Автор Тема: Скенер за уязвимости  (Прочетена 1622 пъти)

koleto

  • Напреднали
  • *****
  • Публикации: 52
  • Distribution: Ubuntu
  • Window Manager: Gnome
    • Профил
    • WWW
Скенер за уязвимости
« -: Feb 28, 2010, 01:53 »
Здравейте. От известно време насам си търся софтуер, с който да сканирам уеб приложенията, който пиша за дупки в сигурността. Единственото работещо нещо, което намерих е w3af, но когато го пусна на половината модули ми дава грешки и се питах дали има нещо по-добро. Веднага ще ме упрекнете, но все попадам на платени програми. Не може да няма някой супер ефективен, open source скенер. Просто къде ли не търсих и реших да попитам тук.
Активен

Поражение не съществува, докато човек не се признае за победен!

dejuren

  • Напреднали
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Re: Скенер за уязвимости
« Отговор #1 -: Mar 02, 2010, 00:56 »
Nikto is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items, including over 6100 potentially dangerous files/CGIs...
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

koleto

  • Напреднали
  • *****
  • Публикации: 52
  • Distribution: Ubuntu
  • Window Manager: Gnome
    • Профил
    • WWW
Re: Скенер за уязвимости
« Отговор #2 -: Mar 02, 2010, 02:42 »
Точно каквото търсех. Благодаря ти много.
Активен

Поражение не съществува, докато човек не се признае за победен!

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Скенер за уязвимости
« Отговор #3 -: Mar 02, 2010, 09:41 »
За жалост, acunetix е платен, иначе съм очарован от наглостта на този софтуер. Всъщност е толкова нагъл, че чак DoS-ва сървъра като засили повече заявки.

Между другото, не съм силно убеден, че издържайки теста, приложението е сигурно. Има уязвимости, за които е доста трудно да се автоматизират атаки. Примерно проблемите свързани с некадърно използване на слаби PRNG алгоритми за криптографски цели (генериране на пароли, captcha-и, активационни линкове) - досега не съм чувал за скенер, който може да открива такива проблеми, обаче от личен опит знам, че съществуват.     
« Последна редакция: Mar 02, 2010, 09:48 от gat3way »
Активен

"Knowledge is power" - France is Bacon

koleto

  • Напреднали
  • *****
  • Публикации: 52
  • Distribution: Ubuntu
  • Window Manager: Gnome
    • Профил
    • WWW
Re: Скенер за уязвимости
« Отговор #4 -: Mar 02, 2010, 14:05 »
Мен ми е необходимо само базово тестване за XSS, инжекции и подобни. Този Nikto не само че ги вади, ами намира и дупки в самите уеб сървъри и то на големите хостинг компании. А да не говорим колко елементарен е за ползване.
Активен

Поражение не съществува, докато човек не се признае за победен!

runtime

  • Напреднали
  • *****
  • Публикации: 807
  • Distribution: Ubuntu 14.04
  • Window Manager: Unity
  • LZ1DOT
    • Профил
    • WWW
Re: Скенер за уязвимости
« Отговор #5 -: Mar 02, 2010, 14:36 »
Мен ми се струва, че нещо менти в резултатите... Нито едно от твърденията му не ми се виждат верни на моя хост :-)
Активен