Автоматизация CSRF и XSS тестирования
Автор free13man, 16 окт 2012 13:53
Сообщений в теме: 4
#1
Отправлено 16 октября 2012 - 13:53
Добрый день!
Интересует вопрос возможности автоматизировать процес проверки на CSRF и XSS уязвимости, чем лучше организовать и каким макаром?
Интересует вопрос возможности автоматизировать процес проверки на CSRF и XSS уязвимости, чем лучше организовать и каким макаром?
#2
Отправлено 16 октября 2012 - 20:39
Есть, например, такой мини-обзор http://cmslist.ru/ar...vebprilozhenij/
Я пользовался Websecurify — что-то ищет, конечно, но результаты меня не совсем устроили.
Я пользовался Websecurify — что-то ищет, конечно, но результаты меня не совсем устроили.
#3
Отправлено 17 октября 2012 - 07:26
Спасибо за наводку! Я пользовался w3af и Acunetix, но как автоматизировать не знаю. А вы на что-то потом перешли или начали руками искать дыры?Есть, например, такой мини-обзор http://cmslist.ru/ar...vebprilozhenij/
Я пользовался Websecurify — что-то ищет, конечно, но результаты меня не совсем устроили.
#4
Отправлено 24 октября 2012 - 08:05
Я использую skipfish и nikto. автоматизировать пока их не приходилось, но читал про это - вроде ни каких проблем с этим не должно возникнуть, для skipfish есть даже ссылка с готовым скриптом для автоматизации. Так же можете почитать тут как его поставить.Добрый день!
Интересует вопрос возможности автоматизировать процес проверки на CSRF и XSS уязвимости, чем лучше организовать и каким макаром?
#5
Отправлено 27 октября 2012 - 13:48
Добрый день.
Полность автоматизировать не удасться, но кое-что можно будет сделать:
Что касается CSRF, то это скорее тоже проще выявить анализом исходного кода. Посмотреть, что иницировать удаление объекта или назначение прав можно только передачей POST-запроса, что все GET-запросы игнорируются. Есть ли автоматические средства, которые позволяют выявить возможность составления прямой ссылки для осуществления сложного действия посредством GET-запроса - не знаю.
Полность автоматизировать не удасться, но кое-что можно будет сделать:
- проверка исходного кода (сканерами исходного кода) - очень хороший метод
- вместе со специально подготовленными тестовыми данными (проверка на Active XSS), а именно, если в вашей системе есть пользователи, то надо создать десяток тестовых пользователей в чьих именах будут символы ' " < > & ..., если есть сообщения, в темах, примечаниях и текстах сообщений должны быть те же символы.
- вместе с ручным тестированием - надо открыть писок этих пользователей и список сообщений и посмотреть не поехала ли вёрстка.
- инструменты вида w3af проверяют на наличие Passive XSS, это менее ценые дефекты, но их поиск можно попытаться автоматизировать (например, сайт отображает поисковую фразу в заголовке страницы с результатами поиска, и если отображает без должной защиты, то структура страницы может быть нарушена, если поисковая фраза будет составлена особым образом)
- Также использую Proxy-сервера WebScarab и Fiddler2 а плагином Watcher (Passive Security Auditor).
Что касается CSRF, то это скорее тоже проще выявить анализом исходного кода. Посмотреть, что иницировать удаление объекта или назначение прав можно только передачей POST-запроса, что все GET-запросы игнорируются. Есть ли автоматические средства, которые позволяют выявить возможность составления прямой ссылки для осуществления сложного действия посредством GET-запроса - не знаю.
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных