但是，您总是需要那个椅子和血液渗透测试器来尝试打破应用程序的逻辑，这是一个工具，不管它有多值钱，都做不到。

Answer 3

不是的。你不应该使用像宙斯或哈维杰这样的工具，或者其他黑帽工具来评估你网站的安全性。宙斯不是为脆弱性评估而设计的，而是为一旦你进入而设计的后门。总的来说，我的经验是，黑帽子没有比白帽渗透测试和漏洞评估服务更好的漏洞评估工具。此外，使用由黑帽社区编写的软件是危险的；您可能会发现自己有一个自己造成的特洛伊木马。

相反，如果您想了解您的组织如何能够做更多的事情，我将开始研究如何将安全性集成到软件开发生命周期中。微软在这方面有一些很好的资源。