সাধারণ দুর্বলতাগুলি পরীক্ষা করার সরঞ্জামগুলি?

35

এমন কোনও ভাল সরঞ্জাম (ডেস্কটপ বা অনলাইন) রয়েছে যা আপনাকে আপনার ওয়েবসাইটের সাধারণ দুর্বলতা আছে কিনা তা পরীক্ষা করার অনুমতি দেয় (যেমন এসকিউএল ইনজেকশন, এক্সএসএস)?

security 
jessegavin
সূত্র
কেবল মনে রাখবেন যে সরঞ্জামটি আপনার সাইটের সমস্ত সম্ভাব্য সুরক্ষা ত্রুটি সনাক্ত করতে পারে না। আমি যদি আপনি হয়ে থাকি তবে আমি সম্ভাব্য ত্রুটি সনাক্ত করার জন্য তারপরে সুরক্ষার সর্বোত্তম অভ্যাস শিখতে এবং ব্যবহার করতে আরও ফোকাস করতাম।
HoLyVieR
1
@ হোলিভিআর: আপনি উভয় ব্যবহার করতে পারবেন না এমন কোনও কারণ নেই। স্ক্যানারগুলির মতো, বিকাশকারীও নিখুঁত নয়। আপনার বা আপনার দলের কেউ বা তৃতীয় পক্ষের উপাদান বিকাশকারীদের পক্ষে ভুল করা সম্ভব। এমনকি যদি আপনি নিজের অ্যাপ্লিকেশনটিতে চলে যায় এমন কোডের প্রতিটি লাইনকে ম্যানুয়ালি ছিদ্র করেন, আপনি এখনও কিছু উপেক্ষা করতে পারেন। পেন টেস্টিং এবং দুর্বলতা স্ক্যানার ব্যবহার আপনাকে সুরক্ষার একটি অতিরিক্ত স্তর দেয়। এটি প্রচেষ্টা আইএমও ভাল মূল্য।
লস ম্যাজেস্টে

উত্তর:

10

ওয়েব সিকিউরিফাই হ'ল আমি খুঁজে পাওয়া সেরা এফওএসএস প্রকল্প।

corymathews
সূত্র
2
যারা কি FOSS (আমার মত 20 সেকেন্ডের আগে) জানি না, এটি জন্য বিনামূল্যে এবং ওপেন সোর্স সফটওয়্যার (ঘোরা en.wikipedia.org/wiki/Free_and_open_source_software )
Paperjam
2
এবং যদি আপনি বহু ভাষাগুলি অনুভব করেন তবে FLOSS এর অর্থ একই জিনিস এবং আপনার মাড়ির জন্য দুর্দান্ত!
জেসনবার্চ
5

আপনি গুগলের স্কিপ ফিশটি পরীক্ষা করে দেখতে চাইতে পারেন , এটির চূড়ান্ত বিস্তৃত এবং আপনি যে অভিধান সরবরাহ করেন সেগুলি থেকে ডিফল্ট (স্ট্যান্ডার্ড / কিচেন সিঙ্ক) অন্তর্ভুক্ত রয়েছে।

এটি আমি ব্যবহার করেছি অন্যের তুলনায় এটি আরও কিছুটা 'মৃদু' তবে ফলাফলগুলির সাথে তুলনা করার জন্য আমি একই বৈশিষ্ট্যগুলির সাথে কিছু খুঁজে পাচ্ছি না।

এর লিখিত সি এর অনেকগুলি তথ্যমূলক আউটপুট রয়েছে এবং এটি ব্যবহার করা অত্যন্ত সহজ। আমি এটি কোনও মানক * নিক্স সার্ভার থেকে বা আপনার কাছে দ্রুত সংযোগ থাকলে বাড়ি থেকে চালানোর পরামর্শ দিচ্ছি। এটি রিয়েল টাইম আপডেট সহ একটি স্মার্ট রিকোয়েস্ট কিউ সিস্টেমও পেয়েছে। এটি কাজ দেখতে এটি আসলে মজাদার।

এটি বেশিরভাগ দুর্বলতাগুলির সাথে সম্পর্কিত, এমন অনেকগুলি অন্যান্য সমস্যার প্রতিবেদন করে যা আপনি জানেন না। এটি সামান্য পেডেন্টিক তবে এই জাতীয় সরঞ্জামের জন্য পেডেন্টিক একটি ভাল মানের।

ফলাফলগুলির স্ক্রিনশট (একটু পুরানো):

Alt পাঠ্য http://skipfish.googlecode.com/files/skipfish-screen.png

পোস্ট টিম পোস্ট
সূত্র
সত্যিই দুর্দান্ত লাগছে। আমি এটি পরীক্ষা করে নেব
জেসেগাভিন
5

অনেক ভাল স্বয়ংক্রিয় ওপেন সোর্স ব্ল্যাক বক্স ওয়েব অ্যাপ্লিকেশন দুর্বলতা স্ক্যানার রয়েছে।

  • w3af
  • websecurify
  • skipfish
  • নেটস্পিকার সম্প্রদায় সংস্করণ (সীমাবদ্ধ কার্যকারিতা সহ বিনামূল্যে)
  • NIKTO

কেবলমাত্র একটি স্বয়ংক্রিয় স্ক্যানারের উপর নির্ভর না করা ভাল, প্রত্যেকেরই শক্তি এবং দুর্বলতা রয়েছে, তাই সর্বদা তাদের কয়েকটি চালান এবং ফলাফলগুলি তুলনা করুন। আপনাকে মিথ্যা ধনাত্মক এবং মিথ্যা নেতিবাচক জন্যও পরীক্ষা করতে হবে।

অটোমেটেড দুর্বলতা স্ক্যানিংয়ের এটির জায়গা রয়েছে এবং এটি কার্যকর however অটোমেটেড স্ক্যানিং একটি ভাল শুরু এবং যদিও কিছুই না থেকে ভাল।

রেভস , 2 জন ব্যবহারকারী 76% রায়ান ডিহার্স্ট
সূত্র
2

মাইক্রোসফ্টের একটি কোড বিশ্লেষণ সরঞ্জাম রয়েছে যা এটি করে (এটি এখানে একটি চ্যানেল 9 ভিডিও , এবং এখানে ভি 1 এর জন্য ডাউনলোড লিঙ্ক রয়েছে )। উইকিপিডিয়ায় স্ট্যাটিক কোড বিশ্লেষণ সরঞ্জামগুলির একটি খুব ভাল তালিকা রয়েছে ।

ল্যারি স্মিথমিয়ার
সূত্র
2

এক্সএসএসের জন্য চেক করার জন্য গুগলের র্যাটপ্রক্সিও সত্যই দুর্দান্ত একটি বিকল্প। যেহেতু এটি সেট আপ হয়েছে এবং প্রক্সি হিসাবে পরিচালনা করে, এটি ব্যবহার করা সহজ কারণ আপনি আপনার সাইটটিকে সাধারণভাবে পরীক্ষা করার সাথে সাথে এটি আপনার ব্রাউজারটিকে অনুসরণ করে। এটি সমস্ত ইন্টারঅ্যাকশন, পোষ্ট, জিইটি, ইত্যাদি রেকর্ড করে এবং দূষিত সামগ্রী ইনজেক্ট করার চেষ্টা করে এমন মিথস্ক্রিয়াগুলিকে পুনরায় খেলতে পারে। এটি একবার অনুরোধগুলি পুনরায় প্রদর্শন করে, এটি এক্সএসএস এর লক্ষণগুলির জন্য আউটপুট পরীক্ষা করবে। অতিরিক্তভাবে, এটি পুরো এইচটিটিপি জীবনচক্রের একটি রেকর্ড রাখে, যা আরও ডিবাগিংয়ের জন্য ব্যবহার করা যেতে পারে।

ক্রিস হেনরি
সূত্র
1

আমি দীর্ঘদিন ধরে ঠিক এই ধরণের জিনিসটি করে আসছি, এবং সম্মত হব যে আপনার সুরক্ষা প্রোফাইলটি পরীক্ষা করার জন্য অভিজ্ঞ পরীক্ষকদের ব্যবহার করা সবচেয়ে ভাল সমাধান, তবে এই ধরণের দুর্বলতার জন্য পরীক্ষা করা স্বয়ংক্রিয়ভাবে করা বেশ সহজ। একটি 6 মাস সময়কাল ধরে 1000 ওয়েব অ্যাপ্লিকেশন প্রায় পরীক্ষা করার জন্য একটি প্রোগ্রাম পরিচালিত রয়ে, আমি বলতে পারি standout সরঞ্জাম আমার জন্য আইবিএম এর AppScan এবং ঢেঁকুর - এবং সবচেয়ে উদ্দেশ্যে ঢেঁকুর লাইটার দ্রুত, আরো কনফিগার, এবং একটি সম্পূর্ণ অনেক সস্তা!

ইনপুট বৈধতা ব্যর্থতা যাচাইয়ের জন্য বার্পকে পাওয়া খুব সহজ - এবং আপনার এসকিউএল ইঞ্জেকশন এবং এক্সএসএস সমস্যাগুলি বাছাই করুন। এই ধরণের দুর্বলতার জন্য আপনি খুব ভাল কভারেজ পেতে পারেন।

ররি আলসপ
সূত্র
1

ওয়েব অডিট-এর জন্য ডাব্লু 3 এফ অন্যতম সেরা উপলব্ধ টুকরা এবং এটি ফসও

"ডাব্লু ৩ এএফ একটি ওয়েব অ্যাপ্লিকেশন অ্যাটাক এবং অডিট ফ্রেমওয়ার্ক The

এটি চেষ্টা করে দেখুন

pootzko
সূত্র
1

অ্যাকিউন্টিক্স ওয়েব দুর্বলতা সত্যিই ভাল, আমি এটি ব্যবহার করেছি এবং এটি সত্যিই পছন্দ করি। আপনি এক্সএসএস, এসকিউএল ইঞ্জেকশন, দুর্বল আপলোডিং সিস্টেম এবং আরও অনেকের জন্য ওয়েবসাইট স্ক্যান করতে পারেন। উপভোগ কর.

ALH
সূত্র
আমি বিশ্বাস করি যে বিনামূল্যে সংস্করণটি কেবল এক্সএসএস-এর জন্য স্ক্যান করে। মুক্তবিহীন সংস্করণটি আমি বিশ্বাস করি যে লাইসেন্সে কয়েক হাজার ডলার (000 4000 ডলারের বেশি) এর মতো।
লস ম্যাজেস্টে
ঠিক আছে, আসলে আমি নিখরচায় সংস্করণ ব্যবহার করি এবং এটির প্রস্তাব দিই।
ALH
হ্যাঁ, আপনি যদি এটি সামর্থ্য করতে পারেন তবে অ্যাকিউনেটিক্স ডাব্লুভিএস সত্যই একটি ভাল পণ্যের মতো দেখাচ্ছে। তাদের ব্লগে পাশাপাশি সুরক্ষার প্রচুর টিপস রয়েছে।
L mase majesté
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.