Автоматизация тестирования безопасности сайта

Здравствуйте. Занимаюсь тестированием веб-сайтов в компании.
Хочу внедрить тестирование на безопасность разрабатываемых веб-приложений.
Если я правильно понимаю, проверка безопасности — это проведение различных атак: sql injection, php including, xss атака, брутфорс атака (почерпнул отсюда — http://qa-staff.blog...ие безопасности) на целевой странице.
Подскажите есть ли бесплатные решения для проведения автоматизированного тестирования на безопасность всего сайта?

бесплатных не встречал
есть бесплатные демо версии с ограниченным функционалом
например, Xspider. Хороших бесплатных полнофункциональных средств не видел. Хотя, возможно, вместо одного инструмента можно использовать пакет бесплатных.

Умея пользоваться Jmeter/средство для формирования запросов = <любой язык програмирования, умеющий работать с HTTP> вы сможете сами писать любые атаки на сайт прозивольно вводя в запрос нужные вам данные. Все атаки в конечном итоге сводятся к формированию нестандартных данных в запросе, будь то это GET POST ajax... формируете себе набор фирменных тестовых данных и для каждой переменной будь то это ?var=<вставляете сюда всякую дрянь>
и придумать нужно как проверять потом целостность. ведь не обязательно при удачной атаке выводится сообщение об ошибке.

"бесплатные решения для проведения автоматизированного тестирования на безопасность всего сайта"
- думаю что это миф.

И кстати кроме атаки через ввод данных есть атаки через окружение, всеми любимая социальная инженерия вроде "скопируйте ссылку и вставте в адресную строку"...

Умея пользоваться Jmeter/средство для формирования запросов = <любой язык програмирования, умеющий работать с HTTP> вы сможете сами писать любые атаки на сайт прозивольно вводя в запрос нужные вам данные. Все атаки в конечном итоге сводятся к формированию нестандартных данных в запросе, будь то это GET POST ajax... формируете себе набор фирменных тестовых данных и для каждой переменной будь то это ?var=<вставляете сюда всякую дрянь>

Вы о чем вообще? Мне кажется, - или вы не в теме или пост не сюда.
При чем тут вообще именно http и jmeter? Это только маленькая, ну просто ничтожно малая, часть возможных атак. Атаковать можно и через ssh.

Сам думал, что можно воспользоваться jmeter (я правильно понял?). Но вот слабо представляю как сформировать

набор фирменных тестовых данных и для каждой переменной

Пока знания теории не хватает. Может дадите толковых ссылок?

Множество различных мега-супер-классных программ по автоматизации проверки безопасности сайта испробовал, в том числе и платные.
В общем, меня они совсем не порадовали, то что они могут - может любой человек немного разбирающийся в различных типах атак.
Более того, сильна моя вера в то, что тестирование безопасности - это исследование, соответственно автоматизация здесь даже противопоказана.
А вот инструментов, которые в этом деле могут помочь довольно много, стоит только поискать.

Здравствуйте. Занимаюсь тестированием веб-сайтов в компании.
Хочу внедрить тестирование на безопасность разрабатываемых веб-приложений.
Если я правильно понимаю, проверка безопасности — это проведение различных атак: sql injection, php including, xss атака, брутфорс атака (почерпнул отсюда — http://qa-staff.blog...ие безопасности) на целевой странице.
Подскажите есть ли бесплатные решения для проведения автоматизированного тестирования на безопасность всего сайта?

да, есть. Но хочу заметить, что тестирует тестировщик (хакер), а не инструмент. Инструментов более чем предостаточно. На базовом уровне может пригодится nikto, skipfish,paros, из более сложного OpenVAS, w3af. Из платных уже упомянутый XSpider, Acutenix. Платные в целом лучше, но в колчичественных показателях сказать сложно.

еще надо смотреть OWASP: http://www.owasp.org...:OWASP_Project.

nikto
доступен в резпозитариях debian это большой к нему плюс.
По поводу проведения сканирования - в логах можно увидеть конструкции вроде

ERROR: /splashAdmin.php returned an error: error reading HTTP response 
ERROR: /php/php.exe?c:\boot.ini returned an error: error reading HTTP response

вторая строка особенно забавно смотрится, учитывая то, что сервер заведомо на линуксе.
а splashAdmin.php - заведомо известсно что такого файла не существует.