Ferramentas para verificar vulnerabilidades comuns?

Existem boas ferramentas (desktop ou online) que permitem verificar se o seu site tem vulnerabilidades comuns (por exemplo, SQL Injection, XSS)?

websecurify são os melhores projetos de software livre que encontrei.

Você pode querer conferir o Skipfish do Google , que é extremamente abrangente e funciona a partir de dicionários que você fornece, incluindo padrões (pia da cozinha / padrão).

Também é um pouco mais 'gentil' do que outros que eu já usei, mas não consigo encontrar algo com os mesmos recursos para comparar os resultados.

Seu C escrito, tem saída MUITO informativa e é extremamente fácil de usar. Eu recomendo executá-lo em qualquer servidor * nix padrão ou em casa, se você tiver uma conexão rápida. Também possui um sistema de fila de solicitações inteligente com atualizações em tempo real. É realmente divertido vê-lo funcionar.

Ele relata a maioria das vulnerabilidades, além de muitos outros problemas dos quais você talvez não esteja ciente. É um pouco pedante, mas pedante é uma boa qualidade para essa ferramenta.

Captura de tela dos resultados (um pouco antiga):

texto alternativo http://skipfish.googlecode.com/files/skipfish-screen.png

Existem muitos scanners automatizados de vulnerabilidades de aplicativos da web de caixa preta de código aberto.

• w3af
• websecurify
• skipfish
• Netsparker Community Edition (gratuito com funcionalidade limitada)
• Nikto

É melhor não confiar em apenas um scanner automatizado, cada um com seus pontos fortes e fracos; portanto, sempre execute alguns deles e compare os resultados. Você também precisará verificar se há falsos positivos e falsos negativos.

A verificação automatizada de vulnerabilidades tem seu lugar e é útil, no entanto, sempre deve ser feita por um profissional de segurança que entenda as vulnerabilidades e também possa verificar outras manualmente. A digitalização automatizada é um bom começo e melhor do que nada.

A Microsoft possui uma ferramenta de análise de código que faz isso (aqui está um vídeo do Channel 9 e um link para download da v1). A Wikipedia também possui uma lista muito boa de ferramentas de análise de código estático .

O RatProxy do Google também é uma ótima opção para verificar o XSS. Como é configurado e opera como um proxy, é fácil de usar, pois simplesmente segue o seu navegador enquanto você testa seu site normalmente. Ele registra todas as interações, POSTs, GETs etc., e pode reproduzir essas interações tentando injetar conteúdo malicioso. Depois de repetir as solicitações, ele verificará a saída quanto aos sinais de XSS. Além disso, mantém um registro de todo o ciclo de vida do HTTP, que pode ser usado para depuração adicional.

A HP possui o Scrawlr para verificar vulnerabilidades comuns de injeção SQL.

Faço exatamente esse tipo de coisa há muito tempo e concordaria que a melhor solução é usar testadores experientes para verificar seu perfil de segurança; no entanto, testar esses tipos de vulnerabilidades é realmente muito fácil de automatizar. Tendo gerenciado um programa para testar cerca de 1000 aplicativos da web em um período de 6 meses, posso dizer que as ferramentas de destaque para mim são o AppScan e o Burp da IBM - e, na maioria dos casos, o Burp é mais leve, mais rápido, mais configurável e muito mais barato!

É muito fácil fazer com que o Burp verifique se há falhas na validação de entrada - e resolva seus problemas de injeção de SQL e XSS. Você pode obter uma cobertura extremamente boa desse tipo de vulnerabilidade.

O w3af é uma das melhores peças disponíveis para auditoria na Web, e também é FOSS

"O w3af é uma estrutura de ataque e auditoria de aplicativos da Web. O objetivo do projeto é criar uma estrutura para localizar e explorar vulnerabilidades de aplicativos da web fáceis de usar e estender."

certifique-se de experimentá-lo

A vulnerabilidade da web da Acunetix é muito boa, eu a usei e realmente gostei. Você pode verificar o site em busca de XSS, injeção de SQL, sistema de carregamento fraco e muito mais. Aproveite.