Webアプリケーションのセキュリティを評価するために利用できるツールは何ですか?
Webアプリケーションのセキュリティを評価するために利用できるツールは何ですか?
ツールの機能について簡単に説明してください。
pdate:より具体的には、ソースコード(ブラックボックス)にアクセスできないことを前提としたツールを探しています。
webアプリケーションの評価に使用できるアプリは多数あります。考慮すべき1つのことは、どのようなツールを探しているかです。それらのいくつかは、手動テストと一緒に使用するのが適切です。他のものは、「ブラックボックス」スキャンツールとして、セキュリティ専門家以外のITスタッフ向けに設計されています。
その上、Webアプリケーションのセキュリティの特定の領域を評価するために使用できるさまざまなスクリプトとポイントツールがあります。
私のお気に入りのいくつか
Burp suite- http://www.portswigger.net 。無料の商用ツール。手動テストの優れた付属物であり、優れたスキャナー機能も備えています。私が知っているプロのWebアプリケーションテスターのうち、ほとんどがこれを使用しています。
W3af- http://w3af.org/ -オープンソーススキャンツールは現在かなり開発されているようで、主に物事の自動スキャン側に焦点を当てていますが、まだかなりの時間が必要です効果的に使用するための知識の。
純粋なスキャン側では、いくつかの市販のツールを利用できます。
Netsparker- http://www.mavitunasecurity.com/netsparker/
IBM AppScan- http://www-01.ibm.com/software/awdtools/appscan/
HP WebInspect- https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-201-2 ^ 9570_4000_100__
Cenzic Hailstorm- http://www.cenzic.com/products/cenzic-hailstormPro/
Acunetix WVS- http://www.acunetix.com/vulnerability-scanner/
NTObjectives NTOSpider- http://www.ntobjectives.com/ntospider
ブラックボックスのウェブアプリペンを実行するための私のお気に入りのツールバッグ。テストは現在:
- BURP Suite "Webアプリケーションのセキュリティテスト用のインターセプトプロキシサーバーです。ブラウザーとターゲットアプリケーション間の中間者として動作します"
- Fiddler 別のプロキシツール
- Fiddler x5s addon -x5sは、侵入テスト担当者がクロスサイトスクリプティングの脆弱性を見つけるのを支援することを目的としています。
- Fiddler watcher addo n-Watcherは、Webアプリケーション用のランタイムパッシブ分析ツールです。
上記のツールは、フルパワーで使用するにはある程度の知識が必要で、半自動化された方法で使用するのが最適です(たとえば、テストする特定のWebフォームを選択し、「攻撃」実行を設定して、結果を確認し、脆弱性またはテストするポイントを特定します。もっと)
ぶら下がっている果物を捕らえ、テスト範囲を広げるための完全に自動化されたスキャナー:
- Netsparker -自動化された商用アプリスキャナー
- Skipfish –自動アプリスキャナー
多分 AppScan または WebInpsect ライセンスにアクセスできる場合(これらのツールは高価です)
このリストを最新の状態に保つことは困難です。私の意見では、これは悪い質問です。
正しい質問は、「Webアプリケーションのセキュリティを評価するために利用できる手法、それらは一般的にどのように実装されているか、そして手法とその実装の両方に対する最新の改善をどのように維持するか」です。
たとえば、ハットキット、WATOBO、ArachniのWebインターフェースなどの回答が提案されたため、より優れたツールがすでに利用可能になっています。
商用ツールの主な問題は、革新と改善の能力の欠如です。この時点で、Webアプリケーションのセキュリティ分野のほとんどすべての商用製品は、特許戦争と個人および社会資本の喪失によって発育を妨げられています。アプリスキャナー、アプリファイアウォール、またはセキュリティに重点を置いた静的分析の製品/サービスの周りで最後にコミュニティを見たのはいつですか?正解は「はい」です。戦いは、アプリスキャナー、アプリファイアウォール、およびセキュリティを配置したこれらの馬鹿げた、前向きではない才能のない道化師によって提起された2004年の障壁を乗り越えて革新を試みる無料(またはオープンソース)ツールのためのものです。現在はほとんど機能しなくなっている、焦点を絞った静的分析会社。
文字通り、Burp Suite Professionalの1.4betaに見られるように、この市場で革新的な人はPortSwiggerだけです。 Cigitalはイノベーションを起こしていますが、消費者や研究者の市場から値下げしています。
私は楽しんだ SkipFish
また、OWASP Zed Attack Proxyもあります: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
ホームページから引用するには:
「Zed Attack Proxy(ZAP)は、Webアプリケーションの脆弱性を見つけるための使いやすい統合侵入テストツールです。
これは、幅広いセキュリティ経験を持つ人々が使用するように設計されているため、侵入テストに不慣れな開発者や機能テスターにとって理想的です。
ZAPは、自動化されたスキャナーと、セキュリティの脆弱性を手動で見つけることができる一連のツールを提供します。」
そのパロスのフォークであり、無料でオープンソースであり、積極的に維持されています。
Psiinon(ZAPプロジェクトリーダー)
Arachni を試してみませんか。 Rubyで書かれており、非常に有望であるようです。
[〜#〜] owasp [〜#〜] 組織は、アプリケーションソフトウェアのセキュリティの向上に焦点を当てた非営利の世界的な慈善組織であり、 検出を助けるいくつかの素晴らしいツールがあります脆弱性とアプリケーションの保護 。
OWASP WebScarab と Paros もあります。
ただし、 このページ には、必要なリストが含まれています。
下記のWebアプリケーションセキュリティコンソーシアムのWebページには、役割ごとにさまざまなツールが含まれています。
http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List
私が定期的に使用するツールの一部は次のとおりです。
AppScanおよびWebInspect:特定のタイプのチェックを自動化するための強力な自動分析ツールですが、詳細な検査機能はありません。手動モードで使用すると、いくつかの興味深い機能が含まれますが、私の経験では、ユーザーインターフェイスが機能の邪魔になります。
Zed Attack Proxy:最古のParos Proxyのフォークとアップデートであるインターセプトプロキシ。手動テストにはかなり強力で、自動テスト機能がいくつか含まれています。
Skipfish:興味深い高速Webアプリケーションスキャナー。商用アプリケーションスキャナーの機能セットの深さはありませんが、それらを持っていると主張することはありません。アプリケーション認証などの高度なスキャン機能はサポートしていませんが、特定の種類の欠陥に対して強力なファジング機能を備えています。
Packet Stormには、スキャナーの広範なアーカイブがあります。
誰も言及していないので、 insecure.orgs の sectools.org リストは、一般的にアプリケーションリソースの優れた出発点です。ネットワーク関連のITセキュリティに関与。まだチェックしていない場合は、上位100のリストを確認して、そこにあるツール(特に攻撃ツール)の一部に慣れることをお勧めします。すでに述べた警告(および想定される他の警告)を念頭に置いて、ここに トップ10 Web脆弱性スキャナー のページを示します。
おそらくBurp Suiteも調べたいでしょう。彼らは無料の有料版を持っていますが、有料版は比較的安価です。
PCIの私のお気に入りのツールDSS Webアプリケーションに関する監査/評価はFiddler(またはFiddlerCap)です。これらのツールのいずれかを初心者またはおばあちゃんに与えると、彼らはそれを理解できるようになります少しの指示でアウト。
あなたは彼らにあなたにSAZファイル(またはFiddlerCapファイル)を送ってもらいます。これには、彼らがwebappを歩くためにInternet Explorerを使った後に保存ダイアログを使うことを含みます。
次に、HTTP/TLSトラフィックを確認し、アプリケーションの動作方法、およびアプリケーションが支払いカード情報を処理する方法を決定できます。 Fiddlerプラグイン Casaba Watche rは、サイト情報を提供した後、セッションをオフラインで処理できます(トップレベルドメインとサブドメインに追加します)。 WatcherはいくつかのOWASP ASVSアクティビティを実行します。これをASVSにマッピングして確認できます。これはすべて、アプリケーションにアクセスしなくても可能です(たとえば、QAまたは開発環境にある可能性があります)。通常、この情報は、開発者がwifreframeビルドを入手できるとすぐに、つまり、アプリケーションがステージングまたは本番環境に移行する前に取得する必要があります。
Webアプリケーションにアクセスできる場合は、Fiddlerをさらに使用することもできます。ユーザー入力がある部分を選択し、それに対して Casaba x5sプラグイン を実行することをお勧めします。 x5sの構成はかなり複雑ですが、作成者や他のオンラインユーザーは、x5を構成して結果を理解するのを手伝ってくれるでしょう。 Fiddlerにはリクエストを再生する機能があるため、Fiddlerとx5を実行するように構成してサイトをライブで閲覧するのではなく、この機能を使用する(つまり、一度に1つのリクエストを再生する)のが最善です。結果の分析は、構成ほど複雑ではありません。HTMLやJavaScriptについて何かを知っている必要はありません。
これら3つのツールの結果は決定的なものではありません。ただし、これらはWebアプリケーションスキャナーやセキュリティツールを実行するよりも決定的です-商用、年間50万ドルかどうか。 PCI DSS auditまたは評価作業。
基本事項の後に必要なのは、この種の評価を専門とするアプリケーションセキュリティコンサルティング会社を雇い、協力することです。彼らは自社で開発した独自のツールを持っている可能性が非常に高く、共有したり販売したりする気がありません。
彼らは、ウェブアプリケーションのビルド可能なソースコードのコピーへのアクセスを望んでいます。 IDEおよび/またはすべての依存関係とSDKを含む有効なビルドを備えたビルドサーバーの開発者用コピーを含むvmdk/OVF/VHDファイルを提供することをお勧めします。アプリがステージングまたは本番環境に移行するときに必要な構成とその他の推奨事項を提供します。
かなり古い(時代遅れ?)ながら、Wapitiは別の無料の選択肢です: http://wapiti.sourceforge.net/
良い結果を得るには複数のツールを組み合わせる必要があります。また、オン(手動テスト)でWebサイトを痴漢する必要があります。商用ツールではビジネスロジックを理解できないため、手動の方法の方が良いため、次のツールをお勧めします。
自動化されたツールについては、acuentix、netsparker、burp suite、googleのwebsecurifyが適しています。これらのツールを使用して、Webアプリをテストできます。
手動の方法では、OWASPトップ10を調査して、一般的なWebアプリケーションの脆弱性を把握し、その後、Webサイトのテストを開始する必要があります。
次のツールは、手動テストを行う際に役立ちます。HTTP要求/応答を編集するためのParosプロキシ。 fiddlerを使用すると、トラフィックを検査し、ブレークポイントを設定し、着信データまたは発信データを「いじる」ことができます。
Firefox拡張機能(改ざんデータ、Web開発者):サーバーがどのように反応するかを確認するためにHTTP要求/応答を編集します。このツールをグーグルすると、それらの使用方法に関する多くのチュートリアルが表示されます