Перейти к содержимому

Фотография

Автоматизация тестирования безопасности сайта


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 7

#1 sekretarev

sekretarev

    Новый участник

  • Members
  • Pip
  • 10 сообщений
  • Город:Ярославль

Отправлено 03 декабря 2010 - 07:47

Здравствуйте. Занимаюсь тестированием веб-сайтов в компании.
Хочу внедрить тестирование на безопасность разрабатываемых веб-приложений.
Если я правильно понимаю, проверка безопасности — это проведение различных атак: sql injection, php including, xss атака, брутфорс атака (почерпнул отсюда — http://qa-staff.blog...ие безопасности) на целевой странице.
Подскажите есть ли бесплатные решения для проведения автоматизированного тестирования на безопасность всего сайта?
  • 0

#2 enki86

enki86

    Постоянный участник

  • Members
  • PipPipPip
  • 231 сообщений


Отправлено 03 декабря 2010 - 08:24

бесплатных не встречал
есть бесплатные демо версии с ограниченным функционалом
например, Xspider. Хороших бесплатных полнофункциональных средств не видел. Хотя, возможно, вместо одного инструмента можно использовать пакет бесплатных.
  • 0

#3 frei_by

frei_by

    Постоянный участник

  • Members
  • PipPipPip
  • 177 сообщений
  • ФИО:Дмитрий

Отправлено 03 декабря 2010 - 09:16

Умея пользоваться Jmeter/средство для формирования запросов = <любой язык програмирования, умеющий работать с HTTP> вы сможете сами писать любые атаки на сайт прозивольно вводя в запрос нужные вам данные. Все атаки в конечном итоге сводятся к формированию нестандартных данных в запросе, будь то это GET POST ajax... формируете себе набор фирменных тестовых данных и для каждой переменной будь то это ?var=<вставляете сюда всякую дрянь>
и придумать нужно как проверять потом целостность. ведь не обязательно при удачной атаке выводится сообщение об ошибке.

"бесплатные решения для проведения автоматизированного тестирования на безопасность всего сайта"
- думаю что это миф.

И кстати кроме атаки через ввод данных есть атаки через окружение, всеми любимая социальная инженерия вроде "скопируйте ссылку и вставте в адресную строку"...
  • 0

#4 enki86

enki86

    Постоянный участник

  • Members
  • PipPipPip
  • 231 сообщений


Отправлено 03 декабря 2010 - 09:30

Умея пользоваться Jmeter/средство для формирования запросов = <любой язык програмирования, умеющий работать с HTTP> вы сможете сами писать любые атаки на сайт прозивольно вводя в запрос нужные вам данные. Все атаки в конечном итоге сводятся к формированию нестандартных данных в запросе, будь то это GET POST ajax... формируете себе набор фирменных тестовых данных и для каждой переменной будь то это ?var=<вставляете сюда всякую дрянь>


Вы о чем вообще? Мне кажется, - или вы не в теме или пост не сюда.
При чем тут вообще именно http и jmeter? Это только маленькая, ну просто ничтожно малая, часть возможных атак. Атаковать можно и через ssh.
  • 0

#5 sekretarev

sekretarev

    Новый участник

  • Members
  • Pip
  • 10 сообщений
  • Город:Ярославль

Отправлено 03 декабря 2010 - 09:32

Сам думал, что можно воспользоваться jmeter (я правильно понял?). Но вот слабо представляю как сформировать

набор фирменных тестовых данных и для каждой переменной

Пока знания теории не хватает. Может дадите толковых ссылок?
  • 0

#6 stmark

stmark

    Опытный участник

  • Members
  • PipPipPipPip
  • 404 сообщений
  • ФИО:Докучаев Сергей
  • Город:Ярославль


Отправлено 03 декабря 2010 - 10:14

Множество различных мега-супер-классных программ по автоматизации проверки безопасности сайта испробовал, в том числе и платные.
В общем, меня они совсем не порадовали, то что они могут - может любой человек немного разбирающийся в различных типах атак.
Более того, сильна моя вера в то, что тестирование безопасности - это исследование, соответственно автоматизация здесь даже противопоказана.
А вот инструментов, которые в этом деле могут помочь довольно много, стоит только поискать.
  • 0

#7 samurai08

samurai08

    Новый участник

  • Members
  • Pip
  • 46 сообщений

Отправлено 03 декабря 2010 - 11:31

Здравствуйте. Занимаюсь тестированием веб-сайтов в компании.
Хочу внедрить тестирование на безопасность разрабатываемых веб-приложений.
Если я правильно понимаю, проверка безопасности — это проведение различных атак: sql injection, php including, xss атака, брутфорс атака (почерпнул отсюда — http://qa-staff.blog...ие безопасности) на целевой странице.
Подскажите есть ли бесплатные решения для проведения автоматизированного тестирования на безопасность всего сайта?


да, есть. Но хочу заметить, что тестирует тестировщик (хакер), а не инструмент. Инструментов более чем предостаточно. На базовом уровне может пригодится nikto, skipfish,paros, из более сложного OpenVAS, w3af. Из платных уже упомянутый XSpider, Acutenix. Платные в целом лучше, но в колчичественных показателях сказать сложно.

еще надо смотреть OWASP: http://www.owasp.org...:OWASP_Project.
  • 0

#8 frei_by

frei_by

    Постоянный участник

  • Members
  • PipPipPip
  • 177 сообщений
  • ФИО:Дмитрий

Отправлено 08 декабря 2010 - 13:56

nikto
доступен в резпозитариях debian это большой к нему плюс.
По поводу проведения сканирования - в логах можно увидеть конструкции вроде
ERROR: /splashAdmin.php returned an error: error reading HTTP response 
ERROR: /php/php.exe?c:\boot.ini returned an error: error reading HTTP response
вторая строка особенно забавно смотрится, учитывая то, что сервер заведомо на линуксе.
а splashAdmin.php - заведомо известсно что такого файла не существует.
  • 0


Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных