Перейти к содержимому

Фотография

Автоматизация CSRF и XSS тестирования


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 4

#1 free13man

free13man

    Новый участник

  • Members
  • Pip
  • 4 сообщений

Отправлено 16 октября 2012 - 13:53

Добрый день!
Интересует вопрос возможности автоматизировать процес проверки на CSRF и XSS уязвимости, чем лучше организовать и каким макаром?
  • 0

#2 Freiman

Freiman

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 591 сообщений
  • ФИО:Андрей Адеркин
  • Город:Йошкар-Ола

Отправлено 16 октября 2012 - 20:39

Есть, например, такой мини-обзор http://cmslist.ru/ar...vebprilozhenij/
Я пользовался Websecurify — что-то ищет, конечно, но результаты меня не совсем устроили.
  • 0

#3 free13man

free13man

    Новый участник

  • Members
  • Pip
  • 4 сообщений

Отправлено 17 октября 2012 - 07:26

Есть, например, такой мини-обзор http://cmslist.ru/ar...vebprilozhenij/
Я пользовался Websecurify — что-то ищет, конечно, но результаты меня не совсем устроили.

Спасибо за наводку! Я пользовался w3af и Acunetix, но как автоматизировать не знаю. А вы на что-то потом перешли или начали руками искать дыры?
  • 0

#4 yarick

yarick

    Новый участник

  • Members
  • Pip
  • 36 сообщений
  • ФИО:Новиков Ярослав
  • Город:Екатеринбург

Отправлено 24 октября 2012 - 08:05

Добрый день!
Интересует вопрос возможности автоматизировать процес проверки на CSRF и XSS уязвимости, чем лучше организовать и каким макаром?

Я использую skipfish и nikto. автоматизировать пока их не приходилось, но читал про это - вроде ни каких проблем с этим не должно возникнуть, для skipfish есть даже ссылка с готовым скриптом для автоматизации. Так же можете почитать тут как его поставить.
  • 0

#5 owasp

owasp

    Активный участник

  • Members
  • PipPip
  • 87 сообщений

Отправлено 27 октября 2012 - 13:48

Добрый день.
Полность автоматизировать не удасться, но кое-что можно будет сделать:
  • проверка исходного кода (сканерами исходного кода) - очень хороший метод
  • вместе со специально подготовленными тестовыми данными (проверка на Active XSS), а именно, если в вашей системе есть пользователи, то надо создать десяток тестовых пользователей в чьих именах будут символы ' " < > & ..., если есть сообщения, в темах, примечаниях и текстах сообщений должны быть те же символы.
  • вместе с ручным тестированием - надо открыть писок этих пользователей и список сообщений и посмотреть не поехала ли вёрстка.
  • инструменты вида w3af проверяют на наличие Passive XSS, это менее ценые дефекты, но их поиск можно попытаться автоматизировать (например, сайт отображает поисковую фразу в заголовке страницы с результатами поиска, и если отображает без должной защиты, то структура страницы может быть нарушена, если поисковая фраза будет составлена особым образом)
  • Также использую Proxy-сервера WebScarab и Fiddler2 а плагином Watcher (Passive Security Auditor).

Что касается CSRF, то это скорее тоже проще выявить анализом исходного кода. Посмотреть, что иницировать удаление объекта или назначение прав можно только передачей POST-запроса, что все GET-запросы игнорируются. Есть ли автоматические средства, которые позволяют выявить возможность составления прямой ссылки для осуществления сложного действия посредством GET-запроса - не знаю.
  • 0


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных