Pokaż wyniki 1 do 8 z 8

Temat: sprawdzenie źródeł strony www

  1. #1
    Zarejestrowany
    Nov 2010
    Postów
    2

    Domyślnie sprawdzenie źródeł strony www

    Poszukuję rozwiązania, za pomocą którego mógłbym sprawdzić źródła napisanej przeze mnie strony od wewnątrz.Sama strona napisana w PHP z elementami AJAXa i skryptów Java. Zależy mi też na zweryfikowaniu podatności strony na najbardziej popularne ataki. Możecie coś zaproponować?
    Ostatnio edytowane przez adam_r : 11-29-2010 - 12:09

  2. #2
    mijagi jest offline mijagi.eu
    Zarejestrowany
    Oct 2009
    Skąd
    Poland
    Postów
    59

    Domyślnie

    sqlmap jeśli chodzi o sql inj;>

  3. #3
    Zarejestrowany
    Aug 2007
    Postów
    104

    Domyślnie

    tzn co widac sprawdzisz poprzez dragonfly lub firebug, następnie wykorzystaj mozliwosci nessusa, obciąż serwis jmeter'em, wykorzystaj mozliwosci apache z mod_ssl i mod_proxy, w pliku php.ini wylacz wyswietlanie bledow i loguj wszystkie bledy do plikow, wlacz safe mode, wykorzystuj .htaccess, dokladnie przyjrzyj sie plikowi httpd.conf, dodatkowo wykorzystaj: wikto, nikto, webscarab, burp suite, w3af, appscan, komercyjny webinspect jesli masz klikanascie $

    obowiazkowo do przejrzenia:
    OWASP
    Ostatnio edytowane przez Whizz_BANG : 11-29-2010 - 14:34

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Do analizy zodel/kodu php jedyne co znam (do PHP) to Fortify RATS - https://www.fortify.com/ssa-elements...ence/rats.html

    Normlanie analizatory od Fortify kosztuja ale to jest ich darmowy produkt Nie uzywalem jeszcze ale bede niebawem... taki testowy strzal na malenkim skrypcie...

    Kod:
    $ rats 123-mech.pl 
    Entries in perl database: 33
    Entries in ruby database: 46
    Entries in python database: 62
    Entries in c database: 334
    Entries in php database: 55
    Analyzing 123-mech.pl
    Total lines analyzed: 32
    Total time 0.000077 seconds
    415584 lines per second
    Ostatnio edytowane przez TQM : 11-29-2010 - 15:34
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Nov 2010
    Postów
    6

    Domyślnie

    Witam,

    Zgodzę się z TQM co do "dodatkowo wykorzystaj: wikto, nikto, webscarab, burp suite, w3af, appscan, komercyjny webinspect jesli masz klikanascie $

    obowiazkowo do przejrzenia:
    OWASP"

    Jednakże jest jeszcze jedno ciekawe rozwiązanie, które sam stosuje a mianowicie Acunetix WVS. Jest to o tyle fajne rozwiązanie, że pozwala sprawdzić aplikację pod kątem wielu różnych ataków dynamicznych - nie tylko SQL czy XSS.

    Ciekawą opcją jest możliwość zagnieżdżenia AcuSensora w kodzie i analizę zachowania aplikacji "od środka".

    Korzystam z Acunetixa od 7 miesięcy i jestem zadowolony. Co więcej - mieliśmy na początku roku audyt bezpieczeństwa aplikacji i firma, która to robiła też korzystała z Acunetixa.

    Jeśli masz jakieś pytania co do rozwiązania daj znać - z tego co pamiętam, na stronie producenta jest do pobrania demo.

  6. #6
    Zarejestrowany
    Nov 2010
    Postów
    2

    Domyślnie

    Cytat Napisał k_kamil Zobacz post
    Jednakże jest jeszcze jedno ciekawe rozwiązanie, które sam stosuje a mianowicie Acunetix WVS.
    A jak to rozwiązanie klaruje się cenowo?

  7. #7
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    światło mądrości oświetla drogę z nikąd do nikąd

  8. #8
    Zarejestrowany
    Jan 2011
    Postów
    65

    Domyślnie

    Cytat Napisał adam_r Zobacz post
    Poszukuję rozwiązania, za pomocą którego mógłbym sprawdzić źródła napisanej przeze mnie strony od wewnątrz.Sama strona napisana w PHP z elementami AJAXa i skryptów Java. Zależy mi też na zweryfikowaniu podatności strony na najbardziej popularne ataki. Możecie coś zaproponować?
    proponuje pentest

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj