Nástroj na skenování zranitelnosti webu

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Nástroj na skenování zranitelnosti webu
« kdy: 01. 01. 2021, 10:10:12 »
Ahoj, aky nastroj by ste mi doporucili na kontrolu zranitelnosti webu?

na OWASP som nasiel tieto zoznamy, ale neviem co z neho si vybrat s najlepsim pomerom cena/vykon - ziadnu z tych aplikacii nepoznam.

https://owasp.org/www-community/Vulnerability_Scanning_Tools
https://owasp.org/www-community/Free_for_Open_Source_Application_Security_Tools

chcem skontrolovat Java a PHP web a mam nasledovne poziadavky:
1) musi to byt zadarmo
2) je to stiahnutelne (chcem testovat aj lokalnu aplikaciu - vyvojove prostredie), t.j. nie je to online sluzba
3) idealne to bezi na linuxe (ale prezijem aj Windows)
4) preferujem open source ale nie je to nutne
5) bolo by fajn, keby to vie oscanovat na zranitelnost aj samotny server(linux), kde aplikacia bezi

dik za tipy.


Re:Nástroj na skenování zranitelnosti webu
« Odpověď #1 kdy: 01. 01. 2021, 10:50:07 »
Kolega v práci používá Nesus https://www.tenable.com/products/nessus pro 16 IP adres je zadarmo.

Re:Nástroj na skenování zranitelnosti webu
« Odpověď #2 kdy: 01. 01. 2021, 23:02:25 »
github a jiné nástroje umí skenovat a kontrolovat závislosti. Poté automatické testy na code style. OWASP i zmíněný Nessus dělá testy takový nemastný, sice to chytne základní konfigurační chyby, ale že by to řeklo, že aplikace není zranitelná, většinou moc ne.

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:Nástroj na skenování zranitelnosti webu
« Odpověď #3 kdy: 02. 01. 2021, 08:59:19 »
zial, github nevyhovuje bodu 2.
mohli by ste prosim konkretne menovat "jiné nástroje"?

FKoudelka

Re:Nástroj na skenování zranitelnosti webu
« Odpověď #4 kdy: 02. 01. 2021, 11:09:43 »
zial, github nevyhovuje bodu 2.
mohli by ste prosim konkretne menovat "jiné nástroje"?
Nikto, neco z kali linuxu, je toho tam vic,  z hlavy nevim
OpenVAS od Greenborne i na ten linux
« Poslední změna: 02. 01. 2021, 11:12:01 od FKoudelka »


Re:Nástroj na skenování zranitelnosti webu
« Odpověď #5 kdy: 02. 01. 2021, 11:41:11 »
zial, github nevyhovuje bodu 2.
mohli by ste prosim konkretne menovat "jiné nástroje"?

no, ale to není přece problém, aplikaci nahraješ do privátního repositáře a využiješ poměrně solidní databázi na známá CVE podle závislostí, stejnou službu nabízí i gitlab, azure/aws/google.

Těch aplikací je dost a zároveň málo, jaký k tomu máš účel? Proč to potřebuješ?

Korporátní svět ujíždí na automatických nástrojích na kontrolu zabezpečení aplikací a ve výsledku to je spíše vynucování code style a vlastní nastavení pravidel, ten nástroj sám od sebe neodhalí většinou nic moc, ale dokáže ti udržet kvalitu kódu a sjednotit chování aplikací. Rozhodně nečekej, že použiješ nějaký nástroj a oni to rovnou řekne, kde máš díry a co opravit, naoak na tebe vyhodí obrovské množství chyb.

Primárně bys měl hledat nástroje kolem frameworku, který používáš, protože ty ti nejlépe řeknou, co je špatně.

Pro začátek bych ti doporučil zdarma dostupný v javě napsaný (funguje na linuxu i windowsu) nástroj udržovaný pod OWASP community https://github.com/zaproxy/zaproxy. Jeden z mnoha tutoriálů je třeba tady https://medium.com/volosoft/running-penetration-tests-for-your-website-as-a-simple-developer-with-owasp-zap-493d6a7e182b, proskenuje ti to lokální aplikaci a zjistí, jetli nemá základní nedostatky.

na kali linuxu vlastně není nic víc než je běžně repositářích jednotlivých distribucí, jen to tam je již předinstalované, většina těch nástrojů jsou ale poměrně složité a těžké na ovládání, takže je lepší se jim v počátku vyhnout než člověk ví přesně co chce.

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:Nástroj na skenování zranitelnosti webu
« Odpověď #6 kdy: 02. 01. 2021, 12:32:40 »
skusim ten zaproxy a tiez kali linux - vedel som, ze existuje nejake distro zamerane na pen-testy, ale nevedel som si spomenut na nazov.

este raz dik za napomocnu odpoved.




FKoudelka

Re:Nástroj na skenování zranitelnosti webu
« Odpověď #7 kdy: 02. 01. 2021, 15:36:54 »
skusim ten zaproxy a tiez kali linux - vedel som, ze existuje nejake distro zamerane na pen-testy, ale nevedel som si spomenut na nazov.

este raz dik za napomocnu odpoved.
Ta zaproxy vypadá zajímavě, ale dej bacha ať ty weby nezboříš. Zkusil bych to napřed na nějakém testovacím prostředí , třeba metasploitable https://sourceforge.net/projects/metasploitable/
Zkus i to nikto, pokud to není už moc fousaté, myslím, že je to i na kali. Jinak, co se týče Kali, mrkni na metasploit framework, ale , jak píše kolega, nejsou to jednoduché věci.
Hlavně bacha, ať někoho nenas.reš, dostupnost především.
« Poslední změna: 02. 01. 2021, 15:43:32 od FKoudelka »

kvas

  • ***
  • 124
    • Zobrazit profil
    • E-mail
Re:Nástroj na skenování zranitelnosti webu
« Odpověď #8 kdy: 02. 01. 2021, 16:18:27 »
ale dej bacha ať ty weby nezboříš.

to su moje weby, takze maximalne nas.rem sam seba:) pozeral som aj na nikto, vyzera tiez zaujimavo. idem skusit ako velmi to mam derave:)

dik za tipy.