Linux за българи: Форуми

Здравейте. От известно време насам си търся софтуер, с който да сканирам уеб приложенията, който пиша за дупки в сигурността. Единственото работещо нещо, което намерих е w3af, но когато го пусна на половината модули ми дава грешки и се питах дали има нещо по-добро. Веднага ще ме упрекнете, но все попадам на платени програми. Не може да няма някой супер ефективен, open source скенер. Просто къде ли не търсих и реших да попитам тук.

Nikto ($2) is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items, including over 6100 potentially dangerous files/CGIs...

Точно каквото търсех. Благодаря ти много.

За жалост, acunetix е платен, иначе съм очарован от наглостта на този софтуер. Всъщност е толкова нагъл, че чак DoS-ва сървъра като засили повече заявки.

Между другото, не съм силно убеден, че издържайки теста, приложението е сигурно. Има уязвимости, за които е доста трудно да се автоматизират атаки. Примерно проблемите свързани с некадърно използване на слаби PRNG алгоритми за криптографски цели (генериране на пароли, captcha-и, активационни линкове) - досега не съм чувал за скенер, който може да открива такива проблеми, обаче от личен опит знам, че съществуват.     

Мен ми е необходимо само базово тестване за XSS, инжекции и подобни. Този Nikto не само че ги вади, ами намира и дупки в самите уеб сървъри и то на големите хостинг компании. А да не говорим колко елементарен е за ползване.

Мен ми се струва, че нещо менти в резултатите... Нито едно от твърденията му не ми се виждат верни на моя хост :-)