Wubi Posted June 10, 2012 Report Posted June 10, 2012 (edited) Securitatea unui website este un lucru crucial pentru orice organizatie sau site personal. Este recomandat sa verifici securitatea site-ului deoarece e mai bine sa fi sigur si sa cunosti "gaurile" din website inainte ca un atacator sa le gaseasca si sa le exploateze. De obicei cele mai cunoscute vulnerabiliti ale unei aplicatii web sunt:* SQL Injection* Cross Site Scripting (XSS)* Cross Site Request Forgery (CSRF)* Insecure Session Handling* Session Fixation* Information Disclosure* Header Injection* Insecure Configuration* Weak randomnessOdata cu timpul, au aparut multe tool-uri ce au fost dezvoltate pentru a furniza o mai buna securitate prin descoperirea diverselor vulnerabilitati. Un vulnerability scanner este creat cu scopul de a detecta "gaurile". Unele dintre aceste tool-uri au si ceva sugestii pentru metode de prevenire ce ar putea fi implementate. Motivul principal pentru care preferam tool-uri automatice, este deoarece procesul de exploatare manual poate duce la rezultate incorecte ce pot cauza ravagii aplicatiei. Un numar foarte mare de aplicatii de scanare sunt disponibile, comercial sau opensource. Ex:* Websecurify* Net Sparker Community Edition*WSSA*NStalker*W3af*Acunetix1. Websecurify URL: Websecurify | Web Application Security Scanner and Manual Penetration Testing ToolWebsecurify este un tool disponibil pe Windows, Linux sau MAC. Este cel mai bun tool cand vine vorba de vulnerabilitatile obisnuite.Odata ce target-ul a fost scanat, tool-ul incepe sa lucreze si prezinta rezultatele odata ce a terminat. Rezultatul scanarii va contine descriere vulnerabilitatii, solutii si URL-ul ce este vulnerabil, ce ne ajuta sa intelegem si sa fixam vulnerabilitatea cat de repede posibil. Exemplu rezultat:Poate detecta vulnerabilitati precum SQLi, LFI/RFI, XSS, CSRF si alte categorii din OWASP top 10. Acest tool are de asemenea o versiune a scanner-ului online. Link: Websecurify Scanner | Automated web application security testing at your fingertipsNota: Scannerul online este inca beta.Caracteristici:* Usor de folosit* Testari simultane* Rapoarte avansate2 - NetSparker URL: Netsparker, False Positive Free Web Application Security Scanner - Mavituna SecurityNetSparker este de altfel un eficient vuln scanner pentru website-uri, foarte usor de utilizat.Pentru a incepe scanarea, apesi optiunea "Start New Scan" apoi bagi URL-ul tinta, dupa care apesi start scan pentru a scana site-ul. Vei vedea 3 tab-uri, vulnerability, browser view and Http request/response.In tab-ul vulnerability, poti gasi informatii despre URL-ul vulnerabil, descriere, impactul pe care il are si cum se poate fixa.Poti vedea diagrama vulnerabilitatii pentru a intelege cat de serioasa este problema.Caracteristici:* Post exploitation trece exploatarea la nivelul urmator* Avem in constitutia scannerului encoder.* Avem optiune pentru scanare controlata.Web Security Audit - WSSAURL: http://www.beyondsecurity.com/vulnerability-scanner.htmlDincolo de securitate, scannerele bune de vulnerabilitati web, au integrate de asemenea scanarea retelelor. WSSA vine cu Automated Vulnerability Detection System (AVDS) concentrat pe acuratete. O problema in scanarea aplicatiilor web este 'fals pozitivul'. Sunt multe scannere care iti vor da o lista lunga de posibile vulnerabilitati, dintre care unele mai mult sau mai putin prezente. Testarea host-ului tine mai mult de penetration testing. Verificarea versiunii ce isi va asuma vulnerabilitatea, este de obicei inexacta. Pentru mai multe informatii despre aceste doua metode de testare.In acelasi timp, unele scannere au rata de fals pozitiv de 10 %. Multe dintre ele chiar 3%. AVDS este 1%. Aceasta rata scazuta reduce considerabil din timpul petrecut uitandu`te dupa vulnerabilitati care sunt reportate insa in realitate nu exista.Scanner-ul este numai cu plata, insa poate fi folosit 15 zile trial.Mai mult, acesta vine cu un web scanner ce furnizeaza niste rapoarte foarte detaliate care pot fi intelese usor de catre o persoana normala. Rezultatele sunt primite destul de repede si tot serviciul vine gratis, daca sunteti interesati. Primul pas ar fi, sa intrati pe websitePasul 2: Foloseste email-ul asociat cu domeniul tau.Odata ce ai terminat, vei primi detalii detaliate despre domeniul pe mail-ul specificat. Scannerul online poate detecta cele mai multe dintre vulnerabilitati, cum ar fi paginile codate prost, database connection cu probleme. Exemplu: SQL injection, XSS, RFI, PHP/ASP Code injection, Directory traversal sau File Disclosure.Cu acest serviciu putem identifica rezultatele unui atac cu vurs, trojan sau worm. Exemplu: molicious code ce deschide un port TCT pentru utilizarea fara drept a internetului.Sistemele configurate gresit. Exemplu: un serviciu ce foloseste un user sau parola cunoscute; sau update-uri/patch-uri de securitate omise.//Urmeaza N-Stalker, W3af si Acunetix. Edited June 11, 2012 by Wubi 1 Quote
Guest Kovalski Posted June 10, 2012 Report Posted June 10, 2012 bravo Wubi, felicitarile mele, se pare ca mai sunt persoane care fac si ceva constructiv..+rep Quote
Brokerjoker Posted June 10, 2012 Report Posted June 10, 2012 Websecurify for Windows 239,99 USD Faci misto? Quote
Wubi Posted June 10, 2012 Author Report Posted June 10, 2012 (edited) Websecurify for Windows 239,99 USD Faci misto?Da, e cam scump. Poti insa sa folosesti extensia web pentru chrome sau firefox (https://chrome.google.com/webstore/detail/emclbdbpcnhmopfkidjhlinikkohlkpn / https://addons.mozilla.org/en-US/firefox/addon/websecurify/)Sau poti incerca pentru 15 zile Netsparker (https://www.mavitunasecurity.com/demo/).Sau, W3af, e opensource (http://w3af.sourceforge.net/). Edited June 10, 2012 by Wubi Quote
Brokerjoker Posted June 10, 2012 Report Posted June 10, 2012 Da, e cam scump. Poti insa sa folosesti extensia web pentru chrome sau firefox (https://chrome.google.com/webstore/detail/emclbdbpcnhmopfkidjhlinikkohlkpn / https://addons.mozilla.org/en-US/firefox/addon/websecurify/)Sau poti incerca pentru 15 zile Netsparker (https://www.mavitunasecurity.com/demo/).Multumesc!! , nu orcine isi permite sa plateasca 200 $. Quote
Wubi Posted June 10, 2012 Author Report Posted June 10, 2012 Multumesc!! , nu orcine isi permite sa plateasca 200 $.Intr-adevar. Quote
mad93 Posted June 18, 2012 Report Posted June 18, 2012 util mai gasesc ceva bun pe aici bravo Wubi ! Quote
